Microsoft forefront clinet securityの最近のブログ記事

microsoft Forefront Client Securityで定義ファイルを更新しようとすると、イベントログにエラーが記録され、正常に更新できない。

イベントの内容は

• 場所はシステム
• 種類はエラー
• ソースは「FCSAM」
• メッセージに「予期せぬエラー」「0x8050800c」というキーワードがある

ぐらいしか確認できなかった。

1. エラー「0x8050800C」で調べてみる

ここ↓によると、「0x8050800C」は「ERROR_MP_BAD_INPUT_DATA」という意味のよう。

• Forefront Client Security マルウェア対策エンジンのエラー コード

またここ↓によると、「システム状態で、特定のユーザー コンテキストでのスキャンの実行が禁止されています。」という内容であり、対処法は「コンピュータを再起動し、スキャンを再実行する」とある。

• Microsoft Windows 悪意のあるソフトウェアの削除ツールを実行するとエラーが表示される

結局、「0x8050800C」はスキャンに関するものしかなかったが、ＯＳを再起動してみたところ、定義ファイルは無事更新できた。この後、自動更新がちゃんと行われるかどうかが気になるところ。

1. 設定先（レジストリ）
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan]
1. リパースポイントでマウントしたドライブへのスキャン

"DisableReparsePointScanning"=dword:0

2. リムーバブルディスクへのスキャン

"DisableRemovableDriveScanning"=dword:0

3. ネットワークドライブに割り当てたドライブへのスキャン

"DisableScanningNetworkFiles"=dword:0

なおdword:1で無効。キーを削除しても（たぶん）無効 また、デフォルトは無効
2. 参考
• 修正プログラムをいくつかの問題、現在までのクライアントのセキュリティのマルウェア対策クライアントを解決する入手できます。
• Forefront Client Security Team Blog : Scanning reparse points
• Forefront Client Security Team Blog : Scanning removable drives

こんなのが

Forefront Client Security Team Blog : FCS KB 976668 and 976669 fail to install on Windows 2000 when the installation is run as Local System
http://blogs.technet.com/clientsecurity/archive/2010/01/14/fcs-kb-976668-and-976669-fail-to-install-on-windows-2000-when-the-installation-is-run-as-local-system.aspx

Windows 2000だけどMicrosoft Updateで自動更新バッチリ！としていると、KB976668 or KB976669のインストールに失敗し+FCSのクライアントが削除されます。

修正プログラムは今非公開？になっているようですが、修正プログラムをあてたら消えたは困ったもんです。

Forefront Team Blog : Schedule and Strategy Update for Forefront Endpoint Protection
http://blogs.technet.com/forefront/archive/2009/10/08/schedule-and-strategy-update-for-forefront-endpoint-protection.aspx

他の主なForefront製品のリリーススケージュール

Fourth quarter 2009: Forefront Protection 2010 for Exchange Server, Forefront Online Protection for Exchange, Forefront Threat Management Gateway 2010 and Forefront Unified Access Gateway 2010
First half 2010: Forefront Protection 2010 for SharePoint, Forefront Identity Manager 2010.

先日公開されたMicrosoft Security Essentials(MSE)とForefront Client Security(FCS)のクライアント(v1.0)の比較してみたいと思います。ざっとですが。

• マルウェア・ウィルスの検索機能

　パターンマッチングは同じ定義ファイルを利用しているので、同じだと思われます。
　MSEはそれに加え、Dynamic Signature Service（DSS）というウイルスと検知しなかったが、怪しい動きをするファイル等をサーバに問い合わせ、対応策を得る機能がついています。
  FCS Clientヒューリスティック検索機能がついているようですが、MSEにヒューリスティック機能があるのかどうか確認できません。

• 動作

　特に何か計測はしていませんが、若干MSEの方が軽快な感じがします。
　なお、MSEはCPUとメモリの使用量を制限しているそうです。

MSの無料ウイルス対策ソフト公開、日本語版もダウンロード可能 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20090930_318355.html

• システム要件

　MSEの方がサポートするＯＳの範囲が狭いです。まぁここは当然ですが。
　ハードウェアの条件も、MSEが若干厳しい（メモリが）

MSEのシステム要件
Security Essentials System Requirements | Microsoft Security Essentials
http://www.microsoft.com/Security_essentials/resources.aspx?mkt=en-us&s=1#mainNav

FCS Clinet(以下のページのClient computer）のシステム要件
Verifying your system requirements
http://technet.microsoft.com/en-us/library/bb404245.aspx
　

• MSEにあって、FCS Clientにはない機能

1. スケジュールスキャンで、「コンピュータが起動中で使用されていないときにのみ、スケジュールされたスキャンを開始する」という設定ができます。
2. リムーバブルドライブのスキャンのＯＮ／ＯＦＦができる。（FCS Clinetはリムーバブルドライブのスキャン自体ができなかった｛と思います。｝）
3. 右クリックのコンテキストメニューからのスキャンができます。任意のフォルダ・ファイルを選択し右クリックしてコンテキストメニューから選択したフォルダ・ファイルのスキャンができます。ほかのセキュリティ製品のもよくついている機能ですが、FCS Clientにはありません。
4. MSE自身のアップグレードが、MSEの画面からできます。なお、FCS Clinetは通常Microsoft Update(WSUS)で自身のアップグレードをします。
5. 悪意のあるソフトウェアのサンプルの送信をMSEの画面からできます。ただ、やるとMalware Protection Centerの画面が開くだけです。
   

• MSEにないが、FCS Clinetにはある機能

1. リアルタイム検索の検索対象が細かく設定できる。MSEは2種類のＯＮ／ＯＦＦのみ
2. ソフトウェアエクスプローラをFCS Clientの画面から呼び出せる。　

マイクロソフト社の無料セキュリティソフト「Microsoft Security Essentials」のベータ版が、6月23日に公開されるそうです。

・マイクロソフト、無料の新型アンチウイルスソフト「Microsoft Security Essentials」のベータ版を公開へ - GIGAZINE
http://gigazine.net/index.php?/news/comments/20090619_mse/

公開されるのは、英語版とポルトガル（なぜポルトガル？）版が最初だそうなので、日本語Windowsを使っている私はインストールできないかもしれません。
一応、システム要件をまとめてみると

１．ハードウェア
（１）コンピュータ・アーキテクチャ
32-bit or 64-bit
（２）CPU
クロック周波数、500MHz以上
（３）メモリ
256MB以上
（４）ハードウェア
140MB以上の空き容量
（５）ディスプレイ
800x600以上の解像度を持つディスプレイ

２．ＯＳ
（１）Windows XP
（２）Windows Vista
（３）Windows 7
なお、エディションは不明

３．その他
（１）インターネットに接続できる環境（インストール？と定義ファイル更新に必要）

となっています。

【参考】
・Microsoft announces free antivirus, limited public beta - Ars Technica
http://arstechnica.com/microsoft/news/2009/06/microsoft-announces-free-antivirus-beta-this-tuesday.ars
・｢Morro｣こと｢Microsoft Security Essentials｣が流出 - 気になる、記になる
http://taisyo.seesaa.net/article/121732380.html
・Microsoft Security Essentials - Windows Live
a href="http://onecareman.spaces.live.com/Blog/cns!CE4BEDCCA54A953D!413.entry
・日本のセキュリティチーム (Japan Security Team) : 無償マルウェア対策ソフト: Microsoft
Security Essentialns (Morro) http://blogs.technet.com/jpsecurity/archive/2009/06/19/3256648.aspx

ホワイトリストによるマルウェア対策 － TechTargetジャパン
http://techtarget.itmedia.co.jp/tt/news/0901/13/news01.html

OSに組み込むソフトウェア制限ポリシーを開発しているベンダーもある。例えば、Microsoftでは、重要なデータをランダムに配置する Address Space Layout Randomization（ASLR）技術、そして実行禁止メモリ領域のコード実行を禁止するData Execution Prevention技術を推進している。これらのメカニズムは、アプリケーションの脆弱性に起因する被害を抑えられる。Microsoftでは、アプリケーションホワイトリストはセキュリティ戦略の重要な要素と考えているようだ。同社の企業向けウイルス／スパイウェア防止技術「Forefront Client Security」にも、近くホワイトリスト機能が搭載されるといううわさだ。

どこからのうわさでしょう

英語のドキュメントしか見つかりませんでしたが、Microsoft Forefront Clinet Securityのアイコン状態の種類がまとめてありました。

Using the Client Security agent
http://technet.microsoft.com/en-us/library/bb418981.aspx

【備忘】
後で訳す

・Forefront Security for SharePoint、Getenginefiles.exe プロセスが応答を停止し、ワトソン博士のクラッシュ バケット ID 454637394 を参照して生成されます。
http://support.microsoft.com/kb/957752/ja

・Forefront Security for SharePoint、Getenginefiles.exe プロセスが応答を停止し、ワトソン博士のクラッシュ バケット ID 767801618 を参照して生成されます。
http://support.microsoft.com/default.aspx?scid=957616

Forefront Client Security Service Pack 1 で修正される問題
http://support.microsoft.com/?id=951951