Symantec Endopoint Protection 12.1 のプロアクティブ脅威防止機能がエラーになる
(2016年11月7日更新)瞬快の対応状況を追記。
Symantec Endopoint Protection 12.1 のプロアクティブ脅威防止機能を有効にしている場合、プロアクティブ脅威防止機能が正常動作しなくなります。
対象
- 瞬快Ver.11m以前(瞬快Ver.11nにて対応しました)
※ただし、Windows Vista以前のOSをご利用の場合は瞬快Ver.11n以降でも対象となります。
- 瞬快Ver.10m以前(瞬快Ver.10nにて対応しました)
※ただし、Windows Vista以前のOSをご利用の場合は瞬快Ver.10n以降でも対象となります。
- 瞬快Rel.8.0m以降
- 瞬快Rel.7.0m以降
発生条件
- Symantec Endopoint Protection 12.1 のプロアクティブ脅威防止機能を有効にしている。
- 瞬快をファイルフォルダ単位修復モードで運用する。
現象
上記環境において、LiveUpdate等を使用してSymantec Endpoint Proteciton 12.1 のプロアクティブ脅威防止機能に関するアップデートを実施後、OSを再起動すると、プロアクティブ脅威防止機能が無効となる。また、システムイベントログにエラーが記録される。
問題発生時のリカバリー方法
次の手順にて現象をリカバリーすることができます。
- 瞬快クライアントを修復無効モードに変更する。
- もう一度OSを再起動し、Symantec Endpoint Protection のプロアクティブ脅威防止機能が有効であることを確認する。
- 確認後、瞬快クライアントを修復モードに変更する。
回避方法
次の設定変更を実施してください。
- 瞬快クライアントを修復無効モードに変更する。
- Symantec Endpoint Protection 12.1 の改変対策を変更する。
- Symantec Endpoint Portection の管理コンソールを開き、「設定の変更」を選択する。
- クライアント管理の「オプションの設定」ボタンを押す。
- 「改変対策」タブを選択する。
- 「シマンテック製セキュリティソフトウェアを改版または終了から保護する」チェックボックスのチェックを外す。
- 「OK」ボタンを押す。
- レジストリエディタにて次の設定を行う。
レジストリキー
- 32ビットOSの場合
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥BHDrvx86
- 64ビットOSの場合
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥BHDrvx64
に対して、次の設定を実施する。
- Start エントリの値(初期値1)を 2 に変更する。
- DelayedAutoStart エントリ(値の種類はDWORD)を追加し、値に 1 を設定する。
- 2.で設定したSymantec Endpoint Protection の改変対策設定を変更前の設定に戻す。
- 瞬快クライアントを修復モードに変更する。
上記設定を行うと、Windows 起動直後にログオンした場合、Symantec Endpoint Protection のアイコンにプロアクティブ脅威防止機能のプログラム起動が遅れていることを示すマークが暫く表示されることがあります。