脅威対策エクスプロイト防止

バッファー オーバーフロー エクスプロイトがコンピューター上で任意のコードを実行しないように、エクスプロイト防止を有効にして設定します。

エクスプロイト防止で保護されるプロセスの一覧については、KB58007 を参照してください。

注: Host Intrusion Prevention 8.0 は、Endpoint Security 10.5 と同じシステムにインストールできます。 McAfee Host IPS を有効にすると、エクスプロイト防止が無効になります。ポリシー設定で有効になっていても無効になります
表 1: オプション
セクション オプション 定義
エクスプロイト防止 エクスプロイト防止を有効にする エクスプロイト防止の機能を有効にします。
注意: このオプションンを有効にしないと、システムがマルウェアの攻撃を受ける可能性があります。
表 2: 詳細オプション詳細を表示 詳細を隠す
セクション オプション 定義
汎用特権昇格の防止 汎用特権昇格の防止を有効にする 汎用特権昇格の防止 (GPEP) サポートを有効にします。(デフォルトは無効です)

GPEP は、エクスプロイト防止コンテンツの GPEP シグネチャを使用して、カーネル モードまたはユーザー モードの特権昇格エクスプロイトを阻止します。

このオプションを使用すると、GPEP バッファー ーバーフローーのシグネチャ 6052 の重大度が に引き上げられます。指定されたアクションに応じて脅威がブロックまたは報告されます。

GPEP は大量の誤検知を報告する可能性があるため、このオプションはデフォルトで無効になっています。

Windows データ実行防止 Windows データ実行防止を有効にする Windows データ実行防止 (DEP) 統合を有効にします。(デフォルトは無効です)

次のオプションを選択します。

  • McAfee アプリケーション保護リストで 32 ビット アプリケーションに DEP を有効にし (まだ有効になっていない場合)、汎用的なバッファー オーバーフロー対策 (GBOP) の代わりに使用します。

    呼び出し側の検証と対象の API モニタリングは引き続き施行されます。

  • DEP を有効にした 32 ビット アプリケーションで DEP 検出をモニタリングします。
  • McAfee アプリケーション保護リストにある 64 ビット アプリケーションの DEP 検出をモニタリングします。
  • すべての DEP 検出を記録し、イベントを McAfee ePO に送信します。

このオプションを無効にしても、Windows DEP ポリシーで DEP が有効になっているプロセスに影響を及ぼしません。

除外対象 実行するプロセス、呼び出し側モジュール、API または署名を指定します。

呼び出し側モジュールまたは API を含む除外対象は DEP に適用されません。

  • 追加 - 除外対象を作成してリストに追加します。
  • 項目をダブルクリックします。選択した項目を変更します。
  • 削除選択した項目を削除します。
  • 複製選択した項目のコピーを作成します。
シグネチャ McAfee 定義のエクスプロイト防止シグネチャのアクション (ブロック または 報告) を変更します。

重大度を変更したり、シグネチャを作成することはできません。

シグネチャを無効にするには、ブロック報告 の選択を解除します。

次の重大度のシグネチャを表示 重大度または無効なステータスで、シグネチャ リストをフィルタリングします。
  • 情報
  • 無効
注: 重大度が無効になっているシグネチャは有効にできません。
ブロック (のみ) シグネチャに一致する動作をブロックしますが、ログには記録しません。
報告 (のみ) シグネチャに一致する動作をログに記録しますが、ブロックはしません。
注: シグネチャ ID 9990 で 報告のみ は選択できません。
ブロック報告 シグネチャに一致する動作をブロックし、ログ委に記録します。
アプリケーション保護ルール アプリケーション保護ルールを設定します。
  • 追加 - アプリケーション保護ルールを作成してリストに追加します。
  • 項目をダブルクリックします。選択した項目を変更します。
  • 削除選択した項目を削除します。(ユーザー定義のルールのみ)
  • 複製選択した項目のコピーを作成します。(ユーザー定義のルールのみ)