Symantec Endpoint Protectionとの共存について
リカバリー王ZクライアントとSymantec Endpoint Protection(以下SEP)を共存させ、ファイルフォルダ単位の修復モードで運用した場合、Windowsのシステムイベントログに以下のようなエラーが記録される場合があります。
- ソース:SRTSP 内容:Error loading virus definitions.
- ソース:SRTSP 内容:Error loading Symantec real time Anti-Virus driver.
これは、リカバリー王Zの瞬間復元ドライバと、SEPのドライバの組み合わせによって発生するものですが、その後以下の情報が記録されSEP のドライバは正常に動作いたします。
- ソース:SRTSP 内容:Symantec Antivirus minifilter successfully loaded.
このイベントログは、SEPの設定を変更することで記録されないようにすることが可能です。SEPの設定変更法はシマンテック社の次のサイトを参照ください。
ファイルシステムAuto-Protect をロードするタイミングを変更する方法
Symantec Endpoint Protection 12.1との共存について
リカバリー王ZクライアントとSymantec Endpoint Protection 12.1(以下SEP)を共存させた環境において、次の手順の操作を実施することによりSEP の動作に異常が発生します。
【手順】
- リカバリー王Zクライアントの保護タイプがファイルフォルダ単位であり、かつ、動作モードが修復モードの状態において、初めてWindowsにログオンするユーザ(注1)でログオンする。
- その後コンピュータを再起動し、1のユーザで再度ログオンする。
【発生する現象】
- 上記操作後、SEPの手動スキャン(注2)を実施すると、「スキャンエンジンを初期化できませんでした」というメッセージが出力され、スキャンに失敗する。
- 上記操作後、「新しいスキャンの作成」を実行しようとすると、「スキャンエンジンを初期化できませんでした」というメッセージが出力され、新しいスキャンの作成ができない。
(注1)一般ユーザの場合はUAC(ユーザーアカウント制御)の有効/無効に関わらず発生します。管理者権限ユーザの場合は、UAC が有効の場合に発生します。
(注2)「アクティブスキャン」「完全スキャン」「右クリックメニューでのウイルススキャン」を指します。AutoProtectには影響ありません。
【組合せ製品】
SEP 12.1
【対象OS】
- Windows 8(32 ビット版、64 ビット版)、Windows 8.1(32 ビット版、64 ビット版)
- Windows 7(32 ビット版、64 ビット版)
- Windows Vista
【原因】
SEP12.1 より、ユーザ情報の持ち方となったため。
【回避方法】
次の手順により回避することができます。
- リカバリー王Zクライアントを保護解除モードにする。
- SEPの改変対策を無効に変更する。
- レジストリエディタにて次のレジストリにeveryone フルコントロールのアクセス権を追加する。
・32 ビットOS の場合
HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Scheduler
・64 ビットOS の場合
HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler
- SEPの改変対策を有効にする。(注3)
- リカバリー王クライアントを修復モードにする。
(注3)SEP自身の改変対策機能によってレジストリの改変等は保護されます。
Symantec Endpoint Protection 12.1のプロアクティブ脅威防止機能のエラーについて
リカバリー王Z クライアントとSymantec Endpoint Protection 12.1(以下SEP)を共存させた環境において、SEP のプロアクティブ脅威防止機能に関するエラーが発生する場合があります。
【発生条件】
次の条件を両方満たす場合に発生します。
・SEPのプロアクティブ脅威防止機能を有効にしている。
・リカバリー王Zクライアントをファイルフォルダ単位の修復モードで運用している。
【発生する現象】
LiveUpdateを使用してSEPのプロアクティブ脅威防止機能に関するアップデートを実施後、OSを再起動すると、プロアクティブ脅威防止機能が無効となる。また、システムイベントログにエラーが記録される。
【問題発生時のリカバリー方法】
次の手順にて、現象をリカバリーすることができます。
- リカバリー王Zクライアントを保護解除モードに変更する。
- もう一度OSを再起動し、SEPのプロアクティブ脅威防止機能が有効であることを確認する。
- 確認後、リカバリー王Zクライアントを修復モードに変更する。
【回避方法】
次の設定変更を実施してください。
- リカバリー王Zクライアントを保護解除モードに変更する。
- Symantec Endpoint Protection 12.1の改変対策を変更する。
(1)Symantec Endpoint Protectionの管理コンソールを開き、「設定の変更」を選択する。
(2)クライアント管理の「オプションの設定」ボタンを押す。
(3)「改変対策」タブを選択する。
(4)「シマンテック製セキュリティソフトウェアを改版または終了から保護する」チェックボックスのチェックを外す。
(5)「OK」ボタンを押す。
- レジストリエディタにて次の設定を行う。
レジストリキー
32 ビットOS の場合
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BHDrvx86
64 ビットOS の場合
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BHDrvx64
に対して、次の設定を実施する。
・Start エントリの値(初期値1)を 2に変更する。
・DelayedAutoStart エントリ(値の種類はDWORD)を追加し、値に1を設定する。
- 2で設定したSymantec Endpoint Protectionの改変対策設定を変更前の設定に戻す。
- リカバリー王Zクライアントを修復モードに変更する。
上記設定を行うと、Windows起動直後にログオンした場合、SEPのアイコンにプロアクティブ脅威防止機能のプログラム起動が遅れていることを示すマークが暫く表示されることがあります。
Symantec Endpoint Protection 12.1のサービスタイムアウトについて
リカバリー王ZとSymantec Endpoint Protection(以下SEP)を共存させ、ファイルフォルダ単位の修復モードで運用した場合、Windowsのシステムイベントログに以下のようなエラーが記録され、SEPのサービスが正常に動作しない場合があります。
「Symantec Management Clientサービスの接続を待機中にタイムアウト(30000ミリ秒)になりました。」
このエラーは前述の「Symantec Endpoint Protectionとの共存について」と「Symantec Endpoint Protection 12.1のプロアクティブ脅威防止機能のエラーについて」に記載の対処を行うことで回避が可能です。