株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第25回 ~KESWによって削除または駆除されたファイルの復元方法~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

 

カスペルスキーに限らず、全てのエンドポイント系アンチウイルス製品においてついて回る問題…それは誤検知です。

導入前に除外設定をしたり、導入を各部署で少しづつ進める等、誤検知による被害を最小限にする方法はいくつかありますが、それでも絶対に誤検知しないというわけではないと存じます。

今回は、Kaspersky Endpoint Security for Windows によって削除または駆除されたファイルを復元する方法をご紹介します。

Kaspersky Security Centerで統合管理している場合とそうでない場合の手順をどちらも紹介いたしますので、ご参考にしていただけますと幸いにございます。

 

今回のブログの内容は以下の通りです。

 

今回のブログは以下の環境で検証しております。

・管理サーバー

 Kaspersky Security Center:12.2.0.4376
 Kaspersky Security Center 12 Web コンソール:12.2.265
 OS:Windows Server 2016
 DB:SQL Server 2017 Express

・保護対象のWindows OS

 Kaspersky Endpoint Security for Windows:11.6.0.394
 ネットワークエージェント:12.2.0.4376
 OS:Windows 10 Enterprise 1909

 

今回のブログで検知/復元するファイルはEicarテストファイルを用いています。

https://www.eicar.org/?page_id=3950

脅威を発見した際のKESWの挙動

まず、そもそもKaspersky Endpint Security for Windows はファイルの脅威を発見した際にどのようなアクションをとるのか、ご説明いたします。

KSCで一元管理している場合は、ポリシーでこのアクションの設定をしています。

具体的にはKaspersky Endpoint Security for Windows のポリシーの [アプリケーション設定]>[脅威対策]>[ファイル脅威対策]>[脅威検知時の処理]という項目で設定できます。

f:id:networld-blog-post:20210415171211p:plain

f:id:networld-blog-post:20210415171219p:plain

f:id:networld-blog-post:20210415171226p:plain

デフォルトでは "駆除する。駆除できない場合は削除する。" となっています。

KSCで一元管理せず Kaspersky Endpoint Security for Windows を単独でインストールして利用している場合は、ユーザーインターフェイスの[保護機能]>[プロテクション]>[ファイル脅威対策]>[脅威検知時の処理]から確認/変更できます。

f:id:networld-blog-post:20210415171248p:plain

f:id:networld-blog-post:20210415171254p:plain

f:id:networld-blog-post:20210415171303p:plain

デフォルトでは "駆除する。駆除できない場合は削除する。" となっています。

KESWは脅威として認識したファイルを削除もしくは駆除する前に、C:\ProgramData\Kaspersky Lab\KES\QBに特別な形式のバックアップを取得した後に、削除もしくは駆除します。

後続の章で紹介する手順はこのバックアップされたファイルを復元する手順となります。

 

KSC (MMCベースコンソール) から操作して復元する方法

ではここから実際に削除されてしまったファイルを復元する手順を紹介いたします。

この章ではMMCベースの管理コンソールから操作して復元する方法です。

この方法で実施するメリットとしては、ファイルの復元先をKSCのローカル上ファイルが元々存在したデバイス上にするかを選択できる点です。

 

まず、ファイルを復元する前に、そのファイルを除外設定に追加します。

除外設定をせずにそのまま復元すると、復元先でまた検知→削除されてしまうからです。

MMCベースのKSCコンソールから、ファイルを復元したいデバイスに適用されているポリシーのプロパティを開きます。

セクション[全般設定]>[除外リスト]>[除外するオブジェクトとアプリケーション]>[設定]をクリックします。

f:id:networld-blog-post:20210415171521p:plain

 

[信頼するオブジェクト]タブの[+追加]をクリックします。

f:id:networld-blog-post:20210415171530p:plain

 

除外する方法はファイル名、ファイルパス、ハッシュ値等いくつかありますが、今回はファイルのパスを指定する方法を紹介いたします。

プロパティで [ファイルまたはフォルダー]にチェックをいれ、コメント欄に任意の文字列を指定し、[ファイルまたはフォルダーの選択...]をクリックします。

f:id:networld-blog-post:20210415171546p:plain

 

ファイル名もしくはフォルダー名を指定します。ワイルドカードも利用可能です。

また、この例ではファイル名が英数字ですが、ファイル名に日本語が含まれていても問題ありません。

f:id:networld-blog-post:20210415171607p:plain

 

必要に応じて、このファイルをどの保護機能で除外するかの設定を行ってください。

デフォルトではファイル脅威検知やふるまい検知等、すべての機能で除外する設定となっています。

f:id:networld-blog-post:20210415171627p:plain

 

[OK]をクリックします。

f:id:networld-blog-post:20210415171637p:plain

 

[OK]をクリックします。

f:id:networld-blog-post:20210415171647p:plain

 

管理画面で、編集した後のポリシーが検知されたファイルを復元したいデバイスに対して適用されたことを確認します。

f:id:networld-blog-post:20210415171707p:plain

ここまでが除外設定の手順です。

ここから復元の手順です。MMCベースのKSCコンソールから、[管理サーバー]>[詳細]>[リポジトリ]>[バックアップ]を開きます。

f:id:networld-blog-post:20210415171732p:plain

 

復元したいファイルを選択し、右クリックします。

いくつかのメニューが表示されますが、この中で[復元]もしくは[ディスクに保存]で復元が可能です。

[復元]を選択した場合は、このファイルがもともと存在したデバイス上にファイルが復元されます。

[ディスクに保存]を選択した場合は、復元先を指定するウィンドウが表示され、KSCのローカル (もしくはKSCからアクセスできるストレージなど) の任意の場所にファイルを復元できます。

f:id:networld-blog-post:20210415171820p:plain

 

復元が完了すると、バックアップの一覧からファイル名が消えます。

実際に復元先に先ほどのファイルが復元されていることを確認します。

また、そのファイルを開いても検知されない状態になっていることを確認します。

以上がKSC (MMCベースコンソール) から操作して復元する方法でした。

 

KSC (Webコンソール) から操作して復元する方法

この章ではKSCのWebコンソールから操作して復元する方法を紹介いたします。

この方法で実施するメリットとしては、ファイルの復元先をWebコンソールを操作している端末上ファイルが元々存在したデバイス上にするかを選択できる点です。

 

まず、ファイルを復元する前に、そのファイルを除外設定に追加します。

KSCのWebコンソールから、ファイルを復元したいデバイスに適用されているポリシーのプロパティを開きます。

[デバイス]>[ポリシーとプロファイル]を開き、Kaspersky Endpoint Security for Windowsのポリシーをクリックします。

f:id:networld-blog-post:20210415172030p:plain

 

[アプリケーション設定]タブ>[全般設定]>[除外リスト]をクリックします。

f:id:networld-blog-post:20210415172046p:plain

 

[信頼するオブジェクト]をクリックします。

f:id:networld-blog-post:20210415172100p:plain

 

[+追加]をクリックします。

f:id:networld-blog-post:20210415172112p:plain

 

復元する予定のファイルを除外する設定をします。

この例ではEicarファイルを復元するので、[ファイルまたはフォルダー]で指定します。

f:id:networld-blog-post:20210415172130p:plain

 

この除外設定をどの保護機能に適用するかを設定します。

デフォルトでは下記の通りすべての保護機能から除外する設定となっているので、必要に応じて変更し、[OK]をクリックします。

f:id:networld-blog-post:20210415172153p:plain

 

追加した設定が正しいこと、ステータス列が "除外されています" となっていることを確認し、[OK]をクリックします。

f:id:networld-blog-post:20210415172210p:plain

 

続けて[OK]をクリックします。

f:id:networld-blog-post:20210415172224p:plain

 

[保存]をクリックします。

f:id:networld-blog-post:20210415172235p:plain

 

変更したポリシーにチェックを入れ、[導入]をクリックすることで、変更後のポリシーが適用されたか否かを確認することができます。

f:id:networld-blog-post:20210415172250p:plain

 

復元対象のデバイスにポリシーが適用されたことを確認したら、[操作]>[リポジトリ]>[バックアップ]を開きます。

f:id:networld-blog-post:20210415172303p:plain

 

復元したいファイルにチェックを入れ、[復元]もしくは[ダウンロード]をクリックします。

[復元]をクリックした場合は、このファイルがもともとあったデバイス上に復元されます。

[ダウンロード]をクリックした場合は、このWebコンソールを操作している端末にダウンロードすることができます。

f:id:networld-blog-post:20210415172357p:plain

 

復元が完了すると、バックアップの一覧からファイル名が消えます。 (Webコンソールの場合、しばらくしても画面が処理中のままになることがありますが、この場合は画面をF5などでリフレッシュしてください。)

実際に復元先に先ほどのファイルが復元されていることを確認します。

また、そのファイルを開いても検知されない状態になっていることを確認します。

以上がKSCのWebコンソールから操作して復元する方法でした。

 

KESWのGUIから操作して復元する方法

KSCで統合管理していない場合は、KESWのGUI および CUIから復元できます。

この章ではGUIから復元する方法を記載します。

本章で紹介する手順は、KESWの "パスワードによる保護" 機能を無効にしているのであれば、ユーザー権限でも実施可能です

"パスワードによる保護" 機能を有効にしている場合は、設定によっては管理者権限のユーザーやKESWの内部ユーザー情報を知らないと実施できない場合があります

('"パスワードによる保護" 機能はデフォルト無効です。)

 

タスクトレイ上にある[K]マークをダブルクリックすると以下のようなGUIが表示されます。

まず最初に、復元したいファイルを除外設定に追加するために、[保護機能]をクリックします。

f:id:networld-blog-post:20210415172557p:plain

 

セクション[脅威と除外リスト]>[除外リストの管理]をクリックします。

f:id:networld-blog-post:20210415172607p:plain

 

[+追加]をクリックします。

f:id:networld-blog-post:20210415172617p:plain

 

ファイルやフォルダーのパス、オブジェクト名、ファイルのハッシュ値で除外設定をします。

今回はEicarファイルなので、[ファイルまたはフォルダー]で指定します。

f:id:networld-blog-post:20210415172632p:plain

 

任意で、この除外設定が適用される保護機能を選択します。

デフォルトでは[選択した項目のみ]が選択された状態で、具体的な機能は指定されていません。

併せて、ステータスが[有効]になっていることを確認して、[追加]をクリックします。

今回はEicarテストファイルの例なので、[ファイル脅威対策]のみを対象としました。

f:id:networld-blog-post:20210415172659p:plain

 

除外設定が追加されたことを確認し、[OK]をクリックします。

f:id:networld-blog-post:20210415172713p:plain

 

[保存]をクリックします。

f:id:networld-blog-post:20210415172734p:plain

 

ここから復元作業です。

GUIのTOP画面に戻り、[便利ツール]>[バックアップ]をクリックします。

f:id:networld-blog-post:20210415172753p:plain

 

復元したいファイルにチェックを入れ、[復元]をクリックします。

f:id:networld-blog-post:20210415172804p:plain

 

注意を促すメッセージが表示されますので、確認し、問題が無ければ[復元]をクリックします。

f:id:networld-blog-post:20210415172814p:plain

 

復元が完了すると、バックアップの一覧からファイル名が消えます。

実際に復元先に先ほどのファイルが復元されていることを確認します。

また、そのファイルを開いても検知されない状態になっていることを確認します。

以上がKESWのGUIから復元する方法でした。

 

KESWのCUIから操作して復元する方法

この章ではCUIから復元する方法を記載します。

この手順を実施するためには、"パスワードによる保護" 機能を有効にしている必要があります

(このことはメーカーのオンラインヘルプにも記載されております。)

https://support.kaspersky.com/KESWin/11.6.0/ja-JP/181298.htm

この機能が無効だと、本章で紹介する手順はたとえ管理者権限を有するユーザーであっても実行できません。

以上の前提をクリアしているのであれば、以下の手順で復元が可能です。

 

任意のユーザーでコマンドプロンプトを開き、以下のコマンドを実行します。

 > cd C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\

 > avp.com stop File_Monitoring

2個目のコマンドの "File_Monitoring" は"FM" でも可です。

2個目のコマンドを実行すると、ユーザー名とパスワードを求められますので、"パスワードによる保護" 機能で指定したユーザー名とパスワードを入力してください。

f:id:networld-blog-post:20210415173016p:plain

 

以下のコマンドを実行して、ファイル脅威対策のステータスが "disbled" になっていることを確認します。

 >avp.com status File_Monitoring

f:id:networld-blog-post:20210415173032p:plain

 

ファイルをリストアします。

 >avp.com restore <復元したいファイル名>

ファイル名はフルパス指定ではなく、ファイル名+拡張子だけで大丈夫です。

復元先は、もともとこのファイルがあったパスです。

restore の後ろに /replace を入れると、復元先に同名ファイルがあっても上書きします。

弊社が検証した限りでは、ファイル名が英数字だけの場合は " や ' は不要ですが、日本語が含まれる場合は " が必要です。

例) ファイル名が ”KESWのCUIから復元するテスト用ファイル.txt” の場合。

 >avp.com restore ”KESWのCUIから復元するテスト用ファイル.txt”

 

上のコマンドを実行するとユーザー名とパスワードを求められるので、"パスワードによる保護" 機能で指定したものを入力します。

f:id:networld-blog-post:20210415173205p:plain

復元が成功すると、上記のようにRestore completed successfully と出力されます。

実際に復元先に先ほどのファイルが復元されていることを確認します。

また、そのファイルを開いても検知されない状態になっていることを確認します。

 

ファイルの確認や各種対応が完了したら、以下のコマンドでファイル脅威対策を有効にするのをお忘れなく。

 >avp.com start File_Monitoring

なお、このコマンドには "パスワードによる保護" のユーザー情報は必要ありません。

f:id:networld-blog-post:20210415173308p:plain

以上がKESWのCUIから復元する方法でした。

 

今回はKESWによって削除または駆除されたファイルを復元する方法をご紹介いたしました。

Kaspersky製品に限らず、アンチウイルス製品を導入する際、お客様の業務利用しているファイルやアプリが大量に削除される…なんて可能性もゼロではありません。

アンチウイルス製品の導入フェーズをスムーズに進めるにあたり、管理者はあらかじめファイルの復元手順を確認してから臨むのが望ましいと考えます。

この記事がKESWによってファイルが削除または駆除されて困っている方の助けになれば、幸いにございます。

 

この度は最後まで記事をご覧いただき誠にありがとうございました。


記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それでは次回の記事でお会いしましょう!