脆弱性攻撃ブロックについて

Kaspersky Security for Windows Server には、プロセスメモリを脆弱性攻撃から保護する機能があります。この機能は、脆弱性攻撃ブロックで実装されます。コンポーネントのアクティビティステータスを変更し、プロセスメモリ保護を設定できます。

コンポーネントは、保護対象プロセスに外部のプロセス保護エージェント(「エージェント」)を挿入することによってプロセスメモリを脆弱性攻撃から保護します。

プロセス保護エージェントは動的にロードされて保護対象プロセスに挿入される Kaspersky Security for Windows Server モジュールで、整合性を監視し、脆弱性を攻撃されるリスクを軽減できます。

保護対象プロセス内のエージェントの操作には、プロセスの開始と停止が必要です。保護対象プロセスリストに追加されたプロセスへのエージェントの初期ロードは、プロセスが再起動された場合のみ可能です。また、プロセスが保護対象プロセスリストから削除された後にエージェントをアンロードできるのは、プロセスの再起動後のみです。

エージェントを保護対象プロセスからアンロードするには、停止する必要があります。脆弱性攻撃ブロックをアンインストールすると、環境がフリーズさせられ、エージェントが保護対象プロセスから強制的にアンロードされます。コンポーネントのアンインストール中に保護対象プロセスのいずれかにエージェントが挿入された場合、影響を受けるプロセスを終了する必要があります。保護対象デバイスの再起動が必要になることがあります(システムプロセスが保護されている場合など)。

保護対象プロセスに脆弱性攻撃の証拠が検知されると、Kaspersky Security for Windows Server は次の処理のいずれかを実行します:

次の方法のいずれかを使用してプロセス保護を停止できます:

Kaspersky Security 脆弱性攻撃ブロックサービス

脆弱性攻撃ブロックの効果を最も高めるためには、保護対象デバイスに Kaspersky Security 脆弱性攻撃ブロックサービスが必要です。このサービスおよび脆弱性攻撃ブロックは、推奨インストールの一部です。kavfswh プロセスは保護対象デバイスのサービスのインストール時に作成、開始されます。これは、コンポーネントからセキュリティエージェントに、保護対象プロセスに関する情報を送信します。

Kaspersky Security 脆弱性攻撃ブロックサービスの停止後、Kaspersky Security for Windows Server は、保護対象プロセスリストに追加されたプロセスを引き続き保護し、新しく追加されたプロセスにもロードされ、使用可能なすべての脆弱性攻撃ブロック技術を適用してプロセスメモリを保護します。

Windows 10 以降のオペレーティングシステムを実行するデバイスの場合、Kaspersky Security 脆弱性攻撃ブロックサービスの停止後は、プロセスとプロセスのメモリが保護されません。

Kaspersky Security 脆弱性攻撃ブロックサービスが停止した場合、アプリケーションは保護対象プロセスに発生したイベントに関する情報を受信しません(脆弱性攻撃およびプロセスの終了に関する情報を含む)。さらに、エージェントは新しい保護設定および保護対象プロセスリストへの新しいプロセスの追加に関する情報を受信できません。

脆弱性攻撃ブロックモード

次のモードのいずれかを選択して、保護対象プロセスの脆弱性が攻撃される危険性を低減するために実行する処理を設定できます:

ページのトップに戻る