【Windows】Symantec Endpoint Protection でSymELAMが無効になってしまう

Windows

こんにちは!今回はWindows10において、Symantec Endpoint Protection(以下、SEP)のSymElam(早期起動マルウェア対策機能)が無効になってしまう事象について設定方法を紹介します。

Early Launch Anti-Malwareは、簡単に言うとセキュリティ対策ツールが起動する前に動作し始めるマルウェアです。そのため、この機能が無効になっている場合、その類のマルウェアに感染してしまうとせっかくのセキュリティ対策が無意味になってしまいます。

セキュリティ攻撃はさまざまな損害を被ってしまうので、早い段階で解決してしまいましょう。

発生した事象

タスクトレイ内のSEPのアイコンをふと確認したときに、警告マークが表示されていました。
マウスポインタを重ねてみると、SymElamが無効ですと表示されてしまいます。

また、この状態でダブルクリックし、SEPのウィンドウを出すと、赤い警告画面が表示されます(スクリーンショットは取り忘れました・・・)

また、SEPの管理ウィンドウから[修復]ボタンをクリックすると一旦修復されるのですが、再起動やスリープをしてしまうとまた無効になってしまいます。

考えられる原因

残念ながら推測ですが、恐らく直近にOSの機能更新プログラム(FU)をインストールしたので、それに原因があったのではないかと考えています。

SEPそのものの設定が書き換えられてしまったか、設定値をWindowsUpdateが上書いてしまったのではないかと思います。

また、スリープ等で元に戻ってしまうことから、SEPそのものよりOSの破損のように思います。

※正直発生事象の件数が少なすぎて確実な原因はわかりませんでした。

解決方法

SEPのSymElam機能を有効に設定する

SEPの管理画面を開き、左メニューの「設定の変更」をクリックし、「ウィルスとスパイウェア対策」の項目にある「オプションの設定」ボタンをクリックする

表示されたウィンドウ内にある、「早期起動マルウェア対策」タブをクリックし、「Symantec 早期起動マルウェア対策を有効にする」のチェックボックスにチェックを入れ、「OK」をクリックする。

これによって無効になってしまったELAMを有効にすることができます。

ネットワークの状態をチェックする

SEPはインターネットや企業内のイントラネット内から自身の情報や更新情報を取得したり、ウィルス情報などをシマンテック社に報告しています。

その流れがうまくいかないことにより、更新ができずこのような状況になることがあるようです。

一度ちゃんとインターネットや企業内イントラネットサイトなどが閲覧できるか確認してみてください。

OS修復を試す

残念ながら他の原因があるのかもしれません。OSの修復上書きインストールを試してみると良いかもしれません。

あとがき

今回はSEPのSymElamが無効になってしまう事象について設定方法を紹介しました。

私の環境では、この機能を再度有効にした直後は有効にはなります。その状態で再起動するとまた無効になってしまうという動きを繰り返していました。これが非常に悩ましく、どのように解決したらよいかわかりませんでした。

ですが、そうやって悩んでいるうちに、ネットワークに接続したままいつの間にか時間が経過していたんでしょうね。気づくと事象は解決してしまいました。恐らくネットワークから設定やら修復情報やらを取得して自己修復したのだと思います。

具体的な原因と解決方法でなくて大変申し訳ないです。

セキュリティ対策は日々進化するリスクとの闘いです。少しでも不穏な動きを見つけたら直ちに修復にかからないと後々大変なことになってしまいます。

今回の事象は、気を付けていないと気づかなかったケースになると思います。
この記事をきっかけに、ご自身のPCの設定も無効になっている機能がないか確認していただければ嬉しいです。

何かのお役に立てれば幸いです。

参考URL

Early Launch Anti-Malware is Disabled | Endpoint Protection
I just installed SEP 12.1.5 on a Win2012 server. During the policy creation I chose not to enable the Early Launch Anti-Malware Driver. After the install, the l

コメント

Translate »
タイトルとURLをコピーしました