適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。
使用可能な機能は製品によって異なります。このトピックでは、Endpoint Security 製品では使用できない可能性のある機能をリストします。
ランサムウェアの脅威は、ワークステーションとサーバーで検出されたファイルの内容を暗号化します。すると脅威は、暗号化された情報を接続するため、標的とした企業に対し金銭による身代金を要求します。これらの脅威は、事業運営に影響を及ぼす可能性があるため、きわめて危険です。WatchGuard Endpoint Security には、ランサムウェア攻撃の検出と修正の両方において組織を支援する複数の機能が含まれています。
- シャドウ コピーを有効にすると、コンピュータ ファイルのコピーが毎日最大 7 つ作成されます。攻撃が発生してから 7 日以内に、暗号化されたファイルのクリーンなコピーを必ず回復してください。7 日後、シャドウ コピーはすべて、暗号化ファイルのコピーになります。シャドウ コピーの構成方法については、次を参照してください:Shadow Copies を構成する。
- コンピュータを隔離機能を使用して、ランサムウェア攻撃の影響を受けた Windows コンピュータを隔離することができます。コンピュータを隔離すると、そのコンピュータの通常の動作に影響が生じる可能性があります。サーバーの場合、ネットワーク上の他のコンピュータが正常に動作しなくなる可能性があります。詳細については、次を参照してください:コンピュータを隔離する。
- エンドポイント セキュリティ ソフトウェアがすべてのコンピュータで正常に動作していることを確認します。
- コンピュータにインストールされている Endpoint Security ソフトウェアの動作ステータスを確認するには、次を確認してください:保護ステータス タイル (ダッシュボードに表示)。
- 保護ステータスが エラー の場合は、コンピュータにセキュリティ ソフトウェアを再インストールします。
- セキュリティ ソフトウェアがインストールされていないコンピュータを見つけます。保護されていないコンピュータを検索する方法については、次を参照してください:ディスカバリー コンピュータ タスクをスケジュール設定および実行する。
- 以下の設定を使用して高度な保護を構成します:
- 動作モードを ロック に設定します。
- 高度なセキュリティ ポリシーを ブロック に設定します。(Advanced EPDR のみ)
- エクスプロイト対策保護を ブロック に設定します。
- エクスプロイト対策保護でコード インジェクションを有効化します。
詳細については、次を参照してください:高度な保護。
- ファイルのアンチウイルス、メールのアンチウイルス、および Web 閲覧のアンチウイルスを有効にして、すべての種類の脅威を検出するよう構成します。詳細については、次を参照してください:ウイルス対策スキャンを構成する。
- 改ざん防止を構成し、保護ソフトウェアの不正なアンインストールを防止するパスワードを設定します。詳細については、次を参照してください:改ざんを防止するセキュリティを構成する (Windows および Linux コンピュータ)。
- シャドウ コピー の最大容量が 10% から 20% であることを確認し、コピーを作成するための容量が十分にあることを確認します。詳細については、次を参照してください:Shadow Copies を構成する。
ランサムウェアを削除してシステムを復旧するには、以下の手順を実行します:
- 検出された重大な脆弱性を修正するパッチをインストールします。
詳細については、次を参照してください:利用可能なパッチを表示する。 - オンデマンド スキャンを実行します。
詳細については、次を参照してください:スキャンをスケジュール タスクを作成する。 - 影響を受けたコンピュータを再起動し、進行中のリモート接続を閉じます。
詳細については、次を参照してください:コンピュータを再起動する (Windows コンピュータ)。 再起動後もランサムウェアがまだアクティブな場合は、WatchGuard テクニカル サポートにお問い合わせください。 - Windows シャドウ コピーまたは自社のデータ回復手順に従って、各コンピュータで暗号化ファイルを復元します。
- 変更したセキュリティ設定を以前の設定に戻します。