Configuration Manager 2007 コンソールの FEP 領域で以前に作成した脅威の上書きがありません。FEP ポリシーで設定された脅威の上書きがクライアントにありません。ポリシーによって許可しようとした脅威が許可されず、 FEP クライアントで取り除かれます。
現象
この問題は、FEP ポリシーの脅威の上書きセクションがブランク データで上書きされた場合に、発生する可能性があります。脅威の上書きセクションがブランク データで上書きされるようになる状況は 2 つあり、そのどちらでもこの記事で説明するような現象が発生します。次に示すのがその状況です。
-
FEP クライアント ソフトウェアがインストールされていないコンピューターの Configuration Manager コンソールから、FEP ポリシーを編集した場合。
-
FEP 定義の列挙が UI で完了する前に、FEP ポリシーが開かれて、編集され、保存された場合の、UI でのデータ競合状態。UI データの読み込みが完了していないため、脅威の上書きにブランクのセクションが保存されてしまいます。通常、この列挙処理にかかる時間は 1 分未満です。この処理は、Configuration Manager の UI セッションで FEP ポリシーが初めて開かれたとき、または Configuration Manager コンソールをホストするコンピューターを保護する FEP クライアントで定義が更新されたときにのみ、行われます。
原因
-
FEP 2010 クライアント ソフトウェアがインストールされていないコンピューターの Configuration Manager コンソールからは、FEP ポリシーを編集しないでください。Configuration Manager 2007 コンソールをホストしているコンピューターに FEP クライアント ソフトウェアがインストールされていない場合は、FEP クライアント ソフトウェアをインストールしてこの問題を回避する必要があります。
-
第 2 の原因を解決するには、FEP ポリシー UI がポリシーの上書きセクションを読み込むのに十分な時間を設ける必要があります。セクションが読み込まれていることは、[マルウェア対策] タブをクリックし、[上書き] をクリックすることで確認できます。ダイアログ ボックスに "データ読み込み中" メッセージが表示される場合、上書きデータはまだ UI に読み込まれていません (通常、この処理にかかる時間は 1 分未満です)。このセクションにユーザー定義の脅威の上書きデータが表示される場合は、データは読み込まれており、ポリシーを適用できます。
解決方法
Configuration Manager コンソールの FEP ポリシー ダイアログ ボックスでは、同じシステムにインストールされている FEP 2010 クライアント ソフトウェアからすべての既知の脅威の一覧が取得されます。このデータが収集されると、FEP は UI プロセスのメモリにそれをキャッシュします。つまり、同一セッション内では、編集用に FEP ポリシーを開いて、最初にデータを読み込むときにのみ遅延が発生します。ただし、Configuration Manager コンソールを起動した後で初めて FEP ポリシーを開いたときは、ポリシーを保存する前に上書きデータを読み込むのに十分な時間がなく、ブランクの上書きセクションがポリシーと共に保存されて、カスタマイズした上書きデータが失われることがあります。
マイクロソフトはこの問題を認識しており、製品の将来のリリースで対処します。