Emotetの感染チェックツールEmoCheckをドメイン環境下のパソコンで定期的に自動実行する設定方法を記載します。
自動実行の概要
① EmoCheckを起動するバッチファイルを作成
EmoCheckをバックグラウンドで実行するためのバッチファイルを作成します。
② EmoCheckをタスクスケジューラに設定して自動実行
グループポリシーのタスク設定を利用して、ドメイン環境下のパソコンにEmoCheckを定期実行するタスクスケジューラを一切配布します。
③ 実行結果を共有フォルダに保存
EmoCheckの実行結果を社内に設置したサーバの共有フォルダ内に保存します。
バッチファイルの作成
EmoCheckを起動するバッチファイルを作成します。
作成したバッチファイルは共有フォルダ内に保存します。
バッチファイル内の変数は実行環境に合わせて変更が必要です。
@echo off
rem /********************************************************************/
rem * EmoCheckを実行して実行結果を共有フォルダに保存するバッチファイル */
rem /********************************************************************/
rem 環境設定
rem EmoCheckのファイル名(64bit)
set emocheck64=emocheck_v1.0_x64.exe
rem EmoCheckのファイル名(32bit)
set emocheck32=emocheck_v1.0_x86.exe
rem 共有フォルダのパス
set path=\\servername\dir\
rem 今日の日付(yyyyMMdd)
set day=%DATE:/=%
rem 日付フォルダが存在しない場合に作成
if not exist %path%%day% mkdir %path%%day%
rem ビット数を判定して実行ファイル名を設定
if "%PROCESSOR_ARCHITECTURE%" equ "AMD64" (
set emocheck=%emocheck64%
) else (
set emocheck=%emocheck32%
)
rem EmoCheckの実行
%path%%emocheck% /quiet /output %path%%day%
exit
EmoCheckのダウンロード
GitHubからEmoCheckをダウンロードして共有フォルダ内に保存します。
EmoCheckは32bitと64bit版があるので両方ダウンロードしてください。
自動起動の設定
ActiveDirectoryのグループポリシーを設定して1時間おきにバッチファイルを起動させます。
[コンピューターの構成]-[基本設定]-[コントロールパネルの設定]-[タスク]を開き、[新規作成]-[タスク(Windows7以降)]をクリックし、タスクのプロパティ画面を表示します。
1時間おきにバッチファイルを定期実行する場合のプロパティは以下のように設定します。
記載がない項目はデフォルトで設定します。
【全般タブ】
操作:更新
名前:任意の名前
タスクの実行時に使うユーザーアカウント:NT AUTHORITY\System
【トリガー】
繰り返し間隔:1時間
継続時間:無期限
【操作】
プログラム/スクリプト:上記で作成したバッチファイルへのパス
タスクスケジューラの登録確認
ドメイン環境下のパソコンを再起動すると、ローカルパソコンのタスクスケジューラにグループポリシーで設定したタスクが反映されます。
設定した時間通りにタスクが起動し、実行結果が保存されていることを確認します。