この記事では、現在のバージョンの Microsoft Windows とWindows Serverで、Microsoft Defender ウイルス対策とMicrosoft Defender Exploit Guard の主要な保護機能を有効にしてテストする方法について説明します。
前提条件
サポートされるオペレーティング システム
- Windows 10 以降
- Windows Server 2016以降
グループ ポリシーを使用してMicrosoft Defenderウイルス対策を使用して機能を有効にする
このセクションでは、グループ ポリシー Central Store を使用してMicrosoft Defenderウイルス対策を評価用に構成する方法について説明します。
[リンク] から最新の管理用テンプレート ファイル をダウンロードし、オペレーティング システムのバージョンに基づいて管理用テンプレート ファイルをダウンロードします。
ヒント
個々のダウンロード ページの [システム要件] セクションを確認します。
- ほとんどのダウンロードでは、Windows クライアントと Windows サーバーがサポートされています。
- 利用可能で適用可能な最新のダウンロードを入手します。
最新の .admx テンプレートと .adml テンプレートをホストするセントラル ストアを作成するには、次のいずれかの手順を実行します。
ドメイン:
- ポリシーの継承をブロックする新しい OU を作成します。
- グループ ポリシー管理コンソール (gpmc.msc) を開きます。
- [オブジェクトのグループ ポリシー] に移動し、新しいグループ ポリシーを作成します。
- 新しいグループ ポリシーを右クリックし、[編集] を選択 します。
- [コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>Microsoft Defender ウイルス対策] に移動します。
ワークグループ:
- グループ ポリシー エディター (gpedit.msc) を開きます。
- [コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defender ウイルス対策] に移動します。
詳細については、「 セントラル ストア - Windows クライアントの作成と管理」を参照してください。
MDAV と望ましくない可能性のあるアプリケーション (PUA)
ルート:
| 説明 | Setting |
|---|---|
| ウイルス対策Microsoft Defenderオフにする | 無効 |
| 望ましくない可能性のあるアプリケーションの検出を構成する | 有効 - ブロック |
リアルタイム保護 (常時保護、リアルタイム スキャン)
リアルタイム保護:
| 説明 | Setting |
|---|---|
| リアルタイム保護をオフにする | 無効 |
| 受信および送信ファイルとプログラムのアクティビティの監視を構成する | 有効、双方向 (フル オン アクセス) |
| 動作監視を有効にする | 有効 |
| コンピューター上のファイルとプログラムのアクティビティを監視する | 有効 |
クラウド保護機能
セキュリティ インテリジェンスの更新プログラムStandard準備と提供に数時間かかることがあります。クラウド提供の保護サービスでは、この保護を数秒で提供できます。
詳細については、「クラウド提供の保護を通じてMicrosoft Defenderウイルス対策で次世代テクノロジを使用する」を参照してください。
MAPS:
| 説明 | Setting |
|---|---|
| Microsoft MAPS に参加する | 有効、高度な MAPS |
| "一目でブロック" 機能を構成する | 有効 |
| 詳細な分析が必要な場合にファイル サンプルを送信する | 有効、すべてのサンプルの送信 |
MpEngine:
| 説明 | Setting |
|---|---|
| クラウド保護レベルを選択する | 有効、高ブロック レベル |
| 拡張クラウド チェックを構成する | 有効、50 |
スキャン
| 説明 | Setting |
|---|---|
| ヒューリスティックを有効にする | 有効 |
| 電子メールスキャンを有効にする | 有効 |
| ダウンロードしたすべてのファイルと添付ファイルをスキャンする | 有効 |
| スクリプト スキャンを有効にする | 有効 |
| アーカイブ ファイルのスキャン | 有効 |
| パックされた実行可能ファイルをスキャンする | 有効 |
| ネットワーク ファイルのスキャンを構成する (ネットワーク Filesのスキャン) | 有効 |
| リムーバブル ドライブをスキャンする | 有効 |
| 再解析ポイントスキャンを有効にする | 有効 |
セキュリティ インテリジェンスの更新
| 説明 | Setting |
|---|---|
| セキュリティ インテリジェンス更新プログラムのチェック間隔を指定する | 有効、4 |
| セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する | [有効] の [セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する]
|
ローカル管理者の AV 設定を無効にする
除外などのローカル管理者 AV 設定を無効にし、Microsoft Defender for Endpointセキュリティ設定管理からポリシーを適用します。
ルート:
| 説明 | Setting |
|---|---|
| リストのローカル管理者のマージ動作を構成する | 無効 |
| 除外がローカル管理者に表示されるかどうかを制御する | 有効 |
脅威の重大度の既定のアクション
脅威:
| 説明 | Setting | アラート レベル | アクション |
|---|---|---|---|
| 検出されたときに既定のアクションを実行しない脅威アラート レベルを指定する | 有効 | ||
| 5 (重大) | 2 (検疫) | ||
| 4 (高) | 2 (検疫) | ||
| 2 (中) | 2 (検疫) | ||
| 1 (Low) | 2 (検疫) |
検疫:
| 説明 | Setting |
|---|---|
| 検疫フォルダーからの項目の削除を構成する | 有効、60 |
クライアント インターフェイス:
| 説明 | Setting |
|---|---|
| ヘッドレス UI モードを有効にする | 無効 |
ネットワーク保護
Exploit Guard\Network Protection のMicrosoft Defender:
| 説明 | Setting |
|---|---|
| ユーザーとアプリが危険な Web サイトにアクセスできないようにする | 有効、ブロック |
| この設定は、Windows Serverで Network Protection をブロック モードまたは監査モードに構成できるかどうかを制御します。 | 有効 |
Windows サーバーのネットワーク保護を有効にするには、今のところ PowerShell を使用してください。
| OS | PowerShell コマンド |
|---|---|
| Windows Server 2012 R2 以降 | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| R2 統合MDE クライアントのWindows Server 2016とWindows Server 2012 | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
攻撃面の減少ルール
[コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Microsoft DefenderExploit Guard>Attack Surface Reduction に移動します。
[次へ] を選択します。
| 値の名前 | ASR ルール名 | 値 |
|---|---|---|
| 01443614-cd74-433a-b99e-2ecdc07bfc25 | 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする | 1 (ブロック) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 | Office の通信アプリケーションによる子プロセスの作成をブロックする | 1 (ブロック) |
| 33ddedf1-c6e0-47cb-833e-de6133960387 | セーフ モードでのコンピューターの再起動をブロックする | 1 (ブロック) |
| 3b576869-a4ec-4529-8536-b80a7769e899 | Office アプリケーションによる実行可能なコンテンツの作成をブロックする | 1 (ブロック) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 | 悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) | 1 (ブロック) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc | 難読化される可能性のあるスクリプトの実行をブロックする | 1 (ブロック) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Office アプリケーションによる他のプロセスへのコード挿入をブロックする | 1 (ブロック) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Adobe Reader による子プロセスの作成をブロックする | 1 (ブロック) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | Office マクロからの Win32 API 呼び出しをブロックする | 1 (ブロック) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする | 1 (ブロック) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 | サーバーの WebShell 作成をブロックする | 1 (ブロック) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | USB から実行される信頼されていない、署名されていないプロセスをブロックする | 1 (ブロック) |
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | メール クライアントと Web メールからの実行可能なコンテンツをブロックする | 1 (ブロック) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | コピーまたは偽装されたシステム ツールの使用をブロックする | 1 (ブロック) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 | ランサムウェアに対する高度な保護を使用する | 1 (ブロック) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c | PSExec コマンドと WMI コマンドから発生するプロセス作成をブロックする | 1 (ブロック)* |
| d3e037e1-3eb8-44c8-a917-57927947596d | JavaScript または VBScript によるダウンロードした実行可能コンテンツの起動をブロックする | 1 (ブロック) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a | すべての Office アプリケーションによる子プロセスの作成をブロックする | 1 (ブロック) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b | WMI イベント サブスクリプションを使用して永続化をブロックする | 1 (ブロック) |
*MICROSOFT CONFIGURATION MANAGER (旧称 Microsoft Endpoint Configuration Manager と Microsoft System Center Configuration Manager) または WMI を使用するその他の管理ツールを使用する場合は、値 2 (監査) を使用します。 Configuration Manager クライアントは WMI に大きく依存しています。
ヒント
一部のルールでは、organizationで許容できる動作がブロックされる場合があります。 このような場合は、不要なブロックを防ぐために、ルールを 1 (ブロック) から 2 (監査) に変更します。
フォルダー アクセスの制御
[Computer Configuration>Administrative Templates>Windows Components>Microsoft Defender Antivirus>Microsoft DefenderExploit Guard>Attack Surface Reduction] に移動します。
| 説明 | Setting |
|---|---|
| フォルダー アクセスの制御を構成する | 有効、ブロック |
テスト マシンがある OU にポリシーを割り当てます。
改ざん防止を有効にする
https://security.microsoft.comのMicrosoft Defender ポータルで、[設定>Endpoints>Advanced features>Tamper Protection>On] に移動します。
詳細については、「改ざん防止操作方法構成または管理する」を参照してください。
Cloud Protection ネットワーク接続を確認する
侵入テスト中に Cloud Protection ネットワーク接続が機能していることを確認することが重要です。
管理者特権のコマンド プロンプト ([ 管理者として実行] を選択して開いたコマンド プロンプト ウィンドウ) で、次のコマンドを実行します。
ヒント
最初のコマンドは、ディレクトリを %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> の最新バージョンの <antimalware プラットフォーム バージョン>に変更します。 そのパスが存在しない場合は、 %ProgramFiles%\Windows Defenderに移動します。
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
詳細については、「MpCmdRun コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を構成および管理する」を参照してください。
プラットフォーム更新プログラムのバージョンを確認する
最新の 'Platform Update' バージョンの運用チャネル (GA) は、次のページから入手できます。
インストールされているバージョンの 'Platform Update' を表示するには、管理者特権の PowerShell セッション ([ 管理者として実行] を選択して開いた PowerShell ウィンドウ) で次のコマンドを実行します。
Get-MpComputerStatus | Format-Table AMProductVersion
セキュリティ インテリジェンス更新プログラムのバージョンを確認する
最新の "セキュリティ インテリジェンス更新プログラム" バージョンは、次のページから入手できます。
インストールされているバージョンの 'Security Intelligence Update' を表示するには、管理者特権の PowerShell セッションで次のコマンドを実行します。
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
エンジン更新プログラムのバージョンを確認する
最新のスキャン 'engine update' バージョンは、次のページから入手できます。
インストールされているバージョンの 'Engine Update' を確認するには、管理者特権の PowerShell セッションで次のコマンドを実行します。
Get-MpComputerStatus | Format-Table AMEngineVersion
設定が有効でない場合は、競合が発生する可能性があります。 競合を解決するには、「Microsoft Defenderウイルス対策設定のトラブルシューティング」を参照してください。
False Negatives (DN) 申請の場合
AV が行う検出Microsoft Defender関する質問がある場合、または検出が見つからない場合は、ファイルを送信できます。
Microsoft XDR、Microsoft Defender for Endpoint P2/P1、またはMicrosoft Defender for Businessがある場合は、「Microsoft Defender for Endpointでファイルを送信する」を参照してください。
ウイルス対策をMicrosoft Defenderしている場合は、「ファイルを送信して分析する」を参照してください。
MICROSOFT DEFENDER AV は、標準の Windows 通知による検出を示します。 Microsoft Defender AV アプリで検出を確認することもできます。
Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 イベント ID とそれに対応するアクションの一覧については、Microsoft Defenderウイルス対策イベントに関する記事を参照してください。
設定が正しく適用されていない場合は、環境内で有効になっているポリシーが競合しているかどうかを確認します。 詳細については、「Microsoft Defenderウイルス対策設定のトラブルシューティング」を参照してください。
Microsoft サポート ケースを開く必要がある場合: Microsoft Defender for Endpoint サポートにお問い合わせください。