Windows 10以降およびWindows Server 2016以降では、Microsoft Defenderウイルス対策とエクスプロイト保護の次世代保護機能を使用できます。
この記事では、Microsoft Defenderウイルス対策とエクスプロイト保護の主要な保護機能を有効にしてテストする方法について説明します。
評価 版 PowerShell スクリプト を使用してこれらの機能を構成することをお勧めしますが、この記事で説明されているように、各機能を個別に有効にできます。
エンドポイント保護の製品とサービスの詳細については、次のリソースを参照してください。
- 次世代保護の概要
- Windows の Microsoft Defender ウイルス対策
- Windows Server 上の Microsoft Defender ウイルス対策
- エクスプロイトからデバイスを保護する
Microsoft Defenderウイルス対策による検出に関する質問がある場合、または検出が見つからない場合は、ファイルを Microsoft に送信できます。 詳細については、「分析のためにファイルを送信する」を参照してください。
PowerShell を使用して機能を有効にする
このガイドでは、保護を評価するために使用する必要がある機能を構成するMicrosoft Defenderウイルス対策コマンドレットについて説明します。
管理者特権の PowerShell セッション ([ 管理者として実行] を選択して開いた PowerShell ウィンドウ) でこれらのコマンドレットを使用します。
変更を加える前に、次の方法の 1 つまたは両方を使用して、すべての設定の現在の状態を表示して記録する必要があります。
- Get-MpPreference コマンドレットを使用します。
- PowerShell ギャラリーから DefenderEval モジュールをインストールし、Get-DefenderEvaluationReport コマンドレットを使用します。
Microsoft Defenderウイルス対策では、検出に標準の Windows 通知が使用されます。 Microsoft Defenderウイルス対策アプリで検出を確認することもできます。
Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 詳細については、「イベント ログとエラー コードを確認して、Microsoft Defenderウイルス対策に関する問題のトラブルシューティングを行う」を参照してください。
クラウド保護機能
Standard定義の更新には、準備と配信に数時間かかることがあります。 クラウドで提供される保護サービスは、この保護を数秒で提供できます。 詳細については、「クラウド保護とウイルス対策のMicrosoft Defender」を参照してください。
ほぼ瞬時に保護し、保護を強化するために、Microsoft Defender クラウドを有効にします。
Set-MpPreference -MAPSReporting Advancedグループ保護を強化するためにサンプルを自動的に送信します。
Set-MpPreference -SubmitSamplesConsent Alwaysクラウドを常に使用して、数秒以内に新しいマルウェアをブロックします。
Set-MpPreference -DisableBlockAtFirstSeen 0ダウンロードしたすべてのファイルと添付ファイルをスキャンします。
Set-MpPreference -DisableIOAVProtection 0クラウド ブロック レベルを [高] に設定します。
Set-MpPreference -CloudBlockLevel Highクラウド ブロックのタイムアウトを 1 分に設定します。
Set-MpPreference -CloudExtendedTimeout 50
常時保護 (リアルタイム スキャン)
Microsoft Defenderウイルス対策は、Windows がファイルを確認するときにファイルをスキャンし、実行中のプロセスで悪意のある動作 (既知または疑わしい) を監視します。 ウイルス対策エンジンが悪意のあるアクティビティを検出した場合、エンジンはプロセスまたはファイルの実行を直ちにブロックします。 これらのオプションの詳細については、「 動作、ヒューリスティック、リアルタイム保護を構成する」を参照してください。
既知のマルウェア アクティビティのファイルとプロセスを常に監視します。
Set-MpPreference -DisableRealtimeMonitoring 0**脅威と見なされないファイルでも、実行中のプログラムでの既知のマルウェアの動作を常に監視します。
Set-MpPreference -DisableBehaviorMonitoring 0スクリプトが表示または実行されたらすぐにスキャンします。
Set-MpPreference -DisableScriptScanning 0リムーバブル ドライブが挿入またはマウントされたらすぐにスキャンします。
Set-MpPreference -DisableRemovableDriveScanning 0
望ましくない可能性のあるアプリケーション保護
望ましくない可能性のあるアプリケーション は、従来は悪意のあるものとして分類されていないファイルやアプリです。 アプリの種類は次のとおりです。
- Microsoft 以外のインストーラー。
- 広告の挿入を行うアプリ。
- 一部の種類のブラウザー ツール バー。
グレーウェア、アドウェア、およびその他の望ましくない可能性のあるアプリがインストールされないようにします。
Set-MpPreference -PUAProtection Enabled
Emailおよびアーカイブ スキャン
Microsoft Defenderウイルス対策を設定すると、特定の種類の電子メール ファイルとアーカイブ ファイル (.zip ファイルなど) が Windows に表示されたときに自動的にスキャンされます。 詳細については、「Microsoft Defenderでのマネージド メール スキャン」を参照してください。
電子メール ファイルとアーカイブをスキャンする:
Set-MpPreference -DisableArchiveScanning 0 -DisableEmailScanning 0
製品と保護の更新プログラムを管理する
通常、Windows update から 1 日に 1 回Microsoft Defenderウイルス対策更新プログラムを取得します。 次のオプションを設定し、更新プログラムを管理するMicrosoft Configuration Manager、グループ ポリシー、またはMicrosoft Intuneを確保することで、更新頻度を増やすことができます。
毎日署名を更新する (既定値):
Set-MpPreference -SignatureUpdateIntervalスケジュールされたスキャンを実行する前に署名を更新します。
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
高度な脅威の軽減と防止
Exploit Protection には、脆弱なテクノロジに対する既知の悪意のある動作や攻撃からデバイスを保護するのに役立つ機能が用意されています。
悪意のある不審なアプリ (ランサムウェアなど) が、制御されたフォルダーを使用して保護されたフォルダーに変更を加えないようにします。
Set-MpPreference -EnableControlledFolderAccess Enabledネットワーク保護を使用して、既知の不適切な IP アドレスやその他のネットワーク接続への接続をブロックします。
Set-MpPreference -EnableNetworkProtection EnabledExploit Protection を使用して、標準的な軽減策のセットを適用します。
Invoke-WebRequest https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml攻撃面の縮小 (ASR) ルールを使用して、既知の悪意のある攻撃ベクトルをブロックします。
重要
通常、テストを行わずにブロック モードまたは警告モードで標準の保護規則を有効にすることができます。 監査 モードで 他の ASR ルールをテストしてから、[ ブロック ] または [ 警告 ] モードに切り替える必要があります。 詳細については、 ASR ルールのデプロイ ガイドを参照してください。
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,26190899-1602-49e8-8b27-eb1d0a1ce869 ,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,a8f5898e-1dc8-49a9-9878-85004b8a61e6,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode
改ざん防止を有効にする
詳細については、「改ざん防止操作方法構成または管理する」を参照してください。
Cloud Protection ネットワーク接続を確認する
次の手順を実行して、侵入テスト中に Cloud Protection ネットワーク接続が機能していることを確認することが重要です。
管理者特権のコマンド プロンプト ([ 管理者として実行] を選択して開いたコマンド プロンプト ウィンドウ) で、次のコマンドを実行します。
ヒント
最初のコマンドは、ディレクトリを %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> の最新バージョンの <antimalware プラットフォーム バージョン>に変更します。 そのパスが存在しない場合は、 %ProgramFiles%\Windows Defenderに移動します。
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
詳細については、「MpCmdRun コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を構成および管理する」を参照してください。
オフライン スキャンMicrosoft Defender 1 回選択
Microsoft Defenderオフライン スキャンは、通常のオペレーティング システム以外の専用環境にマシンを起動できる特殊なツールです。 これは、強力なマルウェアのために特に便利です, ルートキットなど.
詳細については、「オフラインMicrosoft Defender」を参照してください。
通知を使用して、特殊なマルウェア除去環境でデバイスを起動できることを確認します。
Set-MpPreference -UILockdown 0