Microsoft Defender エンドポイント セキュリティ設定管理 (エンドポイント セキュリティ ポリシー) を使用してMicrosoft Defenderウイルス対策を評価する
Windows 10以降およびWindows Server 2016以降では、Microsoft Defender ウイルス対策 (MDAV) と Microsoft Defender Exploit Guard (Microsoft Defender EG) によって提供される次世代の保護機能を使用できます。
この記事では、Windows 10以降および Windows Server 2016 以降の構成オプションについて説明します。MDAV および Microsoft Defender EG の主要な保護機能をアクティブ化してテストするためのガイドと、ガイダンスと詳細情報へのリンクを提供します。
MDAV が行う検出に関して質問がある場合、または検出が見つからない場合は、 サンプル提出ヘルプ サイトでファイルを送信できます。
Microsoft Defenderエンドポイント セキュリティ設定管理 (エンドポイント セキュリティ ポリシー) を使用して機能を有効にする
このセクションでは、保護を評価するために使用する必要がある機能を構成するMicrosoft Defender for Endpointセキュリティ設定管理 (エンドポイント セキュリティ ポリシー) について説明します。
MDAV は、 標準の Windows 通知による検出を示します。 MDAV アプリで検出を確認することもできます。 これを行うには、「ウイルス対策スキャンの結果Microsoft Defender確認する」を参照してください。
Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 イベント ID とそれに対応するアクションの一覧については、Microsoft Defenderウイルス対策イベントに関する記事を参照してください。 イベント ID とそれに対応するアクションの一覧については、「イベント ログとエラー コードを確認して、Microsoft Defenderウイルス対策に関する問題をトラブルシューティングする」を参照してください。
保護機能のテストに使用する必要があるオプションを構成するには、次の手順を実行します。
- Microsoft Defender XDRにサインインします。
- [ エンドポイント] > [構成管理] > [エンドポイント セキュリティ ポリシー] > [Windows ポリシー] > [新しいポリシーの作成] に移動します。
- [プラットフォームの選択] ドロップダウン リストからWindows 10、Windows 11、Windows Serverを選択します。
- [テンプレートMicrosoft Defender選択] ドロップダウン リストから [ウイルス対策] を選択します。
- [ポリシーの作成] を選択します。 [ 新しいポリシーの作成 ] ページが表示されます。
- [ 基本 ] ページで、[ 名前 ] フィールドと [説明] フィールドにプロファイルの名前と 説明 をそれぞれ入力します。
- [次へ] を選択します。
- [ 構成設定 ] ページで、設定のグループを展開します。
- これらの設定グループから、このプロファイルで管理する設定を選択します。
- 次の表で説明するように設定を構成して、選択した設定グループのポリシーを設定します。
リアルタイム保護 (Always-On 保護、リアルタイム スキャン):
| 説明 | Settings |
|---|---|
| リアルタイム監視を許可する | 許可 |
| リアルタイム スキャン方向 | すべてのファイルを監視する (双方向) |
| 動作の監視を許可する | 許可 |
| アクセス保護の許可 | 許可 |
| PUA Protection | PUA Protection on |
クラウド保護機能:
| 説明 | 設定 |
|---|---|
| Cloud Protection を許可する | 許可 |
| クラウド ブロックのレベル | 高い |
| クラウド拡張タイムアウト | 構成済み、50 |
| サンプルの送信同意 | すべてのサンプルを自動的に送信する |
セキュリティ インテリジェンスの更新プログラムStandard準備と提供に数時間かかることがあります。クラウド提供の保護サービスでは、この保護を数秒で提供できます。 詳細については、「クラウド提供の保護を通じてMicrosoft Defenderウイルス対策で次世代テクノロジを使用する」を参照してください。
スキャン:
| 説明 | 設定 |
|---|---|
| Emailスキャンを許可する | 許可 |
| ダウンロードしたすべてのファイルと添付ファイルのスキャンを許可する | 許可 |
| スクリプトスキャンを許可する | 許可 |
| アーカイブスキャンを許可する | 許可 |
| ネットワーク ファイルのスキャンを許可する | 許可 |
| フル スキャンリムーバブル ドライブのスキャンを許可する | 許可 |
ネットワーク保護:
| 説明 | 設定 |
|---|---|
| ネットワーク保護を有効にする | 有効 (ブロック モード) |
| ネットワーク保護のダウン レベルを許可する | ネットワーク保護はダウンレベルで有効になります。 |
| Win Server でデータグラム処理を許可する | Windows Serverでのデータグラム処理が有効になっています。 |
| TCP 解析で DNS を無効にする | TCP 解析経由の DNS が有効になっています。 |
| HTTP 解析を無効にする | HTTP 解析が有効になっています。 |
| SSH 解析を無効にする | SSH 解析が有効になっています。 |
| TLS 解析を無効にする | TLS 解析が有効になっています。 |
| DNS シンクホールを有効にする | DNS シンクホールが有効になっています。 |
セキュリティ インテリジェンスの更新:
| 説明 | 設定 |
|---|---|
| 署名の更新間隔 | 構成済み、4 |
説明: Signature Update Fallback Order Setting: Signature Update Fallback のチェック ボックスをオンにする
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC。"InternalDefinitionUpdateServer" は WSUS であり、Microsoft Defenderウイルス対策の更新プログラムが許可されています。'MicrosoftUpdateServer' = Microsoft Update (旧称 Windows Update)、MMPC = https://www.microsoft.com/en-us/wdsi/definitions。
ローカル管理者 AV:
除外などのローカル管理者 AV 設定を無効にし、次の表に示すようにMicrosoft Defender for Endpointセキュリティ設定管理からポリシーを設定します。
| 説明 | 設定 |
|---|---|
| ローカル 管理マージを無効にする | ローカル 管理マージを無効にする |
脅威の重大度の既定のアクション:
| 説明 | 設定 |
|---|---|
| 重大度の高い脅威に対する修復アクション | 検疫する |
| 重大な脅威に対する修復アクション | 検疫する |
| 重大度の低い脅威の修復アクション | 検疫する |
| 重大度の中程度の脅威に対する修復アクション | 検疫する |
| 説明 | 設定 |
|---|---|
| クリーニングを保持する日数 | 構成済み、60 |
| ユーザー UI アクセスを許可する | 許可。 ユーザーが UI にアクセスできるようにします。 |
- 設定の構成が完了したら、[次へ] を選択します。
- [ 割り当て ] タブで、[ デバイス グループ ] または [ ユーザー グループ ] または [ すべてのデバイス ] または [ すべてのユーザー] を選択します。
- [次へ] を選択します。
- [ 確認と作成 ] タブで、ポリシー設定を確認し、[保存] を選択 します。
攻撃面の縮小ルール
エンドポイント セキュリティ ポリシーを使用して攻撃面リダクション (ASR) ルールを有効にするには、次の手順を実行します。
Microsoft Defender XDRにサインインします。
[ エンドポイント] > [構成管理] > [エンドポイント セキュリティ ポリシー] > [Windows ポリシー] > [新しいポリシーの作成] に移動します。
[プラットフォームの選択] ドロップダウン リストからWindows 10、Windows 11、Windows Serverを選択します。
[テンプレートの選択] ドロップダウン リストから [攻撃面の減少ルール] を選択します。
[ポリシーの作成] を選択します。
[ 基本 ] ページで、プロファイルの名前と説明を入力します。次に、[ 次へ] を選択します。
[ 構成設定 ] ページで、設定のグループを展開し、このプロファイルで管理する設定を構成します。
次の推奨設定に基づいてポリシーを設定します。
説明 設定 電子メール クライアントと Web メールから実行可能なコンテンツをブロックする ブロック Adobe Reader による子プロセスの作成をブロックする ブロック 難読化される可能性のあるスクリプトの実行をブロックする ブロック 悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) ブロック Office マクロからの Win32 API 呼び出しをブロックする ブロック 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする ブロック Office 通信アプリケーションによる子プロセスの作成をブロックする ブロック すべての Office アプリケーションが子プロセスを作成できないようにブロックする ブロック [プレビュー]コピーまたは偽装されたシステム ツールの使用をブロックする ブロック ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする ブロック Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする ブロック サーバーの Web シェル作成をブロックする ブロック Office アプリケーションによる実行可能コンテンツの作成をブロックする ブロック USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする ブロック Office アプリケーションによるコードの他のプロセスへの挿入をブロックする ブロック WMI イベント サブスクリプションを使用して永続化をブロックする ブロック ランサムウェアに対する高度な保護を使用する ブロック PSExec および WMI コマンドからのプロセスの作成をブロックする ブロック
注: WMI を使用するConfiguration Manager (以前のSCCM)、またはその他の管理ツールがある場合は、[ブロック] ではなく [監査] に設定する必要がある場合があります。[プレビュー]セーフ モードでのコンピューターの再起動をブロックする ブロック フォルダー アクセスの制御を有効にする 有効
ヒント
いずれのルールでも、organizationで許容できる動作がブロックされる場合があります。 このような場合は、"Attack Surface Reduction Only Exclusions" という名前のルールごとの除外を追加します。 また、ルールを [有効] から [監査 ] に変更して、不要なブロックを防ぎます。
- [次へ] を選択します。
- [ 割り当て ] タブで、[ デバイス グループ ] または [ ユーザー グループ ] または [ すべてのデバイス ] または [ すべてのユーザー] を選択します。
- [次へ] を選択します。
- [ 確認と作成 ] タブで、ポリシー設定を確認し、[保存] を選択 します。
プラットフォームの更新プログラムのバージョンを確認する
最新の "プラットフォーム更新プログラム" バージョンの運用チャネル (GA) は、 Microsoft Update Catalog で入手できます。
インストールした "プラットフォーム更新プログラム" バージョンをチェックするには、管理者の特権を使用して PowerShell で次のコマンドを実行します。
Get-MPComputerStatus | Format-Table AMProductVersion
セキュリティ インテリジェンス更新プログラムのバージョンを確認する
最新の "セキュリティ インテリジェンス更新プログラム" バージョンは、Microsoft Defender ウイルス対策およびその他の Microsoft マルウェア対策の最新のセキュリティ インテリジェンス更新プログラムでMicrosoft セキュリティ インテリジェンス。
インストールした "セキュリティ インテリジェンス更新プログラム" バージョンをチェックするには、管理者の特権を使用して PowerShell で次のコマンドを実行します。
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
エンジン更新プログラムのバージョンを確認する
最新のスキャン "エンジン更新プログラム" バージョンは、Microsoft Defender ウイルス対策およびその他の Microsoft マルウェア対策の最新のセキュリティ インテリジェンス更新プログラムで利用Microsoft セキュリティ インテリジェンス。
インストールした "Engine Update" バージョンをチェックするには、管理者の権限を使用して PowerShell で次のコマンドを実行します。
Get-MPComputerStatus | Format-Table AMEngineVersion
設定が有効になっていない場合は、競合している可能性があります。 競合を解決する方法については、「Microsoft Defenderウイルス対策設定のトラブルシューティング」を参照してください。
False Negatives (DN) 申請の場合
False Negatives (DN) の申請を行う方法については、次を参照してください。
- Microsoft XDR、Microsoft Defender for Endpoint P2/P1、またはMicrosoft Defender for Businessがある場合は、Microsoft Defender for Endpointでファイルを送信します。
- ウイルス対策をMicrosoft Defenderしている場合は、分析のためにファイルを送信します。