グループ ポリシーを使用してMicrosoft Defenderウイルス対策を評価する
適用対象:
- Microsoft Defender ウイルス対策
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
プラットフォーム:
- Windows
Windows 10以降およびWindows Server 2016以降では、Microsoft Defender ウイルス対策 (MDAV) と Microsoft Defender Exploit Guard (Microsoft Defender EG) によって提供される次世代の保護機能を使用できます。
このトピックでは、MICROSOFT DEFENDER AV と Microsoft Defender EG の主要な保護機能を有効にしてテストする方法について説明し、詳細情報へのガイダンスとリンクを提供します。
この記事では、Windows 10以降およびWindows Server 2016以降の構成オプションについて説明します。
グループ ポリシーを使用してMicrosoft Defenderウイルス対策を使用して機能を有効にする
このガイドでは、保護を評価するために使用する必要がある機能を構成するMicrosoft Defenderウイルス対策グループ ポリシーについて説明します。
最新の 'Windows グループ ポリシー 管理用テンプレート' を取得します。
詳細については、「 セントラル ストア - Windows クライアントの作成と管理」を参照してください。
ヒント
Windows 1 は Windows サーバーで動作します。
Windows 10またはWindows Server 2016を実行している場合でも、Windows 11 以降の最新の管理用テンプレートを取得します。
最新の .admx テンプレートと .adml テンプレートをホストする 'Central Store' を作成します。
詳細については、「 セントラル ストア - Windows クライアントの作成と管理」を参照してください。
ドメインに参加している場合:
新しい OU ブロック ポリシーの継承を作成します。
グループ ポリシー管理コンソール (GPMC.msc) を開きます。
[グループ ポリシー オブジェクト] に移動し、新しいグループ ポリシーを作成します。
作成した新しいポリシーを右クリックし、[編集] を選択 します。
[コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>Microsoft Defender ウイルス対策] に移動します。
または
ワークグループに参加している場合
MMC (GPEdit.msc) グループ ポリシー エディター開きます。
[コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defender ウイルス対策] に移動します。
MDAV と望ましくない可能性のあるアプリケーション (PUA)
根:
| 説明 | 設定 |
|---|---|
| ウイルス対策Microsoft Defenderオフにする | 無効 |
| 望ましくない可能性のあるアプリケーションの検出を構成する | 有効 - ブロック |
リアルタイム保護 (常時保護、リアルタイム スキャン)
\ リアルタイム保護:
| 説明 | 設定 |
|---|---|
| リアルタイム保護をオフにする | 無効 |
| 受信および送信ファイルとプログラムのアクティビティの監視を構成する | 有効、双方向 (フル オン アクセス) |
| 動作監視を有効にする | 有効 |
| コンピューター上のファイルとプログラムのアクティビティを監視する | 有効 |
クラウド保護機能
セキュリティ インテリジェンスの更新プログラムStandard準備と提供に数時間かかることがあります。クラウド提供の保護サービスでは、この保護を数秒で提供できます。
詳細については、「クラウド提供の保護を通じてMicrosoft Defenderウイルス対策で次世代テクノロジを使用する」を参照してください。
\ マップ:
| 説明 | 設定 |
|---|---|
| Microsoft MAPS に参加する | 有効、高度な MAPS |
| "一目でブロック" 機能を構成する | 有効 |
| 詳細な分析が必要な場合にファイル サンプルを送信する | 有効、すべてのサンプルの送信 |
\ MpEngine:
| 説明 | 設定 |
|---|---|
| クラウド保護レベルを選択する | 有効、高ブロック レベル |
| 拡張クラウド チェックを構成する | 有効、50 |
スキャン
| 説明 | 設定 |
|---|---|
| ヒューリスティックを有効にする | 有効 |
| 電子メールスキャンを有効にする | 有効 |
| ダウンロードしたすべてのファイルと添付ファイルをスキャンする | 有効 |
| スクリプト スキャンを有効にする | 有効 |
| アーカイブ ファイルのスキャン | 有効 |
| パックされた実行可能ファイルをスキャンする | 有効 |
| ネットワーク ファイルのスキャンを構成する (ネットワーク ファイルのスキャン) | 有効 |
| リムーバブル ドライブをスキャンする | 有効 |
| 再解析ポイントスキャンを有効にする | 有効 |
セキュリティ インテリジェンスの更新
| 説明 | 設定 |
|---|---|
| セキュリティ インテリジェンス更新プログラムのチェック間隔を指定する | 有効、4 |
| セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する | [有効] の [セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する] InternalDefinitionUpdateServer |MicrosoftUpdateServer |MMPC 手記:InternalDefinitionUpdateServer が WSUS であり、Microsoft Defenderウイルス対策の更新プログラムが許可されています。 MicrosoftUpdateServer == Microsoft Update (以前のWindows Update)。 MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
ローカル管理者の AV 設定を無効にする
除外などのローカル管理者 AV 設定を無効にし、Microsoft Defender for Endpointセキュリティ設定管理からポリシーを適用します。
根:
| 説明 | 設定 |
|---|---|
| リストのローカル管理者のマージ動作を構成する | 無効 |
| 除外がローカル管理者に表示されるかどうかを制御する | 有効 |
脅威の重大度の既定のアクション
\ 脅威
| 説明 | 設定 | アラート レベル | アクション |
|---|---|---|---|
| 検出されたときに既定のアクションを実行しない脅威アラート レベルを指定する | 有効 | ||
| 5 (重大) | 2 (検疫) | ||
| 4 (高) | 2 (検疫) | ||
| 2 (中) | 2 (検疫) | ||
| 1 (Low) | 2 (検疫) |
\ 検疫
| 説明 | 設定 |
|---|---|
| 検疫フォルダーからの項目の削除を構成する | 有効、60 |
\ クライアント インターフェイス
| 説明 | 設定 |
|---|---|
| ヘッドレス UI モードを有効にする | 無効 |
ネットワーク保護
\ Exploit Guard\Network Protection のMicrosoft Defender:
| 説明 | 設定 |
|---|---|
| ユーザーとアプリが危険な Web サイトにアクセスできないようにする | 有効、ブロック |
| この設定は、Windows Serverで Network Protection をブロック モードまたは監査モードに構成できるかどうかを制御します。 | 有効 |
Windows サーバーのネットワーク保護を有効にするには、現時点では Powershell を使用してください。
| OS | Powershell コマンドレット |
|---|---|
| R2Windows Server 2022 以降のWindows Server 2012 | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| R2 統合MDE クライアントのWindows Server 2016とWindows Server 2012 | set-MpPreference -AllowNetworkProtectionOnWinServer $true と set-MpPreference -AllowNetworkProtectionDownLevel $true |
攻撃面の減少ルール
[Computer Configuration>Administrative Templates>Windows Components>Microsoft Defender Antivirus>Microsoft DefenderExploit Guard>Attack Surface Reduction] に移動します。
[次へ] を選択します。
| 説明 | 設定 |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 注: (電子メール クライアントと Web メールから実行可能なコンテンツをブロックする) |
1 (ブロック) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 注: (Adobe Reader による子プロセスの作成をブロックする) |
1 (ブロック) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc 注: (難読化される可能性があるスクリプトの実行をブロックする) |
1 (ブロック) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 注: (悪用された脆弱な署名されたドライバーの悪用をブロックする) |
1 (ブロック) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b 注: (Office マクロからの Win32 API 呼び出しをブロックする) |
1 (ブロック) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 注: (有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする) |
1 (ブロック) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 注: (Office 通信アプリケーションによる子プロセスの作成をブロックする) |
1 (ブロック) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a 注: (すべての Office アプリケーションが子プロセスを作成できないようにブロックする) |
1 (ブロック) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb 注: ( [プレビュー] コピーまたは偽装されたシステム ツールの使用をブロックする) |
1 (ブロック) |
| d3e037e1-3eb8-44c8-a917-57927947596d 注: (ダウンロードした実行可能コンテンツの起動から JavaScript または VBScript をブロックする) |
1 (ブロック) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 注: (Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする) |
1 (ブロック) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 注: (サーバーの Web シェルの作成をブロックする) |
1 (ブロック) |
| 3b576869-a4ec-4529-8536-b80a7769e899 注: (Office アプリケーションによる実行可能コンテンツの作成をブロックする) |
1 (ブロック) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 注: (USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする) |
1 (ブロック) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 注: (Office アプリケーションがコードを他のプロセスに挿入できないようにブロックする) |
1 (ブロック) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b 注: (WMI イベント サブスクリプションによる永続化をブロックする) |
1 (ブロック) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 注: (ランサムウェアに対する高度な保護を使用する) |
1 (ブロック) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c 注: (PSExec および WMI コマンドから発生するプロセスの作成をブロックする) |
1 (ブロック) 手記:CONFIGURATION MANAGER (以前のSCCM)、または WMI を使用するその他の管理ツールがある場合は、1('block' ではなく 2 ('audit') に設定する必要がある場合があります。 |
| 33ddedf1-c6e0-47cb-833e-de6133960387 注: ( [プレビュー] セーフ モードでマシンの再起動をブロックする) |
1 (ブロック) |
ヒント
一部のルールでは、organizationで許容できる動作がブロックされる場合があります。 このような場合は、不要なブロックを防ぐために、ルールを [有効] から [監査] に変更します。
フォルダー アクセスの制御
[Computer Configuration>Administrative Templates>Windows Components>Microsoft Defender Antivirus>Microsoft DefenderExploit Guard>Attack Surface Reduction] に移動します。
| 説明 | 設定 |
|---|---|
| フォルダー アクセスの制御を構成する | 有効、ブロック |
テスト マシンがある OU にポリシーを割り当てます。
プラットフォーム更新プログラムのバージョンを確認する
最新の 'Platform Update' バージョンの運用チャネル (GA) は、次のページから入手できます。
インストールした 'Platform Update' バージョンをチェックするには、次の PowerShell コマンド (管理者として実行) を使用します。
get-mpComputerStatus | ft AMProductVersion
セキュリティ インテリジェンス更新プログラムのバージョンを確認する
最新の "セキュリティ インテリジェンス更新プログラム" バージョンは、次のページから入手できます。
インストールした 'Security Intelligence Update' バージョンをチェックするには、次の PowerShell コマンド (管理者として実行) を使用します。
get-mpComputerStatus | ft AntivirusSignatureVersion
エンジン更新プログラムのバージョンを確認する
最新のスキャン 'engine update' バージョンは、次のページから入手できます。
インストールした 'Engine Update' バージョンをチェックするには、次の PowerShell コマンド (管理者として実行) を使用します。
get-mpComputerStatus | ft AMEngineVersion
設定が有効になっていないことが分かれば、競合している可能性があります。 競合を解決するには、「Microsoft Defenderウイルス対策設定のトラブルシューティング」を参照してください。
False Negatives (DN) 申請の場合
AV が行う検出Microsoft Defender関する質問がある場合、または検出が見つからない場合は、ファイルを送信できます。
Microsoft XDR、Microsoft Defender for Endpoint P2/P1、またはMicrosoft Defender for Businessがある場合は、「Microsoft Defender for Endpointでファイルを送信する」を参照してください。
ウイルス対策をMicrosoft Defenderしている場合は、次を参照してください。https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
MICROSOFT DEFENDER AV は、標準の Windows 通知による検出を示します。 Microsoft Defender AV アプリで検出を確認することもできます。
Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 イベント ID とそれに対応するアクションの一覧については、Microsoft Defenderウイルス対策イベントに関する記事を参照してください。
設定が正しく適用されていない場合は、環境内で有効になっているポリシーが競合しているかどうかを確認します。 詳細については、「Microsoft Defenderウイルス対策設定のトラブルシューティング」を参照してください。
Microsoft サポート ケースを開く必要がある場合: Microsoft Defender for Endpoint サポートにお問い合わせください。