Microsoft Defender for Endpointでのモードシナリオのトラブルシューティング

適用対象:

• Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

Microsoft Defender for Endpointトラブルシューティング モードを使用すると、organization ポリシーによって制御されている場合でも、さまざまなMicrosoft Defenderウイルス対策機能をデバイスから有効にし、さまざまなシナリオをテストすることで、さまざまなMicrosoft Defenderウイルス対策機能をトラブルシューティングできます。 トラブルシューティング モードは既定で無効になっており、デバイス (またはデバイスのグループ) に対して一定期間有効にする必要があります。 これはエンタープライズ専用の機能であり、Microsoft Defender XDRアクセスが必要です。

Microsoft Defender ウイルス対策に関連するパフォーマンス固有の問題のトラブルシューティングについては、「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

ヒント

• トラブルシューティング モードでは、Windows デバイスで PowerShell コマンド Set-MPPreference -DisableTamperProtection $true を使用できます。
• 改ざん防止の状態をチェックするには、Get-MpComputerStatus PowerShell コマンドレットを使用します。 結果の一覧で、 または を探 IsTamperProtected します RealTimeProtectionEnabled。 ( true の値は、改ざん防止が有効になっていることを意味します)。

シナリオ 1: アプリケーションをインストールできない

アプリケーションをインストールしても、ウイルス対策と改ざん防止Microsoft Defenderオンになっているというエラー メッセージが表示される場合は、次の手順に従って問題のトラブルシューティングを行います。

1. セキュリティ管理者にトラブルシューティング モードを有効にするよう要求します。 トラブルシューティング モードが開始すると、Windows セキュリティ通知が表示されます。

2. ローカル管理者アクセス許可を使用して (ターミナル サービスを使用して) デバイスに接続します。

3. プロセス モニターの開始 (ProcMon)。 「 リアルタイム保護に関連するパフォーマンスの問題のトラブルシューティング」で説明されている手順を参照してください。

4. [Windows セキュリティ][>脅威] & [ウイルス対策>] [設定>の管理] [改ざん防止>オフ] の順に移動します。

   または、トラブルシューティング モードでは、Windows デバイスで PowerShell コマンド Set-MPPreference -DisableTamperProtection $true を使用できます。

   改ざん防止の状態をチェックするには、Get-MpComputerStatus PowerShell コマンドレットを使用します。 結果の一覧で、 または を探 IsTamperProtected します RealTimeProtectionEnabled。 ( true の値は、改ざん防止が有効になっていることを意味します)。

5. 管理者特権で PowerShell コマンド プロンプトを起動し、 リアルタイム保護をオフに切り替えます。

   • を実行Get-MpComputerStatusして、リアルタイム保護の状態をチェックします。
   • を実行 Set-MpPreference -DisableRealtimeMonitoring $true して、リアルタイム保護をオフにします。
   • もう一度実行 Get-MpComputerStatus して状態を確認します。

6. アプリケーションをインストールしてみてください。

シナリオ 2: Windows Defenderによる CPU 使用率が高い (MsMpEng.exe)

スケジュールされたスキャン中に、MsMpEng.exe が高い CPU を消費する場合があります。

1. [タスク マネージャー>の詳細] タブに移動して、CPU 使用率が高い理由であることをMsMpEng.exe確認します。 スケジュールされたスキャンが現在進行中かどうかを確認するチェックもあります。

2. CPU スパイク中に プロセス モニター (ProcMon) を約 5 分間実行し、ProcMon ログで手掛かりを確認します。

3. 根本原因が特定されたら、トラブルシューティング モードをオンにします。

4. デバイスにサインインし、管理者特権の PowerShell コマンド プロンプトを起動します。

5. 次のいずれかのコマンドを使用して ProcMon の結果に基づいてプロセス/ファイル/フォルダー/拡張機能の除外を追加します (この記事で説明するパス、拡張機能、およびプロセスの除外は例のみです)。

   Set-mppreference -ExclusionPath (例: C:\DB\DataFiles) Set-mppreference –ExclusionExtension (例: .dbx) Set-mppreference –ExclusionProcess (例: C:\DB\Bin\Convertdb.exe)

6. 除外を追加した後、CPU 使用率が低下したかどうかを確認するチェック。

Microsoft Defenderウイルス対策のスキャンと更新に関するコマンドレット構成の設定の詳細についてはSet-MpPreference、「Set-MpPreference」を参照してください。

シナリオ 3: アクションの実行に時間がかかるアプリケーション

Microsoft Defenderウイルス対策リアルタイム保護が有効になっている場合、アプリケーションの基本的なタスクの実行に時間がかかる場合があります。 リアルタイム保護をオフにし、問題のトラブルシューティングを行うには、次の手順に従います。

1. セキュリティ管理者に、デバイスのトラブルシューティング モードを有効にするよう要求します。

2. このシナリオでリアルタイム保護を無効にするには、まず 改ざん防止をオフにします。 Windows デバイスで PowerShell コマンド Set-MPPreference -DisableTamperProtection $true を使用できます。

   改ざん防止の状態をチェックするには、Get-MpComputerStatus PowerShell コマンドレットを使用します。 結果の一覧で、 または を探 IsTamperProtected します RealTimeProtectionEnabled。 ( true の値は、改ざん防止が有効になっていることを意味します)。

   詳細については、「 改ざん防止によるセキュリティ設定の保護」を参照してください。

3. 改ざん防止が無効になったら、デバイスにサインインします。

4. 管理者特権の PowerShell コマンド プロンプトを起動し、次のコマンドを実行します。

   Set-mppreference -DisableRealtimeMonitoring $true

5. リアルタイム保護を無効にした後、アプリケーションの速度が低下しているかどうかを確認するチェック。

シナリオ 4: 攻撃面の縮小によってブロックされた Microsoft Office プラグイン

すべての Office アプリケーションで子プロセスを作成できないようにブロック モードに設定されているため、攻撃面の縮小では Microsoft Office プラグインが正常に動作しません。

1. トラブルシューティング モードを有効にして、デバイスにサインインします。

2. 管理者特権の PowerShell コマンド プロンプトを起動し、次のコマンドを実行します。

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. ASR 規則を無効にした後、Microsoft Office プラグインが機能することを確認します。

詳細については、「 攻撃面の縮小の概要」を参照してください。

シナリオ 5: ネットワーク保護によってブロックされたドメイン

Network Protection によって Microsoft ドメインがブロックされ、ユーザーがアクセスできなくなります。

1. トラブルシューティング モードを有効にして、デバイスにサインインします。

2. 管理者特権の PowerShell コマンド プロンプトを起動し、次のコマンドを実行します。

   Set-MpPreference -EnableNetworkProtection Disabled

3. Network Protection を無効にした後、ドメインが許可されているかどうかを確認するチェック。

詳細については、「 ネットワーク保護を使用して、不適切なサイトへの接続を防止する」を参照してください。

関連項目

• トラブルシューティング モードを有効にする
• 改ざん防止機能を使用してセキュリティ設定を保護する
• Set-MpPreference
• Microsoft Defender for Endpoint の概要を確認する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。