Microsoft Defender エンドポイント セキュリティ設定管理 (エンドポイント セキュリティ ポリシー) を使用してMicrosoft Defenderウイルス対策を評価する

Windows 10以降およびWindows Server 2016以降では、Microsoft Defender ウイルス対策 (MDAV) と Microsoft Defender Exploit Guard (Microsoft Defender EG) によって提供される次世代の保護機能を使用できます。

この記事では、Windows 10以降のバージョンおよびWindows Server 2016以降のバージョンで使用できる構成オプションについて説明します。 Microsoft Defender ウイルス対策 (MDAV) とMicrosoft Defender for Endpoint (EG) の主要な保護機能をアクティブ化してテストする方法に関する詳細なガイダンスを提供します。

MDAV が行う検出に関して質問がある場合、または検出が見つからない場合は、 サンプル提出ヘルプ サイトでファイルを送信できます。

Microsoft Defenderエンドポイント セキュリティ設定管理 (エンドポイント セキュリティ ポリシー) を使用して機能を有効にする

このセクションでは、保護を評価するために使用する必要がある機能を構成するMicrosoft Defender for Endpointセキュリティ設定管理 (エンドポイント セキュリティ ポリシー) について説明します。

MDAV は、 標準の Windows 通知による検出を示します。 MDAV アプリで検出を確認することもできます。 これを行うには、「ウイルス対策スキャンの結果Microsoft Defender確認する」を参照してください。

Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 イベント ID とそれに対応するアクションの一覧については、Microsoft Defenderウイルス対策イベントに関する記事を参照してください。 イベント ID とそれに対応するアクションの一覧については、「イベント ログとエラー コードを確認して、Microsoft Defenderウイルス対策に関する問題をトラブルシューティングする」を参照してください。

保護機能のテストに使用する必要があるオプションを構成するには、次の手順を実行します。

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[エンドポイント>構成管理>Endpoint セキュリティ ポリシー] に移動します。 または、[ エンドポイント セキュリティ ポリシー ] ページに直接移動するには、 https://security.microsoft.com/policy-inventory Windows ポリシーを使用します。

  2. [エンドポイント セキュリティ ポリシー] ページで、[Windows ポリシー] タブが選択されていることを確認し、[新しいポリシーの作成] を選択します。

  3. いた [新しいポリシーの作成] ポップアップで 、次の設定を構成します。

    • プラットフォームを選択する: [Windows] を選択します。
    • [テンプレートの選択]: [Microsoft Defenderウイルス対策] を選択します。

    [ポリシーの作成] を選択します。

  4. 新しいポリシーの作成ウィザードが開きます。 [基本] ページで、次の設定を構成します。

    • [名前]: ポリシーの一意の名前を入力します。
    • 説明: 省略可能な説明を入力します。

    [次へ] を選択します。

  5. [ 構成設定 ] ページで、次の表の説明に従って Defender セクションの設定を構成します。

    • リアルタイム保護:

      設定
      リアルタイム監視を許可する 許可。 リアルタイム監視サービスをオンにして実行します。 (既定)
      リアルタイム スキャン方向 すべてのファイル (双方向) を監視します。 (既定)
      動作の監視を許可する 許可。 リアルタイム動作監視を有効にします (既定値)。
      アクセス保護の許可 許可。 (既定)
      PUA Protection PUA Protection on。 検出された項目はブロックされます。 他の脅威と共に履歴に表示されます。

    • クラウド保護機能:

      設定
      Cloud Protection を許可する 許可。 Cloud Protection を有効にします。 (既定)
      クラウド ブロックのレベル
      クラウドの延長タイムアウト 構成済み、50
      サンプルの送信同意 すべてのサンプルを自動的に送信する

      Standardセキュリティ インテリジェンスの更新プログラムは、準備と配信に数時間かかることがあります。 クラウドで提供される保護サービスは、この保護を数秒で提供できます。 詳細については、「クラウド提供の保護を通じてMicrosoft Defenderウイルス対策で次世代テクノロジを使用する」を参照してください。

    • スキャン:

      設定
      Emailスキャンを許可する 許可。 メールスキャンを有効にします。
      ダウンロードしたすべてのファイルと添付ファイルのスキャンを許可する 許可。 (既定)
      スクリプトスキャンを許可する 許可。 (既定)
      アーカイブスキャンを許可する 許可。 アーカイブ ファイルをスキャンします。 (既定)
      ネットワークFilesのスキャンを許可する 許可。 ネットワーク ファイルをスキャンします。 (既定)
      フル スキャンリムーバブル ドライブのスキャンを許可する 許可。 リムーバブル ドライブをスキャンします。

    • ネットワーク保護:

      設定
      ネットワーク保護を有効にする 有効 (ブロック モード)
      ネットワーク保護のダウン レベルを許可する ネットワーク保護はダウンレベルで有効になります。
      Win Server でデータグラム処理を許可する Windows Serverでのデータグラム処理が有効になっています。
      TCP 解析で DNS を無効にする DNS over TCP 解析が有効になっている (既定値)
      HTTP 解析を無効にする HTTP 解析が有効になっている (既定値)
      SSH 解析を無効にする SSH 解析が有効になっている (既定値)
      TLS 解析を無効にする 解析が有効になっている (既定値)

    • セキュリティ インテリジェンスの更新:

      設定
      署名の更新間隔 構成済み、4
      署名の更新フォールバック順序
      1. 指定する数のフォールバック ソースに対して [ 追加] を選択します。
      2. 各ボックスに、必要な順序で次のいずれかの値を入力します。
        • InternalDefinitionUpdateServer: Microsoft Defenderウイルス対策更新プログラムが許可されている独自の WSUS サーバー。
        • MicrosoftUpdateServer: Microsoft Update。
        • MMPC: https://www.microsoft.com/wdsi/definitions

      フォールバック ソース (設定済みまたは空) を削除するには、ボックスの横にある [チェック] ボックスを選択し、[削除] を選択します。

    • ローカル管理者 AV:

      除外などのローカル管理者 AV 設定を無効にし、次の表に示すようにMicrosoft Defender for Endpointセキュリティ設定管理からポリシーを設定します。

      設定
      ローカル 管理マージを無効にする ローカル 管理マージを無効にする

    • 脅威の重大度の既定のアクション:

      設定
      重大度の高い脅威に対する修復アクション 検疫。 ファイルを検疫に移動します。
      重大な脅威に対する修復アクション 検疫。 ファイルを検疫に移動します。
      重大度の低い脅威の修復アクション 検疫。 ファイルを検疫に移動します。
      重大度の中程度の脅威に対する修復アクション 検疫。 ファイルを検疫に移動します。

    • 検疫オプション

      設定
      クリーニングされたマルウェアを保持する日数 構成済み、60
      ユーザー UI アクセスを許可する 許可。 ユーザーが UI にアクセスできるようにします。 (既定)

    [構成設定] ページが完了したら、[次へ] を選択します。

  6. [ 割り当て] ページで、ボックス内をクリックし、次の値から選択します。

    • すべてのユーザー または すべてのデバイス
    • 1 つ以上の使用可能なグループを見つけて選択すると、グループ エントリの [ターゲットの種類 ] の値を使用して、[グループ メンバーを 含める] または [除外] にすることができます。

    [割り当て] ページが完了したら、[次へ] を選択します。

  7. [ 確認と作成 ] ページで、設定を確認します。 [ 戻る ] を選択するか、ページ名を選択して変更を加えます。

    [確認と作成] ページが完了したら、[保存] を選択します

ポリシーの作成が完了すると、新しいポリシーの詳細ページに移動します。

ページの上部にある [エンドポイント セキュリティ ポリシー] を選択して、[エンドポイント セキュリティ ポリシー] ページに戻り、[ポリシーの種類] の値が [ウイルス対策Microsoft Defender新しいポリシーが一覧表示されます。

攻撃面の減少ルール

エンドポイント セキュリティ ポリシーを使用して攻撃面の縮小 (ASR) ルールを有効にするには、次の手順を実行します。

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[エンドポイント>構成管理>Endpoint セキュリティ ポリシー] に移動します。 または、[ エンドポイント セキュリティ ポリシー ] ページに直接移動するには、 https://security.microsoft.com/policy-inventory Windows ポリシーを使用します。

  2. [エンドポイント セキュリティ ポリシー] ページで、[Windows ポリシー] タブが選択されていることを確認し、[新しいポリシーの作成] を選択します。

  3. いた [新しいポリシーの作成] ポップアップで 、次の設定を構成します。

    • プラットフォームを選択する: [Windows] を選択します。
    • [テンプレートの選択]: [攻撃面の縮小規則] を選択します。

    [ポリシーの作成] を選択します。

  4. 新しいポリシーの作成ウィザードが開きます。 [基本] ページで、次の設定を構成します。

    • [名前]: ポリシーの一意の名前を入力します。
    • 説明: 省略可能な説明を入力します。

    [次へ] を選択します。

  5. [ 構成設定 ] ページで、次の推奨事項に基づいて設定を構成します。

    設定
    メール クライアントと Web メールで実行可能なコンテンツをブロックする ブロック
    Adobe Reader による子プロセスの作成をブロックする ブロック
    難読化された可能性のあるスクリプトの実行をブロックする ブロック
    悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) ブロック
    Office マクロからの Win32 API 呼び出しをブロックする ブロック
    普及率、経過期間、または信頼リストの条件を満たしていない場合に実行可能ファイルが実行されないようにする ブロック
    Office の通信アプリケーションによる子プロセスの作成をブロックする ブロック
    すべての Office アプリケーションによる子プロセスの作成をブロックする ブロック
    コピーまたは偽装されたシステム ツールの使用をブロックする ブロック
    JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする ブロック
    Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする ブロック
    サーバーの WebShell 作成をブロックする ブロック
    Office アプリケーションによる実行可能なコンテンツの作成をブロックする ブロック
    USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする ブロック
    Office アプリケーションによる他のプロセスへのコード挿入をブロックする ブロック
    WMI イベント サブスクリプションを介して永続性をブロックする ブロック
    ランサムウェアに対して高度な保護を使用する ブロック
    PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする ブロック (Configuration Manager (以前のSCCM) がある場合、または WMI を使用する他の管理ツールがある場合は、これを [ブロック] ではなく [監査] に設定する必要がある場合があります)
    セーフ モードでのコンピューターの再起動をブロックする ブロック
    フォルダー アクセスの制御を有効にする 有効

ヒント

いずれのルールでも、organizationで許容できる動作がブロックされる可能性があります。 このような場合は、"攻撃面の縮小のみ除外" という名前のルールごとの除外を追加します。さらに、ルールを [有効] から [監査 ] に変更して、不要なブロックを防ぎます。

  1. [ 割り当て] ページで、ボックス内をクリックし、次の値から選択します。

    • すべてのユーザー または すべてのデバイス
    • 1 つ以上の使用可能なグループを見つけて選択すると、グループ エントリの [ターゲットの種類 ] の値を使用して、[グループ メンバーを 含める] または [除外] にすることができます。

    [割り当て] ページが完了したら、[次へ] を選択します。

  2. [ 確認と作成 ] ページで、設定を確認します。 [ 戻る ] を選択するか、ページ名を選択して変更を加えます。

    [確認と作成] ページが完了したら、[保存] を選択します

ポリシーの作成が完了すると、新しいポリシーの詳細ページに移動します。

ページの上部にある [ エンドポイント セキュリティ ポリシー ] を選択して、[ エンドポイント セキュリティ ポリシー ] ページに戻り、新しいポリシーが [ ポリシーの種類 ] 値 [ 攻撃面の減少ルール] と一覧表示されます。

改ざん防止を有効にする

  1. Microsoft Defender XDRにサインインします。

  2. [ エンドポイント] > [構成管理] > [エンドポイント セキュリティ ポリシー] > [Windows ポリシー] > [新しいポリシーの作成] に移動します

  3. [プラットフォームの選択] ドロップダウン リストからWindows 10、Windows 11、Windows Serverを選択します。

  4. [テンプレートの選択] ドロップダウン リストから [セキュリティ エクスペリエンス] を選択します。

  5. [ポリシーの作成] を選択します。 [ 新しいポリシーの作成 ] ページが表示されます。

  6. [ 基本 ] ページで、[ 名前 ] フィールドと [説明] フィールドにプロファイルの名前と 説明 をそれぞれ入力します。

  7. [次へ] を選択します。

  8. [ 構成設定 ] ページで、設定のグループを展開します。

  9. これらのグループから、このプロファイルで管理する設定を選択します。

  10. 次の表で説明するように構成して、選択した設定グループのポリシーを設定します。

    説明 Setting
    改ざん保護 (デバイス) オン

Cloud Protection ネットワーク接続を確認する

侵入テスト中に Cloud Protection ネットワーク接続が機能していることを確認することが重要です。

  1. 管理者特権のコマンド プロンプト ([ 管理者として実行] を選択して開いたコマンド プロンプト ウィンドウ) を開きます。 例:

    1. [スタート] メニューを開き、「cmd」と入力します。
    2. コマンド プロンプトの結果を右クリックし、[管理者として実行] を選択します。

  2. 管理者特権のコマンド プロンプトで、次のコマンドを実行します。

    ヒント

    最初のコマンドは、ディレクトリを %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> の最新バージョンの <antimalware プラットフォーム バージョン>に変更します。 そのパスが存在しない場合は、 %ProgramFiles%\Windows Defenderに移動します。

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -ValidateMapsConnection

詳細については、「MpCmdRun コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を構成および管理する」を参照してください。

プラットフォームの更新プログラムのバージョンを確認する

最新の "プラットフォーム更新プログラム" バージョンの運用チャネル (GA) は、 Microsoft Update Catalog で入手できます。

インストールした "プラットフォーム更新プログラム" バージョンをチェックするには、管理者の特権を使用して PowerShell で次のコマンドを実行します。

Get-MPComputerStatus | Format-Table AMProductVersion

セキュリティ インテリジェンス更新プログラムのバージョンを確認する

最新の "セキュリティ インテリジェンス更新プログラム" バージョンは、Microsoft Defender ウイルス対策とその他の Microsoft マルウェア対策の最新のセキュリティ インテリジェンス更新プログラムで利用できます -Microsoft セキュリティ インテリジェンス

インストールした "セキュリティ インテリジェンス更新プログラム" バージョンをチェックするには、管理者の特権を使用して PowerShell で次のコマンドを実行します。

Get-MPComputerStatus | Format-Table AntivirusSignatureVersion

エンジン更新プログラムのバージョンを確認する

最新のスキャン "エンジン更新プログラム" バージョンは、Microsoft Defender ウイルス対策およびその他の Microsoft マルウェア対策の最新のセキュリティ インテリジェンス更新プログラム (Microsoft セキュリティ インテリジェンス) で入手できます。

インストールした "Engine Update" バージョンをチェックするには、管理者の権限を使用して PowerShell で次のコマンドを実行します。

Get-MPComputerStatus | Format-Table AMEngineVersion

設定が有効になっていない場合は、競合している可能性があります。 競合を解決する方法については、「Microsoft Defenderウイルス対策設定のトラブルシューティング」を参照してください。

False Negatives (DN) 申請の場合

False Negatives (DN) の申請を行う方法については、次を参照してください。

  • Last updated on