アンチウィルス設定

「アンチウィルス設定」では、Windows デバイスにインストールされたアンチウィルス・ソフトウェアの設定を構成します。

以下の表は、Windows デバイスで構成できる Windows Defender アンチウイルス設定を説明しています：

表 1. アンチウィルス設定
ポリシー設定	説明	サポートされるデバイス
アンチウィルス設定の構成	デバイス上のアンチウィルス設定を構成します。この構成は、ネイティブの Windows Defender アプリケーションでサポートされます。アンチウィルス設定を表示および構成するには、この設定を有効にします。	Windows 10 以上の Professional、Education、Enterprise Windows Team
スキャンの設定と頻度のカスタマイズ	アンチウィルス・スキャンの設定およびスキャンを実行する頻度を構成します。スキャン・タイプ: 希望するデバイス・スキャンのタイプ (クイック・スキャンまたはフルスキャンなど) を選択します。スキャン開始時刻: スキャンを開始する時刻をスケジュールします。注意: オペレーティング・システムは、スキャン時刻をオーバーライドできます。スキャンは、通常、システム上で CPU 使用率が低いときに実行されます。スキャン頻度: デバイス上でスキャンを実行する頻度 (毎日、特定の日、スケジュール日なし、など) を選択します。署名の更新頻度: 署名を更新する頻度 (1 時間ごと、2 時間ごと、8 時間ごと、など) を選択します。「フル・スキャンのキャッチアップ」: スケジュールされたスキャンが失敗した後に Windows Defender がフル・スキャンを実行するように強制する場合に選択します。クイック・スキャンのキャッチアップ: スケジュールされたスキャンが失敗した後に Windows Defender が強制的にクイック・スキャンを実行するようにする場合に選択します。スキャン中の CPU 優先度が低い: Windows Defender がスケジュールされたスキャンに対して低い CPU 優先度を使用することを指定します。スキャンを実行する前にシグニチャーを検査する: スキャンを実行する前に、Windows Defender が新しいウィルス定義およびスパイウェア定義を検査することを選択します。このオプションは、スケジュールされたスキャンおよび mpcmdrun -SigUpdate コマンド行オプションに適用されます。このオプションは、ユーザー・インターフェースから手動で開始されるスキャンには適用されません。このオプションを有効にしていない場合、スキャンでは既存の定義が使用されます。署名更新のフォールバック順序: 定義更新ソースが Windows Defender によって接続される順序を選択します。以下の各ソースが定義更新をダウンロードする優先順位を設定します。内部定義更新サーバー: Windows Server Update Service (WSUS) サーバーを使用して、ネットワークの更新を管理します。 Microsoft Update Server: Microsoft Update に直接接続します。このオプションは、デバイスが一貫性のある方法でエンタープライズ・ネットワークに接続できない場合、または更新の管理に Windows Server Update Service を使用しない場合に使用します。 MMPC: Windows Update を介して SHA-2 署名済み更新を配信します。デバイスが SHA-2 をサポートしている必要があります。このオプションは、特に Windows Server Update Service または Microsoft Update から特定の日数の間更新をダウンロードできない場合に、プライマリー・ソースではなく、最終フォールバック・ソースとして使用します。ファイル共有: インターネットに接続されていないデバイスがある場合、このオプションを使用します。インターネットに接続しているコンピューターを使用して、デバイスがアクセスできるネットワーク共有へ更新をダウンロードします。署名更新のファイル共有リソース: UNC (汎用命名規則) ファイル共有ソースが定義更新をダウンロードする順序を定義します。 UNC ファイル共有ソースを定義するには、コンマ区切りリストを使用します。注意: 定義更新ソースは、指定された順序でアクセスされます。 1 つの特定のソースから定義更新が正常にダウンロードされた場合、リスト内の残りのソースはアクセスされません。	Windows 10 以上の Professional、Education、Enterprise Windows Team
アンチウィルス・スキャン用に含まれているファイル・タイプ	デバイス・スキャン中に含まれるファイルのタイプを構成します。アーカイブのスキャンの強制: アーカイブされたファイル (.zip ファイルなど) をスキャンします。 E メールのスキャンの強制: E メールをスキャンします。この設定は、Outlook 2003 以前のバージョンでサポートされます。ネットワーク・ファイルのスキャンの強制: ネットワーク・ファイルにアクセスすると、これらのファイルがスキャンされます。マップされたネットワーク・ドライブのフルスキャンの強制: フルスキャンが開始されると、ネットワーク・ファイルをスキャンします。双方向ファイル・スキャンの許可: アンチウィルス・スキャン中にモニターする対象 (受信ファイルと送信ファイルの両方、受信ファイルのみ、または送信ファイルのみ) を指定します。リムーバブル・ドライブのフルスキャンの強制: フルスキャンが開始されると、接続されたリムーバブル・ドライブをスキャンします。	Windows 10 以上の Professional、Education、Enterprise Windows Team
スキャンで除外するファイル・タイプ	デバイス・スキャン中に含まれないファイルのタイプを構成します。スキャンで除外するファイル・タイプ: アンチウィルス・スキャン中に無視されるファイル形式をコンマで区切って指定します (lib, obj, cmd など)。スキャンの除外ファイル・パス: アンチウィルス・スキャン中に無視されるコンマ区切りのディレクトリー・パス (C:\example、 C:\example1) を指定します。スキャン対象から除外されるプロセス: アンチウィルス・スキャン中に無視されるプロセッサーによって開かれるコンマ区切りファイル (C:\Example.exe、 C:\Example1.exe) を指定します。	Windows 10 以上の Professional、Education、Enterprise Windows Team
詳細設定	リアルタイム保護の有効化: デバイス上でリアルタイム保護が構成されます。動作監視の強制: デバイス上で動作監視を強制します。動作モニターは、疑わしい動作のデータを収集するために Windows Defender エンジンが使用する内部機能です。ユーザーに情報が直接表示されることはありません。クラウド保護の適用: Windows Defender が Microsoft に情報を送信できるようにします。クラウド・ブロック・レベル: Windows Defender アンチウィルス・エンジンが疑わしいファイルを検出して特定する場合の攻撃性を指定します。以下のブロック・レベルがサポートされています。デフォルト: 正当なファイルを検出するリスクを増大させずに強力な検出を提供するデフォルトの Windows Defender ブロック・レベル。高: このブロック・レベルは、クライアント・パフォーマンスを最適化しながら不明なファイルを積極的にブロックします (誤検出のリスクは高くなります)。高い +: このブロック・レベルは、不明なファイルを積極的にブロックし、追加の保護手段を適用します (クライアント・パフォーマンスに影響し、誤検出のリスクが高くなる可能性があります)。ゼロトレランス: このブロック・レベルは、すべての不明な実行可能ファイルをブロックします。注: このオプションは、Windows 10 バージョン 1709 以降でサポートされます。クラウド延長タイムアウト: クラウド保護サービスが、ファイルが有害であることが既知であるかどうかを確認している間に、そのファイルをブロックする秒数を指定します。値の範囲は 0 秒から 50 秒です。注意: このオプションに対して選択する秒数は、デフォルトの 10 秒のタイムアウトに加算されます。例えば、0 秒と入力した場合、クラウド保護サービスはファイルを 10 秒間ブロックします。注: このオプションは、Windows 10 バージョン 1709 以降でサポートされます。「Defender 情報を送信する前にユーザーの同意を求めるプロンプトを出す」: 情報を Windows Defender に送信する前にユーザーの同意オプションを選択します。常にプロンプトを表示ユーザーの同意を求めるプロンプトを表示せずに安全なサンプルを自動的に送信 Defender 情報を送信しないユーザーの同意を求めるプロンプトを表示せずにすべてのサンプルを自動的に送信 IOAV保護の強制：IofficeAntiVirusを有効にして、電子メールクライアントやウェブブラウザなどのアプリケーションがファイルを処理するときに、Windows Defenderにコンテンツスキャンを問い合わせることができるようにします。侵入防止を許可: Windows Defender の侵入防止機能を許可します。ネットワーク・トラフィックを検査して不審なアクティビティーをブロックすることにより既知のネットワーク・エクスプロイトからコンピューターを保護する場合、このオプションを有効にします。 Defender UI へのアクセスを許可: Windows Defender ユーザー・インターフェースへのアクセスを許可します。アクセス保護を許可: Windows Defender のアクセス保護機能を許可します。 URL 許可規則および組み込みの要求フィルタリングを使用して、有害な要求および無許可アクセスから Web サーバーを保護する場合、このオプションを有効にします。平均 CPU 負荷係数: Windows Defender スキャンの CPU 負荷係数をパーセンテージで指定します。デフォルト値は 50% です。このオプションは、スケジュール済みスキャンにのみ適用され、リアルタイム・スキャンやユーザーが開始するスキャンには適用されません。スクリプト・スキャンを許可: Windows Defender のスクリプト・スキャン機能を許可します。不審なアクティビティーの検出のために、コンピューター上で実行されているスクリプトをスキャンする場合、このオプションを有効にします。制御されたフォルダー・アクセスの有効化: 文書およびファイルが不審なアプリや有害なアプリによって変更されないように保護する場合は、このオプションを有効にします。このオプションは、ファイルを暗号化して人質状態にしようとする可能性があるランサムウェアから、文書およびファイルを保護する上で役立ちます。制御されたフォルダー・アクセスが許可されたアプリケーション: 保護されているフォルダー内の文書およびファイルにアクセスできるアプリを指定します。これらのアプリは、信頼されたソフトウェアのリストに含まれます。アプリがこのリストにない場合、制御されたフォルダー・アクセスにより、そのアプリは、保護されているフォルダー内のファイルを変更できないようにブロックされます。制御されたフォルダー・アクセスに対して保護されているフォルダー: ランサムウェアなどの有害なアプリまたは脅威から保護されるフォルダーを指定します。この機能は、既知の信頼されたアプリのリストに照らして検査します。望ましくない可能性のあるアプリケーションの保護: 望ましくない可能性のあるアプリケーション (PUA) とは、評価と調査による識別に基づく脅威分類です。これらのアプリは、望ましくないアプリ・バンドルまたはそれらのバンドルされたアプリです。このオプションを有効にした場合、PUA は、デバイスでのダウンロードおよびインストールがブロックされます。組織の特定のニーズに対応するために、特定のファイルまたはフォルダーを除外することができます。ネットワーク保護の有効化: ユーザーおよびアプリが有害な Web サイトにアクセスすることを防止できます。以下のいずれかの値を設定します。有効: フィッシング詐欺、エクスプロイトをホスティングするサイト、インターネット上の有害なコンテンツから従業員を保護します。無効: 保護なしですべての Web サイトへの接続を許可します。監査: ユーザーおよびアプリが有害なサイトに接続することは防ぎませんが、それらのサイトでのアクティビティーを追跡します。重要: このポリシーの以下のパラメーターのデフォルト値は変更しないでください。リアルタイム保護の有効化動作監視の強制 IOAV 保護の強制侵入防止を許可 Defender UI へのアクセスを許可アクセス保護を許可	Windows 10 以上の Professional、Education、Enterprise Windows Team
脅威の管理の設定
脅威の重大度に対する強制アクション	脅威の重大度に基づいて強制されるアクションを構成します。定義されている重大度は、高、低、中、および重大です。クリーニング、検疫、削除、許可、ユーザー定義、ブロックなどの強制アクションから選択します。	Windows 10 以上の Professional、Education、Enterprise Windows Team
クリーニングされたマルウェアの保持日数	検疫を受けたアイテムがシステムに保管される期間 (日数) を指定します。サポートされている最大値は 90 日です。	Windows 10 以上の Professional、Education、Enterprise Windows Team
攻撃可能領域削減ルール
攻撃可能領域削減ルール	攻撃可能領域削減ルールは、マルウェアおよび有害なアプリがコンピューターを有害なコードに感染させるために使用する、以下のような動作を対象とします。 Office アプリまたは E メール・プログラムで使用される、ファイルのダウンロードまたは実行を試みる実行可能ファイルおよびスクリプト難読化されているスクリプトまたはその他の不審なスクリプト普段の勤務時間中にアプリが通常は開始しない動作注: このオプションは、Windows 10 バージョン 1709 および 1803 以降でサポートされます。これらのルールには、以下のいずれかの値を設定します。未構成: 攻撃可能領域削減ルールを無効にします。ブロック: 攻撃可能領域削減ルールを有効にします。監査: 攻撃可能領域削減ルールが有効になった場合に、このルールが組織にどのような影響を与えるかを評価します。まず、すべてのルールを監査モードで実行して、これらのルールが基幹業務アプリにどのような影響を与えるかを理解します。多くの基幹業務アプリがマルウェアに似たタスクを実行する場合があります。監査データをモニターして、必要なアプリに対して除外を追加することで、生産性に影響を与えることなく攻撃可能領域削減ルールをデプロイできます。ルール Adobe Reader は子プロセスを作成できる: このルールは、Adobe Reader が追加プロセスを作成できないようにブロックすることで、マルウェア攻撃を防止します。このルールは、Windows 10 バージョン 1809 で導入されました。 Office アプリは子プロセスを起動できます: このルールは、Office アプリ (Word、Excel、PowerPoint、OneNote、Access) が子プロセスを作成しないようにブロックします。このタイプのマルウェアの動作では、VBA マクロおよびエクスプロイト・コードを使用して、追加のペイロードをダウンロードして実行しようとします。一部の正当な基幹業務アプリも、コマンド・プロンプトの作成、またはレジストリー設定を構成するための PowerShell の使用など、このような動作を使用する場合があります。このルールは、Windows 10 バージョン 1709 で導入されました。 Windows ローカル・セキュリティー権限サブシステムからのフラグ資格情報の盗用: ローカル・セキュリティー権限サブシステム・サービス (LSASS) は、Windows コンピューターにログインするユーザーを認証します。このルールは、LSASS からユーザー資格情報を抽出しようとする有害な試行を防止するために、LSASS をロックダウンします。 Windows 10 + の Microsoft Defender Credential Guard はこれらの試行を防止しますが、ローカル・セキュリティー権限 (LSA) にロードされるカスタム・スマート・カード・ドライバーやその他のプログラムとの互換性の問題が原因で、組織がすべてのコンピューターで Credential Guard を有効にできない場合があります。注意: 一部のアプリでは、コードがすべての実行中のプロセスを列挙して、包括的なアクセス権でこれらのプロセスをオープンしようとします。このルールは、アプリのプロセスのオープン・アクションを拒否して、セキュリティー・イベント・ログに詳細を記録します。このルールにより、過剰な量のログ項目が生成される可能性があります。 LSASS を過度に列挙するアプリがある場合は、そのアプリを除外リストに追加する必要があります。このイベント・ログ項目は、必ずしも有害な脅威を示しているわけではありません。このルールは、Windows 10 バージョン 1803 で導入されました。実行可能コンテンツ (exe、dll、ps、js、vbs など) E メール (Web メール/メール・クライアント) から実行可能 (例外なし): このルールは、Microsoft Outlook または Outlook.com およびその他の E メール・プロバイダーで、以下のファイル・タイプが E メールから起動するのをブロックします。実行可能ファイル (.exe、 .dll、または .scr) スクリプト・ファイル (PowerShell .ps、 VisualBasic .vbs、または JavaScript .js) このルールは、Windows 10 バージョン 1709 で導入されました。普及率、存続期間、または信頼できるリストの基準を満たしていない実行可能ファイルを実行できます: このルールは、実行可能ファイル (.exe、.dll、または .scr) が、普及率または存続期間の基準を満たしている場合とファイル・タイプが信頼できるリストまたは除外リストにリストされている場合を除き、起動できないようにブロックします。注意: このルールを使用するには、クラウドで配信される保護を有効にする必要があります。重要: GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 のルール「実行可能ファイルは、普及率、存続期間、または信頼できるリスト基準を満たしていない限り、実行をブロックします」は Microsoft が所有し、管理者が変更することはできません。このルールは、クラウドで配信される保護を使用して、信頼できるリストを定期的に更新します。 (フォルダー・パスまたは完全修飾リソース名を使用して) 個々のファイルまたはフォルダーを指定できますが、それらの個々のファイルまたはフォルダーに適用されるルールまたは除外を指定することはできません。このルールは、Windows 10 バージョン 1803 で導入されました。難読化されている可能性のある js/vbs/ps/マクロのコードを実行できます: このルールは、難読化されているスクリプト内の不審なプロパティーを検出します。このルールは、Windows 10 バージョン 1709 で導入されました。 Javascript/vbs は、インターネットからダウンロードしたペイロードを実行できます (例外なし): このルールは、マルウェアが含まれていてマシンを感染させる可能性のあるダウンロードされたコンテンツをスクリプトが起動することを防止します。マルウェアは、多くの場合、 JavaScript および VBScript スクリプトを使用して、他の悪意のあるアプリケーションを起動します。注意: ファイルおよびフォルダーの除外は、この攻撃可能領域削減ルールには適用されません。このルールは、Windows 10 バージョン 1709 で導入されました。 Office アプリ & マクロは実行可能なコンテンツを作成できます: このルールにより、Office アプリケーション (Word、Excel、PowerPoint) が実行可能コンテンツを作成できなくなります。このルールは、マルウェアが Office を媒介として使用し、Office を抜け出して、有害なコンポーネントをディスクに保存し、コンピューターのリブート後もそのコンポーネントをディスクに保持する動作を対象とします。このルールは、有害なコードがディスクに書き込まれるのを防ぎます。このルールは、Windows 10 バージョン 1709 で導入されました。 Office アプリは、コードを他のプロセスに挿入できます (例外なし): このルールは、Office アプリ (Word、Excel、PowerPoint) から他のプロセスへのコードの挿入の試行をブロックします。このルールは、Windows 10 バージョン 1709 で導入されました。 Office のコミュニケーション製品は、子プロセスを作成できます: このルールは、Outlook (および Outlook.com) が子プロセスを作成することを防止します。このルールは、ソーシャル・エンジニアリング攻撃から保護して、エクスプロイト・コードが Outlook の脆弱性を悪用することを防止します。このルールは、正当な Outlook の機能を引き続き許可しながら、追加のペイロードの起動を防止します。このルールは、ユーザーの資格情報が漏えいした場合に攻撃者が使用する可能性がある Outlook のルールとエクスプロイトからも保護します。このルールは、Windows 10 バージョン 1809 で導入されました。「WMI イベント・サブスクリプションによる永続性 (Persistence through WMI event subscription)」: このルールにより、管理者は、Windows Management Instrumentation (WMI) を悪用する脅威が WMI リポジトリーに保持され、隠されたままになるのを防ぐことができます。 WMI について詳しくは、「 https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page」を参照してください。このルールは、Windows 10 バージョン 1903 で導入されました。 PSExec コマンドおよび WMI コマンドを起源とするプロセスの作成: このルールは、PsExec コマンドおよび WMI コマンドを介したプロセスが実行されないようにブロックして、マルウェア攻撃を広げる可能性があるリモート・コード実行を防止します。 PsExec,の詳細については、https://docs.microsoft.com/en-us/sysinternals/downloads/psexec。 WMI について詳しくは、「 https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page」を参照してください。注意: ファイルおよびフォルダーの除外は、この攻撃可能領域削減ルールには適用されません。このルールは、Windows 10 バージョン 1803 で導入されました。信頼できないプロセスおよび署名がないプロセスは USB から実行できます: このルールは、SD カードを含む、USB リムーバブル・ドライブから無署名または信頼できない実行可能ファイルを実行することを、管理者が防止できるようにします。以下のファイル・タイプがブロックされます。実行可能ファイル (.exe、 .dll、または .scr) スクリプト・ファイル (PowerShell .ps、 VisualBasic .vbs、または JavaScript .js) このルールは、Windows 10 バージョン 1803 で導入されました。 Office マクロは win32 API を呼び出しおよびインポート可能: このルールを使用すると、管理者は VBA マクロでの Win32 API の使用を禁止することができます。これにより攻撃可能領域が削減されます。このルールは、Windows 10 バージョン 1709 で導入されました。高度なランサムウェア保護: このルールは、ランサムウェアに対する追加の保護層を提供します。このルールは、システムに入ってくる実行可能ファイルをスキャンして、そのファイルが信頼できるものであるかどうかを判別します。ファイルがランサムウェアによく似ている場合、そのファイルが信頼できるリストまたは除外リストにリストされていない限り、このルールはそのファイルの実行をブロックします。注意: このルールを使用するには、クラウドで配信される保護を有効にする必要があります。このルールは、Windows 10 バージョン 1803 で導入されました。	Windows 10 以上の Professional、Education、Enterprise Windows Team
攻撃可能領域削減からの除外	攻撃可能領域削減ルールによる評価から除外するファイルおよびフォルダーのコンマ区切りリストを指定します。ファイルおよびフォルダーの除外は、以下の攻撃可能領域削減ルールには適用されません。 PSExec コマンドおよび WMI コマンドを起源とするプロセスの作成 Javascript/vbs は、インターネットからダウンロードしたペイロードを実行できます (例外なし) 注意: (フォルダー・パスまたは完全修飾パス名を使用して) 個々のファイルまたはフォルダーを指定できますが、除外が適用されるルールを指定することはできません。除外が適用されるのは、除外されたアプリケーションまたはサービスの開始時のみです。例えば、既に実行されている更新サービスの除外を追加した場合、更新サービスは、停止されて再始動されるまで、引き続きイベントをトリガーします。警告: 攻撃可能領域削減ルールは、ファイルまたはフォルダーに有害な動作が含まれていると判別した場合でも、ファイルの実行をブロックしません。これにより、安全でないファイルが実行され、デバイスに感染する可能性があります。	Windows 10 以上の Professional、Education、Enterprise Windows Team