Windows Defender Antivirus

Windows Defender Antivirusは、Microsoft Windowsの組み込みマルウェア対策コンポーネントで、Windows 8から導入されました。

Windows Defender Antivirusモジュールを使用すれば、Windows Defender Antivirusのセキュリティポリシーを設定して、Cyber Protectウェブコンソールからステータスをトラックできます。

このモジュールを使用できるのは、Windows Defender Antivirusがインストールされているマシンです。

スケジュールスキャン

スケジュールスキャンのスケジュールを指定します。

スキャンモード:

  • 完全 - クイックスキャンの対象項目だけでなく、すべてのファイルとフォルダを完全にチェックします。必要なマシンリソースがクイックスキャンの場合よりも多くなります。
  • クイック - マルウェアが見つかりそうなインメモリプロセスとフォルダだけをチェックします。必要なマシンリソースが少なくて済みます。

スキャンを実行する曜日と時刻を定義します。

毎日のクイックスキャン - 毎日のクイックスキャンの時刻を定義します。

必要に応じて以下のオプションも設定できます。

マシンがオンになっているが使用されていないときにスケジュール済みスキャンを開始

スケジュール済みスキャンの実行前にウイルスとスパイウェアの最新の定義を確認

スキャン中のCPU使用率を制限

Windows Defender Antivirus スケジュール設定の詳細については、https://docs.microsoft.com/en-us/sccm/protect/deploy-use/endpoint-antimalware-policies#scheduled-scans-settingsを参照してください。

デフォルトのアクション

検出された脅威の重大度のレベルに応じてデフォルトのアクションを定義します。

  • クリーン - マシンで検出されたマルウェアをクリーンアップします。
  • 検疫 - 検出されたマルウェアを検疫フォルダに移しますが、削除はしません。
  • 削除 - 検出されたマルウェアをマシンから削除します。
  • 許可 - 検出されたマルウェアを削除しないで、検疫にも移しません。
  • ユーザー定義 - 検出されたマルウェアに対して実行するアクションをユーザーが指定するための画面が表示されます。
  • アクションなし - アクションを実行しません。
  • ブロック - 検出されたマルウェアをブロックします。

Windows Defender Antivirus のデフォルトアクション設定の詳細については、https://docs.microsoft.com/en-us/sccm/protect/deploy-use/endpoint-antimalware-policies#default-actions-settingsを参照してください。

リアルタイム保護

[リアルタイム保護] を有効にすると、マルウェアを検出して、マルウェアがマシンでインストールされたり実行されたりするのを防止できます。

すべてのダウンロードのスキャン - 選択すると、ダウンロードしたすべてのファイルや添付ファイルがスキャンされます。

挙動監視の有効化 - 選択すると、挙動監視が有効になります。

ネットワークファイルのスキャン - 選択すると、ネットワークファイルがスキャンされます。

マッピング済みネットワークドライブの完全スキャンを許可 - 選択すると、マッピング済みのネットワークドライブの完全スキャンが実行されます。

電子メールのスキャンを許可 - 有効にすると、Eメールの形式に基づいてメールボックスとメールファイルが解析され、メールの本文と添付ファイルが分析されます。

Windows Defender Antivirus のリアルタイム保護設定の詳細については、https://docs.microsoft.com/en-us/sccm/protect/deploy-use/endpoint-antimalware-policies#real-time-protection-settingsを参照してください。

詳細

スキャンの詳細設定を指定します。

  • アーカイブファイルのスキャン - スキャンの対象としてアーカイブファイル(.zip や.rar など)を含めます。
  • リムーバブルドライブのスキャン - 完全スキャンの実行時にリムーバブルドライブをスキャンします。
  • システムのリストアポイントの作成 - 偽陽性の判定に基づいて重要なファイルやレジストリ項目が削除された場合に、リストアポイントからのリカバリが可能になります。
  • 検疫されたファイルを削除するまでの時間 - 検疫されたファイルを削除するまでの期間を定義します。

  • 詳細な分析が必要な場合、すべてのファイルサンプルを自動送信:

    • 常に確認 - ファイル送信の前に常に確認が求められます。
    • 安全なサンプルを自動送信 - 個人情報が含まれている可能性のあるファイル以外のほとんどのサンプルが自動的に送信されます。そのようなファイルについては、追加の確認操作が必要です。
    • すべてのサンプルを自動送信 - すべてのサンプルが自動的に送信されます。
  • Windows Defender Antivirus GUI の無効化 - 選択すると、ユーザーが Windows Defender Antivirus ユーザーインターフェースを利用できなくなります。Cyber ProtectウェブコンソールでWindows Defender Antivirusポリシーを管理できます。

  • MAPS(Microsoft Active Protection Service) - 潜在的な脅威に対応する方法を選択するのに役立つオンラインコミュニティ。

    • MAPSに加入しない - 検出されたソフトウェアについての情報がMicrosoftに送信されることはありません。
    • Basicメンバーシップ - 検出されたソフトウェアについての基本的な情報がMicrosoftに送信されます。
    • Advancedメンバーシップ - 検出されたソフトウェアについての詳細な情報がMicrosoftに送信されます。

    詳細については、https://www.microsoft.com/security/blog/2015/01/14/maps-in-the-cloud-how-can-it-help-your-enterpriseを参照してください

Windows Defender Antivirus の詳細設定については、https://docs.microsoft.com/en-us/sccm/protect/deploy-use/endpoint-antimalware-policies#advanced-settings を参照してください。

除外

スキャンから除外する以下のファイルやフォルダを定義できます。

  • プロセス - 定義したプロセスの読み取り先/書き込み先のファイルがスキャンから除外されます。プロセスの実行可能ファイルのフルパスを定義する必要があります。
  • ファイルとフォルダ - 指定したファイルとフォルダがスキャンから除外されます。フォルダやファイルのフルパスを定義するか、ファイル拡張子を定義する必要があります。

Windows Defender Antivirus の除外設定の詳細については、https://docs.microsoft.com/en-us/sccm/protect/deploy-use/endpoint-antimalware-policies#exclusion-settingsを参照してください。