Powershell を使用してMicrosoft Defenderウイルス対策を評価する
適用対象:
- Microsoft Defender ウイルス対策
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Windows 10以降およびWindows Server 2016以降では、Microsoft Defenderウイルス対策 (MDAV) と Microsoft Defender Exploit Guard (Microsoft Defender EG) によって提供される次世代の保護機能を使用できます。
このトピックでは、MICROSOFT DEFENDER AV および Microsoft Defender EG の主な保護機能を有効にしてテストする方法について説明し、ガイダンスと詳細情報へのリンクを提供します。
この評価版 PowerShell スクリプトを使用してこれらの機能を構成することをお勧めしますが、このドキュメントの残りの部分で説明されているコマンドレットを使用して、各機能を個別に有効にすることができます。
EPP 製品の詳細については、次の製品ドキュメント ライブラリを参照してください。
この記事では、Windows 10以降およびWindows Server 2016以降の構成オプションについて説明します。
AV が行う検出Microsoft Defender関する質問がある場合、または検出が見つからない場合は、サンプル送信ヘルプ サイトでファイルを送信できます。
PowerShell を使用して機能を有効にする
このガイドでは、保護を評価するために使用する必要がある機能を構成するMicrosoft Defenderウイルス対策コマンドレットについて説明します。
これらのコマンドレットを使用するには:
1. PowerShell の管理者特権のインスタンスを開きます ([管理者として実行] を選択します)。
2. このガイドに記載されているコマンドを入力し、Enter キーを押します。
Get-MpPreference PowerShell コマンドレットを使用して、開始前または評価中にすべての設定の状態をチェックできます。
MICROSOFT DEFENDER AV は、標準の Windows 通知による検出を示します。 Microsoft Defender AV アプリで検出を確認することもできます。
Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 イベント ID とそれに対応するアクションの一覧については、Microsoft Defenderウイルス対策イベントに関する記事を参照してください。
クラウド保護機能
標準定義の更新は、準備と配信に数時間かかることがあります。クラウドで提供される保護サービスでは、この保護を数秒で実現できます。
詳細については、「クラウド提供の保護を通じてMicrosoft Defenderウイルス対策で次世代テクノロジを使用する」を参照してください。
| 説明 | PowerShell コマンド |
|---|---|
| Microsoft Defender クラウドを有効にして、ほぼ瞬時に保護し、保護を強化する | Set-MpPreference -MAPSReporting Advanced |
| グループ保護を強化するためにサンプルを自動的に送信する | Set-MpPreference -SubmitSamplesConsent Always |
| 常にクラウドを使用して、数秒以内に新しいマルウェアをブロックする | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| ダウンロードしたすべてのファイルと添付ファイルをスキャンする | Set-MpPreference -DisableIOAVProtection 0 |
| クラウド ブロック レベルを "High" に設定する | Set-MpPreference -CloudBlockLevel High |
| 高クラウド ブロック タイムアウトを 1 分に設定する | Set-MpPreference -CloudExtendedTimeout 50 |
常時保護 (リアルタイム スキャン)
Microsoft Defender AV は、Windows で見られるとすぐにファイルをスキャンし、既知または疑わしい悪意のある動作の実行中のプロセスを監視します。 ウイルス対策エンジンが悪意のある変更を検出すると、プロセスまたはファイルの実行が直ちにブロックされます。
これらのオプションの詳細については 、「動作、ヒューリスティック、リアルタイム保護の構成 」を参照してください。
| 説明 | PowerShell コマンド |
|---|---|
| 既知のマルウェアの変更に関するファイルとプロセスを常に監視する | Set-MpPreference -DisableRealtimeMonitoring 0 |
| "クリーン" ファイルや実行中のプログラムでも、既知のマルウェアの動作を常に監視する | Set-MpPreference -DisableBehaviorMonitoring 0 |
| スクリプトが表示または実行されたらすぐにスキャンする | Set-MpPreference -DisableScriptScanning 0 |
| 取り外し可能なドライブが挿入またはマウントされたらすぐにスキャンする | Set-MpPreference -DisableRemovableDriveScanning 0 |
望ましくない可能性のあるアプリケーション保護
望ましくない可能性のあるアプリケーション は、従来は悪意のあるものとして分類されていないファイルやアプリです。 これには、一般的なソフトウェア、広告挿入、およびブラウザーの特定の種類のツール バー用のサード パーティ製インストーラーが含まれます。
| 説明 | PowerShell コマンド |
|---|---|
| グレーウェア、アドウェア、およびその他の望ましくない可能性のあるアプリのインストールを防止する | Set-MpPreference -PUAProtection Enabled |
Emailおよびアーカイブ スキャン
Microsoft Defenderウイルス対策を設定すると、特定の種類の電子メール ファイルやアーカイブ ファイル (.zip ファイルなど) が Windows によって自動的にスキャンされます。 この機能の詳細については、Microsoft Defender記事の「メール スキャンの管理」を参照してください。
| 説明 | PowerShell コマンド |
|---|---|
| 電子メール ファイルとアーカイブをスキャンする | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
製品と保護の更新プログラムを管理する
通常、Windows update から 1 日に 1 回Microsoft Defender AV 更新プログラムを受け取ります。 ただし、これらの更新プログラムの頻度を増やすには、次のオプションを設定し、更新プログラムが System Center Configuration Manager、グループ ポリシー、またはIntuneで管理されるようにします。
| 説明 | PowerShell コマンド |
|---|---|
| 署名を毎日更新する | Set-MpPreference -SignatureUpdateInterval |
| スケジュールされたスキャンを実行する前に署名を更新することを確認する | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
高度な脅威と悪用の軽減策と防止 フォルダー アクセスの制御
Microsoft Defender Exploit Guard には、脆弱なテクノロジに対する既知の悪意のある動作や攻撃からデバイスを保護するのに役立つ機能が用意されています。
| 説明 | PowerShell コマンド |
|---|---|
| 悪意のある不審なアプリ (ランサムウェアなど) が、フォルダー アクセスの制御を使用して保護されたフォルダーに変更を加えないようにする | Set-MpPreference -EnableControlledFolderAccess Enabled |
| ネットワーク保護を使用して、既知の不適切な IP アドレスやその他のネットワーク接続への接続をブロックする | Set-MpPreference -EnableNetworkProtection Enabled |
| Exploit Protection を使用して標準的な一連の軽減策を適用する | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| 攻撃面の縮小を使用して既知の悪意のある攻撃ベクトルをブロックする | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-4 9e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-83 3e-de6133960387 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
一部のルールでは、organizationで許容できる動作がブロックされる場合があります。 このような場合は、ルールを [有効] から [監査] に変更して、不要なブロックを防ぎます。
オフライン スキャンMicrosoft Defenderワンクリック
Microsoft Defenderオフラインスキャンは、Windows 10以降に付属する特殊なツールであり、通常のオペレーティングシステムの外部にある専用環境にマシンを起動することができます。 これは、強力なマルウェアのために特に便利です, ルートキットなど.
この機能のしくみの詳細については、「Microsoft Defenderオフライン」を参照してください。
| 説明 | PowerShell コマンド |
|---|---|
| 通知を使用して、特殊なマルウェア除去環境で PC を起動できることを確認します | Set-MpPreference -UILockdown 0 |
リソース
このセクションでは、ウイルス対策の評価に役立つ多くのリソースMicrosoft Defender一覧表示します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示