Windows でのMicrosoft Defenderウイルス対策の概要

  • [アーティクル]

適用対象:

  • Microsoft Defender for Endpoint プラン 1 と 2
  • Microsoft Defender for Business
  • Microsoft Defender ウイルス対策

プラットフォーム

  • Windows

Microsoft Defender ウイルス対策は、Windows 10 と Windows 11、および Windows Server のバージョンで利用できます。

Microsoft Defender ウイルス対策は、Microsoft Defender for Endpoint の次世代保護の主要コンポーネントです。 この保護は、機械学習、ビッグデータ分析、脅威耐性に関する詳細な調査、Microsoft のクラウド インフラストラクチャを組み合わせて、組織内のデバイス (または、エンドポイント) を保護します。 Windows Defender ウイルス対策は Windows に組み込まれており、Microsoft Defender for Endpoint と連携して、デバイスとクラウドを保護します。

Microsoft Defenderウイルス対策機能

Microsoft Defenderウイルス対策は、事前に定義されたパターンに適合しないマルウェアの保護レイヤーである異常検出を提供します。 異常検出は、インターネットからダウンロードされたプロセス作成イベントまたはファイルを監視します。 機械学習とクラウドによる保護を通じて、Microsoft Defenderウイルス対策は攻撃者の一歩先を行くことができます。 異常検出は既定でオンであり、 電子 Windows アプリの 3CX セキュリティ アラートなどの攻撃をブロックするのに役立ちます。 Microsoft Defenderウイルス対策は、攻撃が VirusTotal に登録される 4 日前に、このマルウェアのブロックを開始しました。

最新のマルウェアには最新のソリューションが必要です。 2015 年、Microsoft Defender ウイルス対策は、静的署名ベースのエンジンを使用するのから、機械学習、応用科学、人工知能などの予測テクノロジを使用するモデルへと移行しました。これは、進化し続けるマルウェアの複雑さから組織を安全に保つために必要なものです。

Microsoft Defenderウイルス対策は、ほぼ全てのマルウェアを一目で(ミリ秒単位で) ブロックできます。

また、オンラインとオフラインの両方のシナリオで動作するようにウイルス対策ソリューションを設計しました。 オフライン シナリオの場合、Intelligence Security Graph の最新の動的インテリジェンスは、1 日を通して定期的にエンドポイントにプロビジョニングされます。 クラウドに接続すると、 インテリジェント セキュリティ グラフからリアルタイム インテリジェンスが提供されます。

Microsoft Defenderウイルス対策は、脅威が実行を開始した場合でも、その動作とプロセス ツリーに基づいて脅威を停止することもできます。 このような攻撃の一般的な例として、ファイルレス マルウェアがあります。 Microsoft の次世代保護機能は連携して、異常な動作に基づいてマルウェアを特定してブロックします。 詳細については、「 動作のブロックと封じ込め」を参照してください。

他のウイルス対策製品との互換性

デバイスで Microsoft 以外のウイルス対策/マルウェア対策製品を使用している場合は、Microsoft 以外のウイルス対策ソリューションと一緒にパッシブ モードで Microsoft Defender ウイルス対策を実行できる可能性があります。 使用するオペレーティング システムと、デバイスが Defender for Endpoint にオンボードされているかどうかによって異なります。 詳細については、「Microsoft Defender ウイルス対策互換性」を参照してください。

Microsoft Defenderウイルス対策のプロセスとサービス

次の表は、ウイルス対策のプロセスとサービスMicrosoft Defenderまとめたものです。 Windows のタスク マネージャーで表示できます。

プロセスまたはサービス 状態を表示する場所
Microsoft Defender ウイルス対策コア サービス
(MdCoreSvc)		 - [プロセス ] タブ: Antimalware Core Service
- [詳細 ] タブ: MpDefenderCoreService.exe
- [サービス] タブ:Microsoft Defender Core Service
Microsoft Defender ウイルス対策サービス
(WinDefend)		 - [プロセス ] タブ: Antimalware Service Executable
- [詳細 ] タブ: MsMpEng.exe
- [サービス] タブ:Microsoft Defender Antivirus
Microsoft Defenderウイルス対策ネットワークリアルタイム検査サービス
(WdNisSvc)		 - [プロセス ] タブ: Microsoft Network Realtime Inspection Service
- [詳細 ] タブ: NisSrv.exe
- [サービス] タブ:Microsoft Defender Antivirus Network Inspection Service
Microsoft Defender ウイルス対策コマンド ライン ユーティリティ - [プロセス ] タブ: N/A
- [詳細 ] タブ: MpCmdRun.exe
- [サービス] タブ: N/A
Microsoft セキュリティ クライアント ポリシー構成ツール - [プロセス ] タブ: N/A
- [詳細 ] タブ: ConfigSecurityPolicy.exe
- [サービス] タブ: N/A

Microsoft Endpoint Data Loss Prevention (Endpoint DLP) の場合、次の表はプロセスとサービスをまとめたものです。 Windows のタスク マネージャーで表示できます。

プロセスまたはサービス 状態を表示する場所
Microsoft Endpoint DLP サービス
(MDDlpSvc)		 - [プロセス ] タブ: MpDlpService.exe
- [詳細 ] タブ: MpDlpService.exe
- [サービス] タブ:Microsoft Data Loss Prevention Service
Microsoft Endpoint DLP コマンド ライン ユーティリティ - [プロセス ] タブ: N/A
- [詳細 ] タブ: MpDlpCmd.exe
- [サービス] タブ: N/A

Microsoft Defender Core サービス

エンドポイントのセキュリティ エクスペリエンスを強化するために、Microsoft は Microsoft Defender ウイルス対策の安定性とパフォーマンスを向上させるために、Microsoft Defender Core サービスをリリースしています。 小規模、中規模、およびエンタープライズのビジネス 部門で Microsoft エンドポイント データ損失防止を使用しているお客様向けに、Microsoft はコードベースを独自のサービスに分割しています。

Microsoft Defender Core サービスは、Microsoft Defender ウイルス対策プラットフォーム バージョン 4.18.23110.2009 でリリースされています。

  • ロールアウトは 2023 年 11 月に開始され、顧客のプレリリースが開始され、今後数か月以内にすべてのエンタープライズ顧客にリリースされる予定です。

  • エンタープライズのお客様は、次の URL を許可する必要があります。

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com

  • 米国政府機関のお客様は、次の URL を許可する必要があります。

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  • Windows 用アプリケーションコントロールを使用している場合、または Microsoft 以外のウイルス対策またはエンドポイント検出および応答ソフトウェアを実行している場合は、前に説明したプロセスを許可リストに追加してください。

  • コンシューマーは、準備に対して何も行う必要はありません。

アクティブ モード、パッシブ モード、および無効モードの比較

次の表は、Microsoft Defender ウイルス対策がアクティブ モード、パッシブ モード、または無効である場合に期待される内容を示しています。

モード 動作
アクティブ モード アクティブ モードでは、Microsoft Defender ウイルス対策はデバイス上の主要なウイルス対策アプリとして使用されます。 ファイルがスキャンされ、脅威が修正され、検出された脅威が組織のセキュリティ レポートと Windows セキュリティ アプリに一覧表示されます。
パッシブ モード パッシブ モードでは、Microsoft Defender ウイルス対策はデバイス上の主要なウイルス対策アプリとして使用されません。 ファイルがスキャンされ、検出された脅威が報告されますが、脅威は Microsoft Defender ウイルス対策によって修正されません。

重要: Microsoft Defender ウイルス対策は、Microsoft Defender for Endpoint にオンボードされているエンドポイントでのみパッシブ モードで実行できます。 「Microsoft Defender ウイルス対策をパッシブ モードで実行するための要件」を参照してください。
無効またはアンインストール済み 無効にするかアンインストールすると、Microsoft Defender ウイルス対策は使用されません。 ファイルのスキャン、脅威の修復は行われません。 一般に、Microsoft Defender ウイルス対策を無効にしたりアンインストールしたりすることはお勧めしません。

詳細については、「Microsoft Defender ウイルス対策互換性」を参照してください。

デバイス上の Microsoft Defender ウイルス対策の状態を確認する

Windows セキュリティ アプリや Windows PowerShell などのいくつかの方法のいずれかを使用して、デバイス上の Microsoft Defender ウイルス対策の状態を確認できます。

重要

プラットフォーム バージョン 4.18.2208.0 以降: サーバーがMicrosoft Defender for Endpointにオンボードされている場合、[Windows Defenderをオフにする] グループ ポリシー設定でウイルス対策のWindows Defenderが完全に無効にされなくなりますWindows Server 2012 R2 以降。 代わりに、パッシブ モードになります。 さらに、 改ざん防止 機能を使用すると、アクティブ モードに切り替えることができますが、パッシブ モードには切り替えできません。

  • Microsoft Defender for Endpointにオンボードする前に "Windows Defenderをオフにする" が既に設定されている場合、変更はなく、Defender ウイルス対策は無効のままです。
  • Defender ウイルス対策をパッシブ モードに切り替えるには、オンボード前に無効にされていた場合でも、 の1値を使用して ForceDefenderPassiveMode 構成を適用できます。 アクティブ モードにするには、代わりにこの値を に 0 切り替えます。

改ざん防止が有効になっている場合のForceDefenderPassiveMode変更されたロジックに注意してください。 Microsoft Defenderウイルス対策がアクティブ モードに切り替えると、改ざん防止が に1設定されている場合ForceDefenderPassiveModeでも、改ざん防止によってパッシブ モードに戻できなくなります。

Windows セキュリティ アプリを使用して、Microsoft Defender ウイルス対策の状態を確認する

  1. Windows デバイスで、[スタート] メニューを選択し、Security の入力を開始します。 次に、結果で Windows セキュリティ アプリを開きます。

  2. [ウイルスと脅威の防止] を選択します。

  3. [自分を保護している人] の下の [プロバイダーの管理] を選択します。

セキュリティ プロバイダー ページにウイルス対策/マルウェア対策ソリューションの名前が表示されます。

PowerShell を使用して Microsoft Defender ウイルス対策の状態を確認する

  1. [スタート] メニューを選択し、PowerShell の入力を開始します。 次に、結果で Windows PowerShell を開きます。

  2. 種類 Get-MpComputerStatus

  3. 結果のリストで、AMRunningMode 行を確認します。

    • 通常は、Microsoft Defender ウイルス対策がアクティブ モードで実行されていることを意味します。

    • パッシブ モードは、Microsoft Defender ウイルス対策が実行されていることを意味しますが、デバイス上の主要なウイルス対策/マルウェア対策製品ではありません。 パッシブ モードは、Microsoft Defender for Endpoint にオンボードされており、特定の要件を満たすデバイスでのみ使用できます。 詳細については、「Microsoft Defender ウイルス対策をパッシブ モードで実行するための要件」を参照してください。

    • EDR ブロック モードは、Microsoft Defender ウイルス対策が実行されており、Microsoft Defender for Endpoint の機能であるブロック モードでのエンドポイントの検知と応答 (EDR) が有効になっていることを意味します。 ForceDefenderPassiveMode レジストリ キーを確認します。 値が 0 の場合は、通常モードで実行されます。それ以外の場合は、パッシブ モードで実行されます。

    • SxS パッシブ モードは、Microsoft Defenderウイルス対策が別のウイルス対策/マルウェア対策製品と共に実行されていることを意味し、限定的な定期的なスキャンが使用されます

ヒント

Get-MpComputerStatus PowerShell コマンドレットの詳細については、リファレンス記事 Get-MpComputerStatus を参照してください。

ヒント

パフォーマンスのヒント他のウイルス対策ソフトウェアと同様に、ウイルス対策Microsoft Defenderさまざまな要因 (以下に示す例) が原因で、エンドポイント デバイスでパフォーマンスの問題が発生する可能性があります。 場合によっては、これらのパフォーマンスの問題を軽減するために、Microsoft Defenderウイルス対策のパフォーマンスを調整する必要がある場合があります。 Microsoft の パフォーマンス アナライザー は、パフォーマンスの問題を引き起こしている可能性のあるファイル、ファイル パス、プロセス、およびファイル拡張子を判断するのに役立つ PowerShell コマンド ライン ツールです。いくつかの例を次に示します。

  • スキャン時間に影響を与える上位パス
  • スキャン時間に影響を与える上位のファイル
  • スキャン時間に影響を与える上位のプロセス
  • スキャン時間に影響を与える上位のファイル拡張子
  • 組み合わせ – 例:
    • 拡張子ごとに上位のファイル
    • 拡張機能ごとの上位パス
    • パスあたりの上位プロセス数
    • ファイルあたりの上位スキャン数
    • プロセスごとのファイルあたりの上位スキャン数

パフォーマンス アナライザーを使用して収集した情報を使用して、パフォーマンスの問題をより適切に評価し、修復アクションを適用できます。 「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

ウイルス対策/マルウェア対策プラットフォームの更新プログラムを取得する

Microsoft Defender ウイルス対策 (またはウイルス対策/マルウェア対策ソリューション) を最新の状態に保つことが重要です。 Microsoft は定期的な更新プログラムをリリースして、デバイスが、新しいマルウェアや攻撃手法から保護する最新のテクノロジを備えていることを確認します。 詳細については、「Microsoft Defender ウイルス対策の更新プログラムの管理とベースラインの適用」を参照してください。

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。