Windows Server でのMicrosoft Defenderウイルス対策の除外

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

この記事では、Microsoft Defenderウイルス対策用に定義する必要のない除外の種類について説明します。

• すべてのバージョンの Windows 上のオペレーティング システム ファイルに対する組み込みの除外。
• Windows Server 2016 以降のロールの自動除外。

除外の詳細な概要については、「Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外を管理する」を参照してください。

Windows Server での除外に関するいくつかの重要なポイント

• カスタム除外は、自動除外よりも優先されます。
• 自動除外は 、リアルタイム保護 (RTP) スキャンにのみ適用されます。
• クイック スキャン、フル スキャン、カスタム スキャンでは、自動除外は適用されません。
• カスタム除外と重複除外は、自動除外と競合しません。
• Microsoft Defenderウイルス対策では、展開イメージのサービスと管理 (DISM) ツールを使用して、コンピューターにインストールされている役割を決定します。
• オペレーティング システムに含まれていないソフトウェアには、適切な除外を設定する必要があります。
• Windows Server 2012 R2 には、インストール可能な機能としてMicrosoft Defenderウイルス対策がありません。 これらのサーバーを Defender for Endpoint にオンボードすると、Microsoft Defenderウイルス対策がインストールされ、オペレーティング システム ファイルの既定の除外が適用されます。 ただし、サーバー ロール (以下で指定) の除外は自動的に適用されないため、必要に応じてこれらの除外を構成する必要があります。 詳細については、「Windows サーバーを Microsoft Defender for Endpoint にオンボードする」を参照してください。
• 組み込みの除外と自動サーバー ロールの除外は、Windows セキュリティ アプリに表示される標準の除外リストには表示されません。
• Windows の組み込み除外の一覧は、脅威の状況の変化に応じて最新の状態に保たれます。 この記事では、組み込みおよび自動除外の一部 (すべてではない) を一覧表示します。

自動サーバー ロールの除外

Windows Server 2016以降では、サーバー ロールの除外を定義する必要はありません。 Windows Server 2016 以降にロールをインストールすると、Microsoft Defenderウイルス対策には、サーバー ロールと、ロールのインストール中に追加されたすべてのファイルの自動除外が含まれます。

Windows Server 2012 R2 では、自動除外機能はサポートされていません。 オペレーティング システムのインストール後に追加される任意のサーバー ロールとソフトウェアに対して明示的な除外を定義する必要があります。

重要

• 既定の場所は、この記事で説明する場所とは異なる場合があります。
• Windows 機能またはサーバーロールとして含まれていないソフトウェアの除外を設定するには、ソフトウェアの製造元のドキュメントを参照してください。

自動除外には、次のものが含まれます。

• Hyper-V の除外
• SYSVOL ファイル
• Active Directory の除外
• DHCP サーバーの除外
• DNS サーバーの除外
• ファイル サービスとストレージ サービスの除外
• プリント サーバーの除外
• Web サーバーの除外
• Windows Server Update Services除外

Hyper-V の除外

次の表に、Hyper-V ロールをインストールするときに自動的に配信されるファイルの種類の除外、フォルダーの除外、およびプロセスの除外を示します。

除外の種類	詳細
ファイルの種類	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
フォルダー	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
プロセス	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

SYSVOL ファイル

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory の除外

このセクションでは、Active Directory Domain Services (AD DS) をインストールするときに自動的に配信される除外の一覧を示します。

NTDS データベース ファイル

データベース ファイルがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

AD DS トランザクション ログ ファイル

トランザクション ログ ファイルがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

NTDS 作業フォルダー

このフォルダーはレジストリ キーで指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

AD DS および AD DS 関連のサポート ファイルのプロセス除外

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

DHCP サーバーの除外

このセクションでは、DHCP サーバーの役割をインストールするときに自動的に配信される除外の一覧を示します。 DHCP サーバー ファイルの場所は、レジストリ キーの DatabasePath、 DhcpLogFilePath、 BackupDatabasePath パラメーターによって指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

DNS サーバーの除外

このセクションでは、DNS サーバーロールをインストールするときに自動的に配信されるファイルとフォルダーの除外とプロセスの除外を一覧表示します。

DNS サーバー ロールのファイルとフォルダーの除外

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

DNS サーバー ロールのプロセスの除外

• %systemroot%\System32\dns.exe

ファイル サービスとストレージ サービスの除外

このセクションでは、File and Storage Services ロールをインストールするときに自動的に配信されるファイルとフォルダーの除外の一覧を示します。 以下に示す除外には、クラスタリング ロールの除外は含まれません。

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

プリント サーバーの除外

このセクションでは、プリント サーバー ロールをインストールするときに自動的に配信されるファイルの種類の除外、フォルダーの除外、およびプロセスの除外の一覧を示します。

ファイルの種類の除外

• *.shd
• *.spl

フォルダーの除外

このフォルダーはレジストリ キーで指定されます HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

プリント サーバー ロールのプロセスの除外

• spoolsv.exe

Web サーバーの除外

このセクションでは、Web Server ロールをインストールするときに自動的に配信されるフォルダーの除外とプロセスの除外の一覧を示します。

フォルダーの除外

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

Web サーバー ロールのプロセスの除外

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

Sysvol\Sysvol フォルダーまたは SYSVOL_DFSR\Sysvol フォルダー内のファイルのスキャンをオフにする

または SYSVOL_DFSR\Sysvol フォルダーとすべてのサブフォルダーの現在のSysvol\Sysvol場所は、レプリカ セット ルートのファイル システムの再解析ターゲットです。 フォルダーと SYSVOL_DFSR\Sysvol フォルダーではSysvol\Sysvol、既定で次の場所が使用されます。

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

現在アクティブな SYSVOL へのパスは NETLOGON 共有によって参照され、次のサブキーの SysVol 値名によって決定できます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

このフォルダーとそのすべてのサブフォルダーから次のファイルを除外します。

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

Windows Server Update Services除外

このセクションでは、Windows Server Update Services (WSUS) ロールをインストールするときに自動的に配信されるフォルダーの除外の一覧を示します。 WSUS フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

組み込みの除外

Microsoft Defenderウイルス対策は Windows に組み込まれているため、どのバージョンの Windows でもオペレーティング システム ファイルの除外は必要ありません。

組み込みの除外は次のとおりです。

• Windows "temp.edb" ファイル
• Windows Update ファイルまたは自動更新ファイル
• Windows セキュリティファイル
• グループ ポリシーファイル
• WINS ファイル
• ファイル レプリケーション サービス (FRS) の除外
• 組み込みのオペレーティング システム ファイルのプロセス除外

Windows の組み込み除外の一覧は、脅威の状況の変化に応じて最新の状態に保たれます。

Windows "temp.edb" ファイル

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update ファイルまたは自動更新ファイル

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows セキュリティファイル

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

グループ ポリシーファイル

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS ファイル

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

ファイル レプリケーション サービス (FRS) の除外

• ファイル レプリケーション サービス (FRS) 作業フォルダー内のファイル。 FRS 作業フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• FRS データベース ログ ファイル。 FRS Database ログ ファイル フォルダーがレジストリ キーに指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• FRS ステージング フォルダー。 ステージング フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• FRS プレインストール フォルダー。 このフォルダーは、 フォルダーによって指定されます Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• 分散ファイル システム レプリケーション (DFSR) データベースと作業フォルダー。 これらのフォルダーはレジストリ キーによって指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  注:

  カスタムの場所については、「 自動除外のオプトアウト」を参照してください。

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

組み込みのオペレーティング システム ファイルのプロセス除外

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

自動除外のオプトアウト

Windows Server 2016以降では、セキュリティ インテリジェンス更新プログラムによって提供される定義済みの除外では、ロールまたは機能の既定のパスのみが除外されます。 カスタム パスにロールまたは機能をインストールした場合、または除外のセットを手動で制御する場合は、セキュリティ インテリジェンス更新プログラムで配信される自動除外を必ずオプトアウトしてください。 ただし、自動的に配信される除外は、Windows Server 2016以降に最適化されていることに注意してください。 除外リストを定義 する前に、「除外に関する重要なポイント 」を参照してください。

警告

自動除外をオプトアウトすると、パフォーマンスに悪影響を与えたり、データが破損したりする可能性があります。 自動サーバー ロールの除外は、Windows Server 2016、Windows Server 2019、および Windows Server 2022 用に最適化されています。

定義済みの除外では 既定のパスのみが除外されるため、NTDS フォルダーと SYSVOL フォルダーを 元のパスとは異なる別のドライブまたはパスに移動する場合は、手動で除外を追加する必要があります。 フォルダー名またはファイル拡張子に基づいて除外の一覧を構成するを参照してください。

自動除外リストは、グループ ポリシー、PowerShell コマンドレット、WMI を使用して無効にすることができます。

グループ ポリシーを使用して、Windows Server 2016、Windows Server 2019、および Windows Server 2022 の自動除外リストを無効にする

1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開きます。 構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します。

2. グループ ポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>の除外に展開します。

4. [ 自動除外をオフにする] をダブルクリックし、オプションを [有効] に設定します。 次に [OK] を選びます。

PowerShell コマンドレットを使用して Windows Server の自動除外リストを無効にする

次のコマンドレットを使用します。

Set-MpPreference -DisableAutoExclusions $true

詳細については、次のリソースを参照してください。

• PowerShell コマンドレットを使用して、ウイルス対策Microsoft Defender構成して実行します。
• Microsoft Defender ウイルス対策で PowerShell を使用します。

Windows 管理命令 (WMI) を使用して、Windows Server の自動除外リストを無効にする

次のプロパティには、MSFT_MpPreference クラスの Set メソッドを使用します。

DisableAutoExclusions

詳細と許可されるパラメーターについては、次を参照してください。

• Windows Defender WMIv2 API

カスタム除外の定義

必要に応じて、カスタム除外を追加または削除できます。 これを行うには、次の記事を参照してください。

• Microsoft Defender ウイルス対策のカスタム除外を構成する
• ファイル名、拡張子、フォルダーの場所に基づいて除外を構成して検証する
• プロセスによって開かれたファイルの除外を構成して検証する

関連項目

• Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
• 除外を定義する際に避ける必要のある一般的な間違い
• Microsoft Defenderウイルス対策スキャンと修復の結果をカスタマイズ、開始、確認する
• Mac 用 Microsoft Defender for Endpoint
• Linux 用 Microsoft Defender for Endpoint
• Android 機能用 Defender for Endpoint を構成する
• iOS 機能用 Microsoft Defender for Endpoint を構成する

ヒント

詳細については、こちらをご覧ください。 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。