プロセスによって開かれたファイルの除外を構成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
特定のプロセスによって開かれたファイルは、Microsoft Defender ウイルス対策 スキャンから除外できます。 除外リストを定義する前に、除外を定義するおすすめを参照してください。
この記事では、除外リストを構成する方法について説明します。
除外の例
| 除外 | 例 |
|---|---|
| 特定のファイル名を持つ任意のプロセスによって開かれるマシン上の任意のファイル | 指定すると、 test.exe 次の方法で開かれたファイルが除外されます。
|
| 特定のフォルダーの下の任意のプロセスによって開かれるコンピューター上の任意のファイル | 指定すると、 c:\test\sample\* 次の方法で開かれたファイルが除外されます。 |
| 特定のフォルダー内の特定のプロセスによって開かれるコンピューター上の任意のファイル | 指定すると c:\test\process.exe 、開かれたファイルのみが除外されます。 c:\test\process.exe |
プロセス除外リストにプロセスを追加すると、ファイルの場所に関係なく、そのプロセスによって開かれたファイルはスキャンMicrosoft Defender ウイルス対策されません。 ただし、プロセス自体は、 ファイル除外リストにも追加されていない限り、スキャンされます。
除外は、 常時オンのリアルタイムの保護と監視にのみ適用されます。 スケジュールされたスキャンやオンデマンド スキャンには適用されません。
除外リストに対するグループ ポリシーで行われた変更は、Windows セキュリティ アプリの一覧に 表示されます。 ただし、Windows セキュリティ アプリで行われた変更は、グループ ポリシー リストには 表示されません。
グループ ポリシー、Microsoft Endpoint Configuration Manager、Microsoft Intune、Windows セキュリティ アプリで除外リストを追加、削除、確認したり、ワイルドカードを使用してリストをさらにカスタマイズしたりできます。
PowerShell コマンドレットと WMI を使用して、リストの確認など、除外リストを構成することもできます。
既定では、リストに対して行われたローカル変更 (管理者特権を持つユーザー、PowerShell と WMI で行われた変更) は、グループ ポリシー、Configuration Manager、またはIntuneによって定義 (および展開) されたリストとマージされます。 競合の場合は、グループ ポリシーリストが優先されます。
ローカルで定義された除外リストとグローバル定義の除外リストをマージして、ローカルの変更がマネージド デプロイ設定をオーバーライドできるようにする方法を構成できます。
指定したプロセスによって開かれたファイルの除外の一覧を構成する
Microsoft Intuneを使用して、指定されたプロセスによって開かれたファイルをスキャンから除外する
詳細については、「Microsoft Intune でデバイスの制限設定を構成する」および「Intune での Windows 10 の Microsoft Defender ウイルス対策デバイス制限設定」を参照してください。
Microsoft エンドポイント マネージャーを使用して、指定されたプロセスによって開かれたファイルをスキャンから除外する
Microsoft エンドポイント マネージャー (現在のブランチ) の構成の詳細については、「マルウェア対策ポリシーを作成して展開する方法: 除外設定」を参照してください。
グループ ポリシーを使用して、指定されたプロセスによって開かれたファイルをスキャンから除外する
グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシーオブジェクトを右クリックし、[編集] をクリック します。
グループ ポリシー管理エディター で [コンピューターの構成] に移動し、[管理用テンプレート] をクリックします。
ツリーを展開して 、除外Microsoft Defender ウイルス対策コンポーネント>をWindows>します。
[ プロセスの除外] をダブルクリックし、除外を追加します。
- オプションを [有効] に設定します。
- [ オプション] セクションで、[ 表示]... をクリックします。
- [ 値名 ] 列の下に、各プロセスを独自の行に入力します。 さまざまな種類のプロセス除外については、例の表を参照してください。 すべてのプロセスの [値] 列に 「0」と入力します。
[OK] をクリックします。
PowerShell コマンドレットを使用して、指定されたプロセスによって開かれたファイルをスキャンから除外する
PowerShell を使用して、プロセスによって開かれたファイルの除外を追加または削除するには、3 つのコマンドレットとパラメーターの組み合わせを使用する -ExclusionProcess 必要があります。 コマンドレットはすべて Defender モジュールに含まれています。
コマンドレットの形式は次のとおりです。
<cmdlet> -ExclusionProcess "<item>"
次のように指定できます。<cmdlet>
| 構成アクション | PowerShell コマンドレット |
|---|---|
| リストを作成または上書きする | Set-MpPreference |
| 一覧に追加する | Add-MpPreference |
| リストからアイテムを削除する | Remove-MpPreference |
重要
コマンドレットを使用してリストを作成した場合、 Set-MpPreference または Add-MpPreferenceコマンドレットを使用すると、既存の Set-MpPreference リストが上書きされます。
たとえば、次のコード スニペットを使用すると、Microsoft Defender AV スキャンによって、指定されたプロセスによって開かれたファイルが除外されます。
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Microsoft Defender ウイルス対策で PowerShell を使用する方法の詳細については、「PowerShell コマンドレットとMicrosoft Defender ウイルス対策コマンドレットを使用したウイルス対策の管理」を参照してください。
Windows管理命令 (WMI) を使用して、指定されたプロセスによって開かれたファイルをスキャンから除外する
次のプロパティに 対して、MSFT_MpPreference クラスの Set、Add、および Remove メソッドを使用します。
ExclusionProcess
Set、Add、Remove の使用は、PowerShell の対応する機能に似ています。 Set-MpPreference``Add-MpPreference``Remove-MpPreference
詳細と許可されるパラメーターについては、「WINDOWS DEFENDER WMIv2 API」を参照してください。
Windows セキュリティ アプリを使用して、指定されたプロセスによって開かれたファイルをスキャンから除外する
手順については、「Windows セキュリティ アプリで除外を追加する」を参照してください。
プロセス除外リストでワイルドカードを使用する
プロセス除外リストでのワイルドカードの使用は、他の除外リストでの使用とは異なります。
特に、疑問符 (?) ワイルドカードは使用できず、アスタリスク (*) ワイルドカードは完全なパスの末尾でのみ使用できます。 プロセス除外リスト内の項目を定義するときに、ワイルドカードとして環境変数 (など %ALLUSERSPROFILE%) を引き続き使用できます。
次の表では、プロセス除外リストでワイルドカードを使用する方法について説明します。
| ワイルドカード | 使用例 | 一致する例 |
|---|---|---|
* (アスタリスク) 任意の数の文字を置き換えます |
C:\MyData\* |
によって開かれたすべてのファイル C:\MyData\file.exe |
| 環境変数 定義された変数は、除外が評価されるときにパスとして設定されます |
%ALLUSERSPROFILE%\CustomLogFiles\file.exe |
によって開かれたすべてのファイル C:\ProgramData\CustomLogFiles\file.exe |
除外の一覧を確認する
MpCmdRun、PowerShell、Microsoft Endpoint Configuration Manager、Intune、またはWindows セキュリティ アプリを使用して、除外リスト内の項目を取得できます。
PowerShell を使用する場合は、次の 2 つの方法で一覧を取得できます。
- すべてのMicrosoft Defender ウイルス対策設定の状態を取得します。 各リストは別々の行に表示されますが、各リスト内の項目は同じ行に結合されます。
- すべての設定の状態を変数に書き込み、その変数を使用して、関心のある特定のリストのみを呼び出します。 それぞれの使用
Add-MpPreferenceは新しい行に書き込まれます。
MpCmdRun を使用して除外リストを検証する
専用 のコマンド ライン ツール mpcmdrun.exeで除外を確認するには、次のコマンドを使用します。
MpCmdRun.exe -CheckExclusion -path <path>
注意
MpCmdRun で除外を確認するには、MICROSOFT DEFENDER ウイルス対策 CAMP バージョン 4.18.1812.3 (2018 年 12 月にリリース) 以降が必要です。
PowerShell を使用して、他のすべてのMicrosoft Defender ウイルス対策設定と共に除外の一覧を確認する
次のコマンドレットを使用します。
Get-MpPreference
PowerShell をMicrosoft Defender ウイルス対策で使用する方法の詳細については、「PowerShell コマンドレットを使用してMicrosoft Defender ウイルス対策コマンドレットとMicrosoft Defender ウイルス対策コマンドレットを構成および実行する」を参照してください。
PowerShell を使用して特定の除外リストを取得する
次のコード スニペットを使用します (各行を個別のコマンドとして入力します)。 WDAVprefs を変数 に名前を付ける任意のラベルに置き換えます。
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
PowerShell をMicrosoft Defender ウイルス対策で使用する方法の詳細については、「PowerShell コマンドレットを使用してMicrosoft Defender ウイルス対策コマンドレットとMicrosoft Defender ウイルス対策コマンドレットを構成および実行する」を参照してください。
ヒント
他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。
- macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Mac 用 Microsoft Defender for Endpoint
- Intune の Microsoft Defender ウイルス対策の macOS ウイルス対策ポリシー設定
- Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Linux 用 Microsoft Defender for Endpoint
- Android 機能用 Defender for Endpoint を構成する
- iOS 機能用 Microsoft Defender for Endpoint を構成する