Windows サーバーでMicrosoft Defender ウイルス対策除外を構成する

適用対象:

プラットフォーム

  • Windows

Windows Server 2016およびWindows Server 2019 のMicrosoft Defender ウイルス対策は、指定したサーバー ロールで定義されているように、特定の除外に自動的に登録されます。 これらの除外は、Windows セキュリティ アプリに表示される標準の除外リストには表示されません。

サーバー ロール定義の自動除外に加えて、カスタム除外を追加または削除できます。 これを行うには、次の記事を参照してください。

留意すべき点がいくつかあります

  • カスタム除外は、自動除外よりも優先されます。
  • 自動除外は、 リアルタイム保護 (RTP) スキャンにのみ適用されます。
  • 自動除外は 、完全スキャン、クイック スキャン、またはオンデマンド スキャンでは適用されません。
  • カスタム除外と重複除外は、自動除外と競合しません。
  • Microsoft Defender ウイルス対策は、展開イメージサービスと管理 (DISM) ツールを使用して、コンピューターにインストールされているロールを決定します。
  • オペレーティング システムに含まれていないソフトウェアについては、適切な除外を設定する必要があります。
  • Windows Server 2012 R2 には、インストール可能な機能としてMicrosoft Defender ウイルス対策がありません。 これらのサーバーを Defender for Endpoint にオンボードすると、Windows Defender ウイルス対策がインストールされ、オペレーティング システム ファイルの既定の除外が適用されます。 ただし、サーバー ロールの除外 (以下で指定) は自動的には適用されないため、必要に応じてこれらの除外を構成する必要があります。 詳細については、「Windows サーバーを Microsoft Defender for Endpoint にオンボードする」を参照してください。

この記事では、Windows Server 2016 以降のMicrosoft Defender ウイルス対策の除外の概要について説明します。

Microsoft Defender ウイルス対策はWindows Server 2016以降に組み込まれているため、オペレーティング システム ファイルとサーバー ロールの除外は自動的に行われます。 ただし、カスタム除外を定義できます。 必要に応じて、自動除外をオプトアウトすることもできます。

この記事に含まれるセクションは次のとおりです。

Section 説明
Windows Server 2016以降の自動除外 2 つの主な種類の自動除外について説明し、自動除外の詳細な一覧を含めます
自動除外のオプトアウト 自動除外をオプトアウトする方法を説明する重要な考慮事項と手順が含まれています
カスタム除外の定義 カスタム除外を定義するためのハウツー情報へのリンクを提供します

Windows Server 2016以降の自動除外

Windows Server 2016以降では、次の除外を定義する必要はありません。

  • オペレーティング システム ファイル
  • サーバー ロールと、サーバー ロールを介して追加されるすべてのファイル

Microsoft Defender ウイルス対策が組み込まれているため、Windows Server 2016 以降のオペレーティング システム ファイルの除外は必要ありません。 さらに、Windows Server 2016 以降を実行してロールをインストールすると、サーバー ロールの自動除外と、ロールのインストール中に追加されるすべてのファイルがMicrosoft Defender ウイルス対策に含まれます。

オペレーティング システムの除外とサーバー ロールの除外は、Windows セキュリティ アプリに表示される標準の除外リストには表示されません。

注意

サーバー ロールとオペレーティング システム ファイルの自動除外は、Windows Server 2012には適用されません。 自動除外は、Windows Server 2012 R2 を実行しているサーバーが Defender for Endpoint にオンボードされている場合に適用できます。 (「Windows サーバーをMicrosoft Defender for Endpoint サービスにオンボードする」を参照してください)。

自動除外の一覧

次のセクションでは、自動除外ファイル パスとファイルの種類で配信される除外について説明します。

すべてのロールの既定の除外

このセクションでは、Windows Server 2016、Windows Server 2019、Windows Server 2022 のすべてのロールの既定の除外を一覧表示します。

重要

  • 既定の場所は、この記事で説明する場所とは異なる場合があります。
  • Windows機能またはサーバーロールとして含まれていないソフトウェアの除外を設定するには、ソフトウェアの製造元のドキュメントを参照してください。
"temp.edb" ファイルをWindowsする
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows Update ファイルまたは自動更新ファイル
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows セキュリティ ファイル
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
グループ ポリシー ファイル
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS ファイル
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
ファイル レプリケーション サービス (FRS) の除外
  • ファイル レプリケーション サービス (FRS) 作業フォルダー内のファイル。 FRS 作業フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • FRS データベースログ ファイル。 FRS データベース ログ ファイル フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • FRS ステージング フォルダー。 ステージング フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • FRS プレインストール フォルダー。 このフォルダーは、フォルダーによって指定されます Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • 分散ファイル システム レプリケーション (DFSR) データベースと作業フォルダー。 これらのフォルダーは、レジストリ キーによって指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    注意

    カスタムの場所については、「 自動除外のオプトアウト」を参照してください。

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
プロセスの除外
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Hyper-V の除外

次の表に、Hyper-V ロールをインストールするときに自動的に配信されるファイルの種類の除外、フォルダーの除外、およびプロセスの除外の一覧を示します。

除外の種類 詳細
ファイルの種類 *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
プロセス %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
SYSVOL ファイル
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory の除外

このセクションでは、Active Directory Domain Services (AD DS) をインストールするときに自動的に配信される除外の一覧を示します。

NTDS データベース ファイル

データベース ファイルがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
AD DS トランザクション ログ ファイル

トランザクション ログ ファイルはレジストリ キーで指定されます。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
NTDS 作業フォルダー

このフォルダーはレジストリ キーで指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP サーバーの除外

このセクションでは、DHCP サーバーの役割をインストールするときに自動的に配信される除外の一覧を示します。 DHCP サーバー ファイルの場所は、レジストリ キーの DatabasePathDhcpLogFilePathBackupDatabasePath パラメーターによって指定されます。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS サーバーの除外

このセクションでは、DNS サーバーの役割をインストールするときに自動的に配信されるファイルとフォルダーの除外とプロセスの除外の一覧を示します。

DNS サーバー ロールのファイルとフォルダーの除外
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
DNS サーバー ロールのプロセス除外
  • %systemroot%\System32\dns.exe

ファイルとStorageサービスの除外

このセクションでは、File ロールと Storage Services ロールをインストールするときに自動的に配信されるファイルとフォルダーの除外の一覧を示します。 以下に示す除外には、クラスタリング ロールの除外は含まれません。

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

このセクションでは、印刷サーバー ロールをインストールするときに自動的に配信されるファイルの種類の除外、フォルダーの除外、およびプロセスの除外の一覧を示します。

ファイルの種類の除外
  • *.shd
  • *.spl
フォルダーの除外

このフォルダーはレジストリ キーで指定されます HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
プロセスの除外
  • spoolsv.exe

Web サーバーの除外

このセクションでは、Web サーバー ロールをインストールするときに自動的に配信されるフォルダーの除外とプロセスの除外の一覧を示します。

フォルダーの除外
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Process exclusions
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
Sysvol\Sysvol フォルダーまたは SYSVOL_DFSR\Sysvol フォルダー内のファイルのスキャンをオフにする

フォルダーとSYSVOL_DFSR\Sysvolすべてのサブフォルダーの現在のSysvol\Sysvol場所は、レプリカ セット ルートのファイル システムの再解析ターゲットです。 フォルダーでは Sysvol\SysvolSYSVOL_DFSR\Sysvol 既定で次の場所が使用されます。

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

現在アクティブな SYSVOL パスは NETLOGON 共有によって参照され、次のサブキーの SysVol 値名によって決定できます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

このフォルダーとそのすべてのサブフォルダーから次のファイルを除外します。

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services除外

このセクションでは、Windows Server Update Services (WSUS) ロールをインストールするときに自動的に配信されるフォルダーの除外の一覧を示します。 WSUS フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

自動除外のオプトアウト

Windows Server 2016 以降では、セキュリティ インテリジェンス更新プログラムによって提供される定義済みの除外は、ロールまたは機能の既定のパスのみを除外します。 カスタム パスにロールまたは機能をインストールした場合、または一連の除外を手動で制御する場合は、セキュリティ インテリジェンス更新プログラムで配信される自動除外をオプトアウトしてください。 ただし、自動的に配信される除外は、Windows Server 2016 以降向けに最適化されていることに注意してください。 除外リストを定義する前に、除外を定義するおすすめを参照してください。

警告

自動除外をオプトアウトすると、パフォーマンスに悪影響を与えたり、データが破損したりする可能性があります。 自動的に配信される除外は、Windows Server 2016、Windows Server 2019、Windows Server 2022 ロール用に最適化されます。

定義済みの除外では 既定のパス のみが除外されるため、NTDS フォルダーと SYSVOL フォルダーを元のパス とは異なる別の ドライブまたはパスに移動する場合は、除外を手動で追加する必要があります。 フォルダー名またはファイル拡張子に基づいて除外の一覧を構成する方法に関するページを参照してください。

グループ ポリシー、PowerShell コマンドレット、WMI を使用して、自動除外リストを無効にすることができます。

グループ ポリシーを使用して、Windows Server 2016、Windows Server 2019、Windows Server 2022 で自動除外リストを無効にする

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開きます。 構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択 します

  2. グループ ポリシー管理エディター[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

  3. ツリーを展開して 、除外Microsoft Defender ウイルス対策コンポーネント > をWindows > します

  4. [ 自動除外を無効にする] をダブルクリックし、オプションを [有効] に設定します。 次に [OK] を選びます。

PowerShell コマンドレットを使用して、Windows Server の自動除外リストを無効にする

次のコマンドレットを使用します。

Set-MpPreference -DisableAutoExclusions $true

詳細については、次のリソースを参照してください。

Windows管理命令 (WMI) を使用して、Windows サーバーで自動除外リストを無効にする

次のプロパティには、MSFT_MpPreference クラスの Set メソッドを使用します。

DisableAutoExclusions

詳細と許可されるパラメーターについては、次を参照してください。

カスタム除外の定義

必要に応じて、カスタム除外を追加または削除できます。 これを行うには、次の記事を参照してください。

関連項目