攻撃表面の縮小ルールをカスタマイズするCustomize attack surface reduction rules

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

重要

一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。Some information relates to prereleased product which may be substantially modified before it's commercially released. ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。Microsoft makes no warranties, express or implied, with respect to the information provided here.

Attack surface reduction ルール は、デバイスやネットワークに悪用されることが多いソフトウェアの動作を防ぐのに役立ちます。Attack surface reduction rules help prevent software behaviors that are often abused to compromise your device or network. たとえば、攻撃者が USB ドライブから署名されていないスクリプトを実行しようとした場合や、Office ドキュメント内のマクロが Win32 API を直接呼び出す場合などが考えられます。For example, an attacker might try to run an unsigned script off of a USB drive, or have a macro in an Office document make calls directly to the Win32 API. Attack surface reduction ルールを使用すると、これらの種類の危険な動作を制約し、組織の防御力を高めることができます。Attack surface reduction rules can constrain these kinds of risky behaviors and improve your organization's defensive posture.

ファイルとフォルダーを除外するか、ユーザーのコンピューターに表示される通知アラートにカスタムテキストを追加して、attack surface reduction ルールをカスタマイズする方法について説明します。Learn how to customize attack surface reduction rules by excluding files and folders or adding custom text to the notification alert that appears on a user's computer.

次のいずれかのエディションとバージョンの Windows を実行しているデバイスに対して、attack surface reduction ルールを設定できます。You can set attack surface reduction rules for devices running any of the following editions and versions of Windows:

フォルダーとファイルを除外するExclude files and folders

Attack surface reduction 規則によって評価されないように、ファイルとフォルダーを除外することを選択できます。You can choose to exclude files and folders from being evaluated by attack surface reduction rules. 除外されたファイルは、悪意のある動作が含まれていることを検出しても、攻撃対象のファイルがブロックされることはありません。Once excluded, the file won't be blocked from running even if an attack surface reduction rule detects that the file contains malicious behavior.

警告

これにより、安全でないファイルが実行され、デバイスに感染する可能性があります。This could potentially allow unsafe files to run and infect your devices. ファイルまたはフォルダーを除外すると、attack surface reduction 規則によって提供される保護が大幅に低下する可能性があります。Excluding files or folders can severely reduce the protection provided by attack surface reduction rules. ルールによってブロックされる可能性があるファイルが実行され、レポートやイベントは記録されません。Files that would have been blocked by a rule will be allowed to run, and there will be no report or event recorded.

除外は、除外を許可するすべてのルールに適用されます。An exclusion applies to all rules that allow exclusions. 個々のファイル、フォルダーパス、またはリソースの完全修飾ドメイン名を指定できます。You can specify an individual file, folder path, or the fully qualified domain name for a resource. ただし、除外を特定のルールに限定することはできません。However, you cannot limit an exclusion to a specific rule.

除外は、除外したアプリケーションまたはサービスが開始された場合にのみ適用されます。An exclusion is applied only when the excluded application or service starts. たとえば、既に実行されている更新サービスの除外を追加した場合、サービスが停止して再開されるまで、更新サービスはイベントのトリガーを続行します。For example, if you add an exclusion for an update service that is already running, the update service will continue to trigger events until the service is stopped and restarted.

Attack surface reduction は、環境変数とワイルドカードをサポートします。Attack surface reduction supports environment variables and wildcards. ワイルドカードの使用方法については、「 ファイル名とフォルダーのパスまたは拡張子の除外リストでワイルドカードを使用する」を参照してください。For information about using wildcards, see use wildcards in the file name and folder path or extension exclusion lists. 検出されないと思われるファイルを検出するルールの問題が発生した場合は、 監査モードを使用してルールをテストします。If you are encountering problems with rules detecting files that you believe should not be detected, use audit mode to test the rule.

ルールの説明Rule description GUIDGUID
子プロセスの作成をすべての Office アプリケーションでブロックするBlock all Office applications from creating child processes D4F940AB-401B-4EFC-AADC-AD5F3C50688AD4F940AB-401B-4EFC-AADC-AD5F3C50688A
暗号化されている可能性のあるスクリプトの実行をブロックするBlock execution of potentially obfuscated scripts 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Office マクロからの Win32 API 呼び出しをブロックするBlock Win32 API calls from Office macro 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Office アプリケーションが実行可能ファイルのコンテンツを作成できないようにするBlock Office applications from creating executable content 3B576869-A4EC-4529-8536-B80A7769E8993B576869-A4EC-4529-8536-B80A7769E899
Office アプリケーションが他のプロセスにコードを挿入できないようにするBlock Office applications from injecting code into other processes 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC8475668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
ダウンロードされた実行可能ファイルのコンテンツを、JavaScript または VBScript で起動できないようにするBlock JavaScript or VBScript from launching downloaded executable content D3E037E1-3EB8-44C8-A917-57927947596DD3E037E1-3EB8-44C8-A917-57927947596D
メール クライアントと Web メールから実行可能ファイルのコンテンツをブロックするBlock executable content from email client and webmail BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
流行、年齢、または信頼できるリストの条件を満たしていない限り、実行可能ファイルをブロックするBlock executable files from running unless they meet a prevalence, age, or trusted list criteria 01443614-cd74-433a-2ecdc07bfc2501443614-cd74-433a-b99e-2ecdc07bfc25
ランサムウェアに対する高度な保護機能を使用するUse advanced protection against ransomware c1db55ab-c21a-4637-bb3f-a12568109d35c1db55ab-c21a-4637-bb3f-a12568109d35
Windows のローカルセキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)Block credential stealing from the Windows local security authority subsystem (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b29e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
PSExec および WMI コマンドから送信されたブロックプロセスの作成Block process creations originating from PSExec and WMI commands d1e49aac-8f56-4280-b9ba-993a6d77406cd1e49aac-8f56-4280-b9ba-993a6d77406c
USB から実行される信頼されていないプロセスと未署名のプロセスをブロックするBlock untrusted and unsigned processes that run from USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Office コミュニケーションアプリケーションによる子プロセスの作成を禁止するBlock Office communication applications from creating child processes 26190899-1602-49e8-8b27-eb1d0a1ce86926190899-1602-49e8-8b27-eb1d0a1ce869
Adobe Reader で子プロセスを作成しないようにブロックするBlock Adobe Reader from creating child processes 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
WMI イベントサブスクリプションによる持続性のブロックBlock persistence through WMI event subscription e6db77e5-3df2-4cf1-b95a-636979351e5be6db77e5-3df2-4cf1-b95a-636979351e5b

各ルールの詳細については、「 attack surface reduction のトピック」を参照してください。See the attack surface reduction topic for details on each rule.

グループ ポリシーを使ってファイルとフォルダーを除外するUse Group Policy to exclude files and folders

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソール を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] を選択します。On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. グループポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] をクリックします。In the Group Policy Management Editor, go to Computer configuration and click Administrative templates.

  3. ツリーをwindows コンポーネント > Microsoft Defender ウイルス対策 > windows defender Exploit Exploit Guard > 攻撃面の削減に拡張します。Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Attack surface reduction.

  4. [Exclude files and paths from Attack surface reduction Rules] (攻撃表面の縮小ルールからファイルとパスを除外する) 設定をダブルクリックし、オプションを [有効] に設定します。Double-click the Exclude files and paths from Attack surface reduction Rules setting and set the option to Enabled. [ 表示 ] を選択し、[値の 名前 ] 列に各ファイルまたはフォルダーを入力します。Select Show and enter each file or folder in the Value name column. 各項目の [値] 列に「0」と入力します。Enter 0 in the Value column for each item.

警告

[ 値の名前 列または 列ではサポートされていないため、引用符は使用しないでください。Do not use quotes as they are not supported for either the Value name column or the Value column.

PowerShell を使用してファイルおよびフォルダーを除外するUse PowerShell to exclude files and folders

  1. [スタート] メニューで「 powershell 」と入力し、[ Windows powershell ] を右クリックして、[管理者として実行] を選ぶType powershell in the Start menu, right-click Windows PowerShell and select Run as administrator

  2. 次のコマンドレットを入力します。Enter the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

引き続き Add-MpPreference -AttackSurfaceReductionOnlyExclusions を使って、一覧にフィルダーを追加します。Continue to use Add-MpPreference -AttackSurfaceReductionOnlyExclusions to add more folders to the list.

重要

Add-MpPreference を使うと、一覧にアプリが追加されます。Use Add-MpPreference to append or add apps to the list. Set-MpPreference コマンドレットを使うと、既存の一覧が上書きされます。Using the Set-MpPreference cmdlet will overwrite the existing list.

MDM CSP を使ってフォルダーとファイルを除外するUse MDM CSPs to exclude files and folders

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 構成サービス プロバイダー (CSP) を使って除外を追加します。Use the ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) to add exclusions.

通知をカスタマイズするCustomize the notification

ルールがトリガーされたときの通知をカスタマイズして、アプリやファイルをブロックすることができます。You can customize the notification for when a rule is triggered and blocks an app or file. Windows のセキュリティ 」の記事を参照してください。See the Windows Security article.

関連トピックRelated topics