攻撃表面の縮小ルールを有効にするEnable attack surface reduction rules

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

Attack surface reduction ルール (ASR ルール) を使用すると、マルウェアによってデバイスやネットワークが侵害される可能性が abuses ことがよくあります。Attack surface reduction rules (ASR rules) help prevent actions that malware often abuses to compromise devices and networks. 次のいずれかのエディションとバージョンの Windows を実行しているデバイスに ASR ルールを設定できます。You can set ASR rules for devices running any of the following editions and versions of Windows:

各 ASR ルールには、次の3つの設定のいずれかが含まれます。Each ASR rule contains one of three settings:

  • 未構成: ASR ルールを無効にするNot configured: Disable the ASR rule
  • Block: ASR ルールを有効にします。Block: Enable the ASR rule
  • 監査: 有効な場合に ASR ルールが組織に与える影響を評価するAudit: Evaluate how the ASR rule would impact your organization if enabled

ASR ルールを使用するには、Windows 10 Enterprise E3 または E5 ライセンスのいずれかが必要です。To use ASR rules, you must have either a Windows 10 Enterprise E3 or E5 license. Microsoft Defender For endpoint (Defender for endpoint) で利用できる高度な監視機能とレポート機能を活用できるように、E5 ライセンスをお勧めします。We recommend E5 licenses so you can take advantage of the advanced monitoring and reporting capabilities that are available in Microsoft Defender for Endpoint (Defender for Endpoint). 拡張監視機能とレポート機能は E3 ライセンスでは使用できませんが、独自の監視ツールとレポートツールを作成して、ASR ルールと組み合わせて使用することができます。Advanced monitoring and reporting capabilities aren't available with an E3 license, but you can develop your own monitoring and reporting tools to use in conjunction with ASR rules.

ヒント

Windows ライセンスの詳細については、「 windows 10 ライセンス 」を参照して、 Windows 10 のボリュームライセンスガイドを取得してください。To learn more about Windows licensing, see Windows 10 Licensing and get the Volume Licensing guide for Windows 10.

次のいずれかの方法を使用して、attack surface reduction ルールを有効にすることができます。You can enable attack surface reduction rules by using any of these methods:

Intune や Microsoft Endpoint 構成マネージャーなどのエンタープライズレベルの管理をお勧めします。Enterprise-level management such as Intune or Microsoft Endpoint Configuration Manager is recommended. エンタープライズレベルの管理では、起動時に競合するグループポリシーまたは PowerShell の設定が上書きされます。Enterprise-level management will overwrite any conflicting Group Policy or PowerShell settings on startup.

ファイルとフォルダーを ASR ルールから除外するExclude files and folders from ASR rules

ほとんどの attack surface reduction ルールによって評価されないように、ファイルとフォルダーを除外することができます。You can exclude files and folders from being evaluated by most attack surface reduction rules. つまり、ASR 規則でファイルやフォルダーに悪意のある動作が含まれていると判断された場合でも、ファイルの実行がブロックされることはありません。This means that even if an ASR rule determines the file or folder contains malicious behavior, it will not block the file from running. これにより、安全でないファイルが実行され、デバイスに感染する可能性があります。This could potentially allow unsafe files to run and infect your devices.

また、エンドポイントファイルと証明書インジケーターに指定された Defender を許可することによって、証明書とファイルハッシュに基づいて、トリガーから ASR ルールを除外することもできます。You can also exclude ASR rules from triggering based on certificate and file hashes by allowing specified Defender for Endpoint file and certificate indicators. (「 インジケーターを管理する」をご覧ください。)(See Manage indicators.)

重要

ファイルまたはフォルダーを除外すると、ASR ルールによって提供される保護が大幅に低下する可能性があります。Excluding files or folders can severely reduce the protection provided by ASR rules. 除外されたファイルは実行が許可され、レポートやイベントは記録されません。Excluded files will be allowed to run, and no report or event will be recorded. ASR ルールによって検出されない可能性のあるファイルが検出される場合は、 まず監査モードを使ってルールをテストする必要があります。If ASR rules are detecting files that you believe shouldn't be detected, you should use audit mode first to test the rule.

個々のファイルまたはフォルダー (フォルダーパスまたは完全修飾リソース名を使用) を指定できますが、除外を適用するルールを指定することはできません。You can specify individual files or folders (using folder paths or fully qualified resource names), but you can't specify which rules the exclusions apply to. 除外は、除外したアプリケーションまたはサービスが開始された場合にのみ適用されます。An exclusion is applied only when the excluded application or service starts. たとえば、既に実行されている更新サービスの除外を追加した場合、サービスが停止して再開されるまで、更新サービスはイベントのトリガーを続行します。For example, if you add an exclusion for an update service that is already running, the update service will continue to trigger events until the service is stopped and restarted.

ASR ルールは、環境変数とワイルドカードをサポートします。ASR rules support environment variables and wildcards. ワイルドカードの使用方法については、「 ファイル名とフォルダーのパスまたは拡張子の除外リストでワイルドカードを使用する」を参照してください。For information about using wildcards, see Use wildcards in the file name and folder path or extension exclusion lists.

ASR ルールを有効にするには、次の手順に従って、ファイルとフォルダーを除外する方法を説明します。The following procedures for enabling ASR rules include instructions for how to exclude files and folders.

IntuneIntune

  1. [デバイス構成 > プロファイル] を選びます。Select Device configuration > Profiles. 既存のエンドポイント保護プロファイルを選択するか、新規に作成します。Choose an existing endpoint protection profile or create a new one. 新しいプロファイルを作成するには、[ プロファイルの作成 ] を選んで、このプロファイルの情報を入力します。To create a new one, select Create profile and enter information for this profile. [ プロファイルの種類] で、[ Endpoint protection] を選択します。For Profile type, select Endpoint protection. 既存のプロファイルを選んだ場合は、[ プロパティ ] を選択し、[ 設定] を選択します。If you've chosen an existing profile, select Properties and then select Settings.

  2. [ Endpoint protection ] ウィンドウで、[ Windows Defender Exploit Guard]、[ Attack Surface Reduction] の順に選択します。In the Endpoint protection pane, select Windows Defender Exploit Guard, then select Attack Surface Reduction. 各 ASR ルールの目的の設定を選びます。Select the desired setting for each ASR rule.

  3. [ Attack Surface Reduction の例外] で、個々のファイルとフォルダーを入力します。Under Attack Surface Reduction exceptions, enter individual files and folders. [ インポート ] を選択して、ASR ルールから除外するファイルやフォルダーを含む CSV ファイルをインポートすることもできます。You can also select Import to import a CSV file that contains files and folders to exclude from ASR rules. CSV ファイルの各行は、次のように書式設定する必要があります。Each line in the CSV file should be formatted as follows:

    C:\folder, %ProgramFiles%\folder\file,, %ProgramFiles%\folder\file, C:\path

  4. 3つの構成ウィンドウで [ OK] を選択します。Select OK on the three configuration panes. 次に、新しい endpoint protection ファイルを作成している場合は [ 作成 ] を選択し、既存のファイルを編集している場合は [ 保存 ] を選びます。Then select Create if you're creating a new endpoint protection file or Save if you're editing an existing one.

MDMMDM

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 構成サービス プロバイダー (CSP) を使って、各ルールのモードを個別に有効化および設定します。Use the ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP) to individually enable and set the mode for each rule.

ASR ルールの GUID 値を使用した参照のサンプルを次に示します。The following is a sample for reference, using GUID values for ASR rules.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

監査モードで有効化、無効化、または有効にする値は次のとおりです。The values to enable, disable, or enable in audit mode are:

  • Disable = 0Disable = 0
  • Block (ASR ルールを有効にする) = 1Block (enable ASR rule) = 1
  • Audit = 2Audit = 2

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 構成サービス プロバイダー (CSP) を使って除外を追加します。Use the ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) to add exclusions.

例:Example:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Whitelisted.exe

注意

必ず、半角スペースを使わずに OMA-URI 値を入力してください。Be sure to enter OMA-URI values without spaces.

Microsoft Endpoint Configuration ManagerMicrosoft Endpoint Configuration Manager

  1. Microsoft Endpoint Configuration Manager で、[資産とコンプライアンス > エンドポイントの保護 > Windows Defender Exploit Guard] に移動します。In Microsoft Endpoint Configuration Manager, go to Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

  2. [ Home > Create Exploit Guard Policy] を選びます。Select Home > Create Exploit Guard Policy.

  3. 名前と説明を入力し、[ Attack Surface Reduction] を選択して、[ 次へ] を選択します。Enter a name and a description, select Attack Surface Reduction, and select Next.

  4. アクションをブロックまたは監査するルールを選択し、[ 次へ] を選択します。Choose which rules will block or audit actions and select Next.

  5. 設定を確認し、[ 次へ ] を選んでポリシーを作成します。Review the settings and select Next to create the policy.

  6. ポリシーが作成されたら、を 閉じます。After the policy is created, Close.

グループ ポリシーGroup Policy

警告

Intune、構成マネージャー、その他のエンタープライズレベルの管理プラットフォームを使用してコンピューターとデバイスを管理している場合、管理ソフトウェアでは、起動時に競合するグループポリシー設定が上書きされます。If you manage your computers and devices with Intune, Configuration Manager, or other enterprise-level management platform, the management software will overwrite any conflicting Group Policy settings on startup.

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソール を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] を選択します。On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. グループポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  3. ツリーをwindows コンポーネント > Microsoft Defender ウイルス対策 > windows defender Exploit Exploit Guard > 攻撃面の削減に拡張します。Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Attack surface reduction.

  4. [ Attack surface reduction ルールの構成 ] を選択し、[ 有効] を選びます。Select Configure Attack surface reduction rules and select Enabled. 次に、[オプション] セクションで、ルールごとに個別の状態を設定することができます。You can then set the individual state for each rule in the options section.

    [ 表示. ..] を選択し、[ 値の名前 ] 列にルール ID を入力して、次のように 列に選択した状態を入力します。Select Show... and enter the rule ID in the Value name column and your chosen state in the Value column as follows:

    • Disable = 0Disable = 0
    • Block (ASR ルールを有効にする) = 1Block (enable ASR rule) = 1
    • Audit = 2Audit = 2

    空の attack surface リダクションルール ID と値1のグループポリシー設定

  5. ASR ルールからファイルやフォルダーを除外するには、[ Attack surface reduction ルールのファイルとパスを除外 する] 設定を選び、オプションを [ 有効] に設定します。To exclude files and folders from ASR rules, select the Exclude files and paths from Attack surface reduction rules setting and set the option to Enabled. [ 表示 ] を選択し、[値の 名前 ] 列に各ファイルまたはフォルダーを入力します。Select Show and enter each file or folder in the Value name column. 各項目の [値] 列に「0」と入力します。Enter 0 in the Value column for each item.

警告

[ 値の名前 列または 列ではサポートされていないため、引用符は使用しないでください。Do not use quotes as they are not supported for either the Value name column or the Value column.

PowerShellPowerShell

警告

Intune、構成マネージャー、または別のエンタープライズレベルの管理プラットフォームを使用してコンピューターとデバイスを管理する場合、管理ソフトウェアによって、起動時に競合する PowerShell 設定が上書きされます。If you manage your computers and devices with Intune, Configuration Manager, or another enterprise-level management platform, the management software will overwrite any conflicting PowerShell settings on startup. ユーザーが PowerShell を使用して値を定義できるようにするには、管理プラットフォームのルールに対して [ユーザー定義] オプションを使用します。To allow users to define the value using PowerShell, use the "User Defined" option for the rule in the management platform.

  1. [スタート] メニューで「 powershell 」と入力し、[ Windows powershell ] を右クリックして、[ 管理者として実行] を選択します。Type powershell in the Start menu, right-click Windows PowerShell and select Run as administrator.

  2. 次のコマンドレットを入力します。Enter the following cmdlet:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    

    監査モードで ASR ルールを有効にするには、次のコマンドレットを使用します。To enable ASR rules in audit mode, use the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    

    ASR ルールを無効にするには、次のコマンドレットを使用します。To turn off ASR rules, use the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
    

    重要

    ルールごとに状態を個別に指定する必要がありますが、ルールと状態をコンマ区切りリストで組み合わせることができます。You must specify the state individually for each rule, but you can combine rules and states in a comma-separated list.

    次の例では、最初の 2 つのルールは有効になり、3 番目のルールは無効になって、4 番目のルールは監査モードで有効になります。In the following example, the first two rules will be enabled, the third rule will be disabled, and the fourth rule will be enabled in audit mode:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
    

    PowerShell 動詞を使って、 Add-MpPreference 既存のリストに新しいルールを追加することもできます。You can also use the Add-MpPreference PowerShell verb to add new rules to the existing list.

    警告

    Set-MpPreference は、既存のルールのセットを常に上書きします。will always overwrite the existing set of rules. 既存のセットに追加するには、代わりに Add-MpPreference を使用する必要があります。If you want to add to the existing set, you should use Add-MpPreference instead. を使用して、ルールの一覧とその現在の状態を取得でき Get-MpPreference ます。You can obtain a list of rules and their current state by using Get-MpPreference.

  3. ASR ルールからファイルやフォルダーを除外するには、次のコマンドレットを使用します。To exclude files and folders from ASR rules, use the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    引き続き、 Add-MpPreference -AttackSurfaceReductionOnlyExclusions リストにファイルとフォルダーを追加します。Continue to use Add-MpPreference -AttackSurfaceReductionOnlyExclusions to add more files and folders to the list.

    重要

    Add-MpPreference を使うと、一覧にアプリが追加されます。Use Add-MpPreference to append or add apps to the list. Set-MpPreference コマンドレットを使うと、既存の一覧が上書きされます。Using the Set-MpPreference cmdlet will overwrite the existing list.

関連記事Related articles