Windows Server での Windows Defender ウイルス対策の除外の構成Configure Windows Defender Antivirus exclusions on Windows Server

適用対象Applies to:

Windows Server 2016 および2019の windows Defender ウイルス対策によって、指定したサーバーの役割によって定義された特定の除外に自動的に登録されます。Windows Defender Antivirus on Windows Server 2016 and 2019 automatically enrolls you in certain exclusions, as defined by your specified server role. 自動除外の一覧(この記事の内容) をご覧ください。See the list of automatic exclusions (in this article). これらの除外は、 Windows セキュリティアプリに表示される標準の除外リストには表示されません。These exclusions do not appear in the standard exclusion lists that are shown in the Windows Security app.

注意

自動除外は、リアルタイム保護 (RTP) スキャンにのみ適用されます。Automatic exclusions only apply to Real-time protection (RTP) scanning. 自動除外は、フル/クイックスキャンまたはオンデマンドスキャンの実行時には無視されます。Automatic exclusions are not honored during a Full/Quick or On-demand scan.

サーバーの役割で定義された自動除外に加えて、カスタムの除外を追加または削除することができます。In addition to server role-defined automatic exclusions, you can add or remove custom exclusions. そのためには、次の記事を参照してください。To do that, refer to these articles:

留意すべき点A few points to keep in mind

  • ユーザー設定の除外は自動除外より優先されます。Custom exclusions take precedence over automatic exclusions.

  • 自動除外は、リアルタイム保護 (RTP) スキャンにのみ適用されます。Automatic exclusions only apply to Real-time protection (RTP) scanning. 自動除外は、フル/クイックスキャンまたはオンデマンドスキャンの実行時には無視されます。Automatic exclusions are not honored during a Full/Quick or On-demand scan.

  • カスタム除外や重複除外は、自動除外と競合しません。Custom and duplicate exclusions do not conflict with automatic exclusions.

  • Windows Defender ウイルス対策は、展開イメージのサービスと管理 (DISM) ツールを使って、コンピューターにインストールされている役割を特定します。Windows Defender Antivirus uses the Deployment Image Servicing and Management (DISM) tools to determine which roles are installed on your computer.

自動除外のオプトアウトOpt out of automatic exclusions

Windows Server 2016 および2019では、セキュリティインテリジェンス更新プログラムによって提供される定義済みの除外は、役割または機能の既定のパスのみを除外します。In Windows Server 2016 and 2019, the predefined exclusions delivered by Security intelligence updates only exclude the default paths for a role or feature. カスタムパスに役割または機能をインストールしている場合、または除外セットを手動で制御する必要がある場合は、セキュリティインテリジェンス更新プログラムで提供される自動除外を無効にしてください。If you installed a role or feature in a custom path, or you want to manually control the set of exclusions, make sure to opt out of the automatic exclusions delivered in Security intelligence updates. ただし、自動的に配信される除外は Windows Server 2016 および2019の役割に合わせて最適化されていることに注意してください。But keep in mind that the exclusions that are delivered automatically are optimized for Windows Server 2016 and 2019 roles.

警告

自動除外をオプトアウトすると、パフォーマンスが悪影響を受けたり、データが破損したりする可能性があります。Opting out of automatic exclusions may adversely impact performance, or result in data corruption. 自動的に配信される除外は、Windows Server 2016 および2019の役割に合わせて最適化されています。The exclusions that are delivered automatically are optimized for Windows Server 2016 and 2019 roles.

定義済みの除外は既定のパスのみを除外するため、NTDS と SYSVOL を元のパスとは異なる別のドライブまたはパスに移動した場合、ここに記載されている情報を使って、除外を手動で追加する必要があります。Because predefined exclusions only exclude default paths, if you move NTDS and SYSVOL to another drive or path that is different from the original path, you must add exclusions manually using the information here .

グループポリシー、PowerShell コマンドレット、WMI の自動除外リストを無効にすることができます。You can disable the automatic exclusion lists with Group Policy, PowerShell cmdlets, and WMI.

グループポリシーを使用して、Windows Server 2016 および2019の自動除外リストを無効にするUse Group Policy to disable the auto-exclusions list on Windows Server 2016 and 2019

  1. グループポリシー管理コンピューターで、グループポリシー管理コンソールを開きます。On your Group Policy management computer, open the Group Policy Management Console. 構成するグループポリシーオブジェクトを右クリックし、[編集] をクリックします。Right-click the Group Policy Object you want to configure, and then click Edit.

  2. グループポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] をクリックします。In the Group Policy Management Editor go to Computer configuration, and then click Administrative templates.

  3. [ Windows コンポーネント] のツリーを展開し > ます。windows Defender ウイルス対策を > 除外します。Expand the tree to Windows components > Windows Defender Antivirus > Exclusions.

  4. [自動除外をオフにする] をダブルクリックして、[有効] に設定します。Double-click Turn off Auto Exclusions, and set the option to Enabled. [ OK] をクリックします。Then click OK.

PowerShell コマンドレットを使用して、Windows Server 2016 および2019で自動除外リストを無効にするUse PowerShell cmdlets to disable the auto-exclusions list on Windows Server 2016 and 2019

次のコマンドレットを使います。Use the following cmdlets:

Set-MpPreference -DisableAutoExclusions $true

PowerShell コマンドレットを使用して、Windows Defender ウイルス対策を構成して実行します。Use PowerShell cmdlets to configure and run Windows Defender Antivirus.

Windows Defender ウイルス対策で PowerShell を使用します。Use PowerShell with Windows Defender Antivirus.

Windows Server 2016 および2019の自動除外リストを無効にするには、Windows Management 命令 (WMI) を使用します。Use Windows Management Instruction (WMI) to disable the auto-exclusions list on Windows Server 2016 and 2019

次のプロパティを指定するには、 MSFT_MpPreferenceクラスのSetメソッドを使います。Use the Set method of the MSFT_MpPreference class for the following properties:

DisableAutoExclusions

詳細情報と使用可能なパラメーターについては、以下をご覧ください。See the following for more information and allowed parameters:

自動除外の一覧List of automatic exclusions

以下のセクションでは、配信される除外、自動除外のファイル パス、およびファイルの種類について説明します。The following sections contain the exclusions that are delivered with automatic exclusions file paths and file types.

既定の除外 (すべての役割が対象)Default exclusions for all roles

このセクションでは、すべての Windows Server 2016 および2019ロールの既定の除外の一覧を示します。This section lists the default exclusions for all Windows Server 2016 and 2019 roles.

Windows の "temp. .edb" ファイルWindows "temp.edb" files

  • %windir% \SoftwareDistribution\Datastore\\tmp.edb%windir%* \SoftwareDistribution\Datastore\*\tmp.edb

  • %ProgramData% \Microsoft\Search\Data\Applications\Windows\\*.log%ProgramData%* \Microsoft\Search\Data\Applications\Windows\*\*.log

Windows Update ファイルまたは自動更新ファイルWindows Update files or Automatic Update files

  • %windir% \SoftwareDistribution\Datastore\\Datastore.edb%windir%* \SoftwareDistribution\Datastore\*\Datastore.edb

  • %windir% \SoftwareDistribution\Datastore\\edb.chk%windir%* \SoftwareDistribution\Datastore\*\edb.chk

  • %windir% \SoftwareDistribution\Datastore\\edb*.log%windir%* \SoftwareDistribution\Datastore\*\edb*.log

  • %windir% \SoftwareDistribution\Datastore\\Edb*.jrs%windir%* \SoftwareDistribution\Datastore\*\Edb*.jrs

  • %windir% \SoftwareDistribution\Datastore\\Res*.log%windir%* \SoftwareDistribution\Datastore\*\Res*.log

Windows セキュリティファイルWindows Security files

  • %windir% \Security\database\.chk%windir%* \Security\database\*.chk

  • %windir% \Security\database\.edb%windir%* \Security\database\*.edb

  • %windir% \Security\database\.jrs%windir%* \Security\database\*.jrs

  • %windir% \Security\database\.log%windir%* \Security\database\*.log

  • %windir% \Security\database\.sdb%windir%* \Security\database\*.sdb

グループポリシーファイルGroup Policy files

  • %allusersprofile% \NTUser.pol%allusersprofile% \NTUser.pol

  • %SystemRoot% \System32\GroupPolicy\Machine\registry.pol%SystemRoot% \System32\GroupPolicy\Machine\registry.pol

  • %SystemRoot% \System32\GroupPolicy\User\registry.pol%SystemRoot% \System32\GroupPolicy\User\registry.pol

WINS ファイルWINS files

  • %systemroot% \System32\Wins\\*.chk%systemroot%* \System32\Wins\*\*.chk

  • %systemroot% \System32\Wins\\*.log%systemroot%* \System32\Wins\*\*.log

  • %systemroot% \System32\Wins\\*.mdb%systemroot%* \System32\Wins\*\*.mdb

  • %systemroot% \System32\LogFiles%systemroot% \System32\LogFiles\

  • %systemroot% \SysWow64\LogFiles%systemroot% \SysWow64\LogFiles\

ファイルレプリケーションサービス (FRS) の除外File Replication Service (FRS) exclusions

  • ファイル レプリケーション サービス (FRS) の作業フォルダー内のファイル。Files in the File Replication Service (FRS) working folder. FRS 作業フォルダーは、次のレジストリ キーで指定されます。The FRS working folder is specified in the registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir% \Ntfrs\jet\sys\\edb.chk%windir%* \Ntfrs\jet\sys\*\edb.chk

    • %windir% \Ntfrs\jet\\Ntfrs.jdb%windir%* \Ntfrs\jet\*\Ntfrs.jdb

    • %windir% \Ntfrs\jet\log\\*.log%windir%* \Ntfrs\jet\log\*\*.log

  • FRS データベース ログ ファイル。FRS Database log files. FRS データベース ログ ファイルのフォルダーは、次のレジストリ キーで指定されます。The FRS Database log file folder is specified in the registry key HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir% \Ntfrs\\Edb*.log%windir%* \Ntfrs\*\Edb*.log
  • FRS ステージング フォルダー。The FRS staging folder. FRS ステージング フォルダーは、次のレジストリ キーで指定されます。The staging folder is specified in the registry key HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot% \Sysvol\\Nntfrs_cmp*%systemroot%* \Sysvol\*\Nntfrs_cmp*\
  • FRS プレインストール フォルダー。The FRS preinstall folder. このフォルダーは、次のフォルダーで指定されます。This folder is specified by the folder Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot% \SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\\Ntfrs*%systemroot%* \SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • 分散ファイル システム レプリケーション (DFSR) データベースおよび作業フォルダー。The Distributed File System Replication (DFSR) database and working folders. これらのフォルダーは、次のレジストリ キーで指定されます。These folders are specified by the registry key HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    注意

    ユーザー設定の場所については、「自動除外を無効にする」を参照してください。For custom locations, see Opt out of automatic exclusions.

    • %systemdrive% \System Volume Information\DFSR\$db_normal$%systemdrive% \System Volume Information\DFSR\$db_normal$

    • %systemdrive% \System Volume Information\DFSR\FileIDTable_*%systemdrive% \System Volume Information\DFSR\FileIDTable_*

    • %systemdrive% \System Volume Information\DFSR\SimilarityTable_*%systemdrive% \System Volume Information\DFSR\SimilarityTable_*

    • %systemdrive% \System Volume Information\DFSR\.XML%systemdrive%* \System Volume Information\DFSR\*.XML

    • %systemdrive% \System Volume Information\DFSR\$db_dirty$%systemdrive% \System Volume Information\DFSR\$db_dirty$

    • %systemdrive% \System Volume Information\DFSR\$db_clean$%systemdrive% \System Volume Information\DFSR\$db_clean$

    • %systemdrive% \System Volume Information\DFSR\$db_lostl$%systemdrive% \System Volume Information\DFSR\$db_lostl$

    • %systemdrive% \System Volume Information\DFSR\Dfsr.db%systemdrive% \System Volume Information\DFSR\Dfsr.db

    • %systemdrive% \System Volume Information\DFSR\.frx%systemdrive%* \System Volume Information\DFSR\*.frx

    • %systemdrive% \System Volume Information\DFSR\.log%systemdrive%* \System Volume Information\DFSR\*.log

    • %systemdrive% \System Volume Information\DFSR\Fsr*.jrs%systemdrive% \System Volume Information\DFSR\Fsr*.jrs

    • %systemdrive% \System Volume Information\DFSR\Tmp.edb%systemdrive% \System Volume Information\DFSR\Tmp.edb

プロセスの除外Process exclusions

  • %systemroot% \System32\dfsr.exe%systemroot% \System32\dfsr.exe

  • %systemroot% \System32\dfsrs.exe%systemroot% \System32\dfsrs.exe

Hyper-v の除外Hyper-V exclusions

このセクションでは、Hyper-V の役割をインストールした場合に自動的に配信される、ファイルの種類の除外、フォルダーの除外、およびプロセスの除外の一覧を示します。This section lists the file type exclusions, folder exclusions, and process exclusions that are delivered automatically when you install the Hyper-V role

  • ファイルの種類の除外:File type exclusions:

    • *.vhd*.vhd

    • *.vhdx*.vhdx

    • *.avhd*.avhd

    • *.avhdx*.avhdx

    • *.vsv*.vsv

    • *.iso*.iso

    • *.rct*.rct

    • *.vmcx*.vmcx

    • *.vmrs*.vmrs

  • フォルダーの除外:Folder exclusions:

    • %ProgramData% \Microsoft\Windows\Hyper-V%ProgramData% \Microsoft\Windows\Hyper-V

    • %ProgramFiles% \Hyper-V%ProgramFiles% \Hyper-V

    • %SystemDrive% \ProgramData\Microsoft\Windows\Hyper-V\Snapshots%SystemDrive% \ProgramData\Microsoft\Windows\Hyper-V\Snapshots

    • %Public% \Documents\Hyper-V\Virtual Hard Disks%Public% \Documents\Hyper-V\Virtual Hard Disks

  • プロセスの除外:Process exclusions:

    • %systemroot% \System32\Vmms.exe%systemroot% \System32\Vmms.exe

    • %systemroot% \System32\Vmwp.exe%systemroot% \System32\Vmwp.exe

SYSVOL ファイルSYSVOL files

  • %systemroot% \Sysvol\Domain\.adm%systemroot%* \Sysvol\Domain\*.adm

  • %systemroot% \Sysvol\Domain\.admx%systemroot%* \Sysvol\Domain\*.admx

  • %systemroot% \Sysvol\Domain\.adml%systemroot%* \Sysvol\Domain\*.adml

  • %systemroot% \Sysvol\Domain\Registry.pol%systemroot% \Sysvol\Domain\Registry.pol

  • %systemroot% \Sysvol\Domain\.aas%systemroot%* \Sysvol\Domain\*.aas

  • %systemroot% \Sysvol\Domain\.inf%systemroot%* \Sysvol\Domain\*.inf

  • %systemroot% \Sysvol\Domain\.Scripts.ini%systemroot%* \Sysvol\Domain\*.Scripts.ini

  • %systemroot% \Sysvol\Domain\.ins%systemroot%* \Sysvol\Domain\*.ins

  • %systemroot% \Sysvol\Domain\Oscfilter.ini%systemroot% \Sysvol\Domain\Oscfilter.ini

Active Directory の除外Active Directory exclusions

このセクションでは、Active Directory Domain Services をインストールした場合に自動的に配信される除外の一覧を示します。This section lists the exclusions that are delivered automatically when you install Active Directory Domain Services.

NTDS データベースファイルNTDS database files

このデータベース ファイルは、次のレジストリ キーで指定されます。The database files are specified in the registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit%windir%\Ntds\ntds.dit

  • %windir%\Ntds\ntds.pat%windir%\Ntds\ntds.pat

AD DS トランザクションログファイルThe AD DS transaction log files

このトランザクション ログ ファイルは、次のレジストリ キーで指定されます。The transaction log files are specified in the registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log%windir%\Ntds\EDB*.log

  • %windir%\Ntds\Res*.log%windir%\Ntds\Res*.log

  • %windir%\Ntds\Edb*.jrs%windir%\Ntds\Edb*.jrs

  • %windir%\Ntds\Ntds*.pat%windir%\Ntds\Ntds*.pat

  • %windir%\Ntds\TEMP.edb%windir%\Ntds\TEMP.edb

NTDS 作業フォルダーThe NTDS working folder

このフォルダーは、次のレジストリ キーで指定されます。This folder is specified in the registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb%windir%\Ntds\Temp.edb

  • %windir%\Ntds\Edb.chk%windir%\Ntds\Edb.chk

  • %systemroot%\System32\ntfrs.exe%systemroot%\System32\ntfrs.exe

  • %systemroot%\System32\lsass.exe%systemroot%\System32\lsass.exe

DHCP サーバーの除外DHCP Server exclusions

このセクションでは、DHCP サーバーの役割をインストールした場合に自動的に配信される除外の一覧を示します。This section lists the exclusions that are delivered automatically when you install the DHCP Server role. DHCP サーバーのファイルの場所は、レジストリ キーのパラメーター DatabasePathDhcpLogFilePath、および BackupDatabasePath で指定されます。The DHCP Server file locations are specified by the DatabasePath, DhcpLogFilePath, and BackupDatabasePath parameters in the registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot% \System32\DHCP\\*.mdb%systemroot%* \System32\DHCP\*\*.mdb

  • %systemroot% \System32\DHCP\\*.pat%systemroot%* \System32\DHCP\*\*.pat

  • %systemroot% \System32\DHCP\\*.log%systemroot%* \System32\DHCP\*\*.log

  • %systemroot% \System32\DHCP\\*.chk%systemroot%* \System32\DHCP\*\*.chk

  • %systemroot% \System32\DHCP\\*.edb%systemroot%* \System32\DHCP\*\*.edb

DNS サーバーの除外DNS Server exclusions

このセクションでは、DNS サーバーの役割をインストールした場合に自動的に配信される、ファイルとフォルダーの除外、およびプロセスの除外の一覧を示します。This section lists the file and folder exclusions and the process exclusions that are delivered automatically when you install the DNS Server role.

DNS サーバーの役割のファイルとフォルダーの除外File and folder exclusions for the DNS Server role

  • %systemroot% \System32\Dns\\*.log%systemroot%* \System32\Dns\*\*.log

  • %systemroot% \System32\Dns\\*.dns%systemroot%* \System32\Dns\*\*.dns

  • %systemroot% \System32\Dns\\*.scc%systemroot%* \System32\Dns\*\*.scc

  • %systemroot% \System32\Dns\\BOOT%systemroot%* \System32\Dns\*\BOOT

DNS サーバーの役割に対するプロセスの除外Process exclusions for the DNS Server role

  • %systemroot% \System32\dns.exe%systemroot% \System32\dns.exe

ファイル サービスおよび記憶域サービスの除外File and Storage Services exclusions

このセクションでは、ファイル サービスおよび記憶域サービスの役割をインストールした場合に自動的に配信される、ファイルとフォルダーの除外の一覧を示します。This section lists the file and folder exclusions that are delivered automatically when you install the File and Storage Services role. 以下に示す除外の一覧には、クラスタリングの役割の除外は含まれません。The exclusions listed below do not include exclusions for the Clustering role.

  • %SystemDrive% \ClusterStorage%SystemDrive% \ClusterStorage

  • %clusterserviceaccount% \Local Settings\Temp%clusterserviceaccount% \Local Settings\Temp

  • %SystemDrive% \mscs%SystemDrive% \mscs

プリント サーバーの除外Print Server exclusions

このセクションでは、プリント サーバーの役割をインストールした場合に自動的に配信される、ファイルの種類の除外、フォルダーの除外、およびプロセスの除外の一覧を示します。This section lists the file type exclusions, folder exclusions, and the process exclusions that are delivered automatically when you install the Print Server role.

ファイルの種類の除外File type exclusions

  • *.shd*.shd

  • *.spl*.spl

フォルダーの除外Folder exclusions

このフォルダーは、次のレジストリ キーで指定されます。This folder is specified in the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32% \spool\printers\%system32%* \spool\printers\*

プロセスの除外Process exclusions

  • spoolsv.exespoolsv.exe

Web サーバーの除外Web Server exclusions

このセクションでは、Web サーバーの役割をインストールした場合に自動的に配信される、フォルダーの除外とプロセスの除外の一覧を示します。This section lists the folder exclusions and the process exclusions that are delivered automatically when you install the Web Server role.

フォルダーの除外Folder exclusions

  • %SystemRoot% \IIS Temporary Compressed Files%SystemRoot% \IIS Temporary Compressed Files

  • %SystemDrive% \inetpub\temp\IIS Temporary Compressed Files%SystemDrive% \inetpub\temp\IIS Temporary Compressed Files

  • %SystemDrive% \inetpub\temp\ASP Compiled Templates%SystemDrive% \inetpub\temp\ASP Compiled Templates

  • %systemDrive% \inetpub\logs%systemDrive% \inetpub\logs

  • %systemDrive% \inetpub\wwwroot%systemDrive% \inetpub\wwwroot

プロセスの除外Process exclusions

  • %SystemRoot% \system32\inetsrv\w3wp.exe%SystemRoot% \system32\inetsrv\w3wp.exe

  • %SystemRoot% \SysWOW64\inetsrv\w3wp.exe%SystemRoot% \SysWOW64\inetsrv\w3wp.exe

  • %SystemDrive% \PHP5433\php-cgi.exe%SystemDrive% \PHP5433\php-cgi.exe

Windows Server Update Services の除外Windows Server Update Services exclusions

このセクションでは、Windows Server Update Services (WSUS) の役割をインストールした場合に自動的に配信される、フォルダーの除外の一覧を示します。This section lists the folder exclusions that are delivered automatically when you install the Windows Server Update Services (WSUS) role. WSUS フォルダーは、次のレジストリ キーで指定されます。The WSUS folder is specified in the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot% \WSUS\WSUSContent%systemroot% \WSUS\WSUSContent

  • %systemroot% \WSUS\UpdateServicesDBFiles%systemroot% \WSUS\UpdateServicesDBFiles

  • %systemroot% \SoftwareDistribution\Datastore%systemroot% \SoftwareDistribution\Datastore

  • %systemroot% \SoftwareDistribution\Download%systemroot% \SoftwareDistribution\Download

関連記事Related articles