リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成する

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows

ヒント

この記事は、Microsoft Defenderウイルス対策機能のみを使用しているお客様向けに設計されています。 Microsoft Defender for Endpoint (Microsoft Defender ウイルス対策と追加のデバイス保護機能を含む) がある場合は、この記事をスキップし、Microsoft Defender XDRの非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボードに進みます

Microsoft Defenderウイルス対策は、リモート デスクトップ (RDS) または非永続的仮想デスクトップ インフラストラクチャ (VDI) 環境で使用できます。 この記事のガイダンスに従って、ユーザーがサインインしたときに RDS または VDI 環境に直接ダウンロードするように更新プログラムを構成できます。

このガイドでは、最適な保護とパフォーマンスを実現するために VM でMicrosoft Defenderウイルス対策を構成する方法について説明します。これには、次の方法が含まれます。

重要

VDI はWindows Server 2012またはWindows Server 2016でホストできますが、以前のバージョンの Windows では使用できない保護テクノロジと機能が増えたため、仮想マシン (VM) は少なくともバージョン 1607 Windows 10実行されている必要があります。

セキュリティ インテリジェンス用の専用 VDI ファイル共有を設定する

バージョン 1903 Windows 10、Microsoft は、ダウンロードしたセキュリティ インテリジェンス更新プログラムのアンパックをホスト コンピューターにオフロードする共有セキュリティ インテリジェンス機能を導入しました。 この方法により、個々のマシンでの CPU、ディスク、およびメモリ リソースの使用量が削減されます。 共有セキュリティ インテリジェンスは、バージョン 1703 以降のWindows 10で機能するようになりました。 この機能は、次の表で説明するように、グループ ポリシーまたは PowerShell を使用して設定できます。

Method プロシージャ
グループ ポリシー 1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

2. [グループ ポリシー管理] エディターで、[コンピューターの構成] に移動します。

[ 管理用テンプレート] を選択します

ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>セキュリティ インテリジェンス Updatesに展開します。

3. [ VDI クライアントのセキュリティ インテリジェンスの場所を定義する] をダブルクリックし、オプションを [有効] に設定します。 フィールドが自動的に表示されます。

4. と入力します \\<sharedlocation\>\wdav-update (この値のヘルプについては、「 ダウンロードしてパッケージ化を解除する」を参照してください)。

5. [ OK] を選択します

テストする VM に GPO を展開します。
PowerShell 1. 各 RDS または VDI デバイスで、次のコマンドレットを使用して機能を有効にします。 Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update

2. 通常は PowerShell ベースの構成ポリシーを VM にプッシュする場合と同様に、更新プログラムをプッシュします。 (共有場所>エントリの「ダウンロードとパッケージ化解除」セクションを<参照してください)。

最新の更新プログラムをダウンロードしてパッケージ化解除する

これで、新しい更新プログラムのダウンロードとインストールを開始できます。 以下に、PowerShell スクリプトのサンプルを作成しました。 このスクリプトは、新しい更新プログラムをダウンロードして VM の準備をする最も簡単な方法です。 その後、スケジュールされたタスクを使用して、管理マシンで特定の時刻に実行するようにスクリプトを設定する必要があります (または、Azure、Intune、またはSCCMで PowerShell スクリプトを使用する場合は、これらのスクリプトを使用することもできます)。

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

スケジュールされたタスクを 1 日に 1 回実行するように設定して、パッケージがダウンロードされてアンパックされるたびに VM が新しい更新プログラムを受け取るようにすることができます。 1 日に 1 回から始めることをお勧めしますが、影響を理解するために頻度を増減する実験を行う必要があります。

セキュリティ インテリジェンス パッケージは通常、3 時間から 4 時間に 1 回発行されます。 頻度を 4 時間未満に設定することはお勧めしません。これは、管理マシンのネットワーク オーバーヘッドを増やしてメリットがないためです。

また、1 台のサーバーまたはコンピューターを設定して、VM の代わりに更新プログラムを一定の間隔でフェッチし、それらをファイル共有に配置して使用することもできます。 この構成は、デバイスが共有に対する共有と読み取りアクセス (NTFS アクセス許可) を持っている場合に、更新プログラムを取得できる可能性があります。 この構成を設定するには、次の手順に従います。

  1. SMB/CIFS ファイル共有をCreateします。

  2. 次の例を使用して、次の共有アクセス許可を持つファイル共有を作成します。

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    注:

    認証されたユーザー:読み取り: に NTFS アクセス許可が追加されます。

    この例では、ファイル共有は次のとおりです。

    \\fileserver.fqdn\mdatp$\wdav-update

PowerShell スクリプトを実行するようにスケジュールされたタスクを設定する

  1. 管理マシンで、[スタート] メニューを開き、「 タスク スケジューラ」と入力します。 これを開き、サイド パネルCreateタスク... を選択します。

  2. セキュリティ インテリジェンス アンパックャーとして名前を入力します。 [ トリガー ] タブに移動します。[新規]を選択 します。...>[毎日] を選択し、[ OK] を選択します

  3. [アクション] タブに移動します。[新規]を選択します。..[プログラム/スクリプト] フィールドに「PowerShell」と入力します。 [引数の追加] フィールドに「」と入力-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1します。 [OK] を選択します。

  4. 必要に応じて、その他の設定を構成します。

  5. [ OK] を選択 して、スケジュールされたタスクを保存します。

タスクを右クリックし、[ 実行] を選択して、手動で更新を開始できます。

手動でダウンロードしてパッケージ化を解除する

すべてを手動で行う場合は、スクリプトの動作をレプリケートする方法を次に示します。

  1. というシステム ルートwdav_update上の新しいフォルダーをCreateしてインテリジェンス更新プログラムを格納します。たとえば、 フォルダーを作成しますc:\wdav_update

  2. wdav_updateの下のサブフォルダーを GUID 名でCreateします。たとえば、{00000000-0000-0000-0000-000000000000}

    次に例を示します。 c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    注:

    スクリプトでは、GUID の最後の 12 桁が、ファイルがダウンロードされた年、月、日、時刻になるように設定し、毎回新しいフォルダーが作成されるようにします。 ファイルが毎回同じフォルダーにダウンロードされるように、これを変更できます。

  3. から GUID フォルダーにセキュリティ インテリジェンス パッケージ https://www.microsoft.com/wdsi/definitions をダウンロードします。 ファイルには という名前を付ける mpam-fe.exe必要があります。

  4. cmd プロンプト ウィンドウを開き、作成した GUID フォルダーに移動します。 /X 抽出コマンドを使用して、ファイルを抽出します (例: mpam-fe.exe /X)。

    注:

    VM は、抽出された更新パッケージを使用して新しい GUID フォルダーが作成されるたびに、または既存のフォルダーが新しい抽出されたパッケージで更新されるたびに、更新されたパッケージを取得します。

スケジュールされたスキャンをランダム化する

スケジュールされたスキャンは、 リアルタイムの保護とスキャンに加えて実行されます。

スキャン自体の開始時刻は、スケジュールされたスキャン ポリシー (ScheduleDayScheduleTimeScheduleQuickScanTime) に基づいています。 ランダム化により、Microsoft Defenderウイルス対策は、スケジュールされたスキャンの時間セットから 4 時間以内に各マシンでスキャンを開始します。

スケジュールされたスキャンに使用できるその他の構成オプションについては、「スキャンをスケジュールする」を参照してください。

クイック スキャンを使用する

スケジュールされたスキャン中に実行するスキャンの種類を指定できます。 クイック スキャンは、マルウェアがアクティブである必要があるすべての場所を検索するように設計されているため、推奨されるアプローチです。 次の手順では、グループ ポリシーを使用してクイック スキャンを設定する方法について説明します。

  1. グループ ポリシー エディターで、[管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策>スキャン] の順に移動します

  2. [ スケジュールされたスキャンに使用するスキャンの種類を指定 する] を選択し、ポリシー設定を編集します。

  3. ポリシーを [有効] に設定し、[ オプション] で [ クイック スキャン] を選択します。

  4. [OK] を選択します。

  5. 通常どおりにグループ ポリシー オブジェクトを展開します。

通知を禁止する

場合によっては、Microsoft Defenderウイルス対策通知が複数のセッションに送信されたり、保持されたりすることがあります。 ユーザーの混乱を避けるために、Microsoft Defenderウイルス対策ユーザー インターフェイスをロックダウンできます。 次の手順では、グループ ポリシーを使用して通知を抑制する方法について説明します。

  1. グループ ポリシー エディターで、Windows コンポーネント>Microsoft Defenderウイルス対策>クライアント インターフェイスに移動します。

  2. [ すべての通知を抑制する] を 選択し、ポリシー設定を編集します。

  3. ポリシーを [有効] に設定し、[ OK] を選択します

  4. 通常どおりにグループ ポリシー オブジェクトを展開します。

通知を抑制すると、スキャンが実行されたときや修復アクションが実行されたときに、ウイルス対策Microsoft Defender通知が表示されなくなります。 ただし、攻撃が検出され、停止された場合、セキュリティ運用チームはスキャンの結果を表示します。 初期アクセス アラートなどのアラートが生成され、Microsoft Defender ポータルに表示されます。

更新後にスキャンを無効にする

更新後にスキャンを無効にすると、更新プログラムを受信した後にスキャンが実行されなくなります。 クイック スキャンも実行している場合は、基本イメージを作成するときにこの設定を適用できます。 これにより、新しく更新された VM が再びスキャンを実行するのを防ぐことができます (基本イメージの作成時にスキャン済みであるため)。

重要

更新後にスキャンを実行すると、最新のセキュリティ インテリジェンス更新プログラムで VM が保護されます。 このオプションを無効にすると、VM の保護レベルが低下し、基本イメージを最初に作成またはデプロイする場合にのみ使用する必要があります。

  1. グループ ポリシー エディターで、Windows コンポーネント>Microsoft Defenderウイルス対策>セキュリティ インテリジェンス Updatesに移動します。

  2. [ セキュリティ インテリジェンスの更新後にスキャンを有効にする ] を選択し、ポリシー設定を編集します。

  3. ポリシーを [無効] に設定します。

  4. [OK] を選択します。

  5. 通常どおりにグループ ポリシー オブジェクトを展開します。

このポリシーにより、更新直後にスキャンが実行されなくなります。

オプションを ScanOnlyIfIdle 無効にする

次のコマンドレットを使用して、デバイスがパッシブ モードの場合にアイドル状態になったときに、クイック スキャンまたはスケジュールされたスキャンを停止します。

Set-MpPreference -ScanOnlyIfIdleEnabled $false

ローカルまたはドメイン グループ ポリシーをScanOnlyIfIdle使用して、Microsoft Defenderウイルス対策の構成でオプションを無効にすることもできます。 この設定により、高密度環境での CPU の重大な競合が回避されます。

詳細については、「 コンピューターがオンになっているが使用されていない場合にのみスケジュールされたスキャンを開始する」を参照してください。

オフラインになっている VM をスキャンする

  1. グループ ポリシー エディターで、Windows コンポーネント>Microsoft Defenderウイルス対策>スキャンに移動します

  2. [ キャッチアップ クイック スキャンを有効にする ] を選択し、ポリシー設定を編集します。

  3. ポリシーを [有効] に設定します。

  4. [OK] を選択します。

  5. 通常どおり、グループ ポリシー オブジェクトをデプロイします。

このポリシーは、VM が 2 つ以上の連続したスケジュールされたスキャンを見逃した場合にスキャンを強制します。

ヘッドレス UI モードを有効にする

  1. グループ ポリシー エディターで、Windows コンポーネント>Microsoft Defenderウイルス対策>クライアント インターフェイスに移動します。

  2. [ ヘッドレス UI モードを有効にする] を選択 し、ポリシーを編集します。

  3. ポリシーを [有効] に設定します。

  4. [OK] を選択します。

  5. 通常どおり、グループ ポリシー オブジェクトをデプロイします。

このポリシーでは、organizationのエンド ユーザーからMicrosoft Defenderウイルス対策ユーザー インターフェイス全体が非表示になります。

除外

除外を追加する必要があると思う場合は、「Microsoft Defender for Endpointの除外を管理する」と「ウイルス対策のMicrosoft Defender」を参照してください。

関連項目

Windows 以外のプラットフォームでの Defender for Endpoint に関する情報をお探しの場合は、次のリソースを参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。