望ましくない可能性があるアプリケーションの検出およびブロック

適用対象:

Windows Defender ウイルス対策の望ましくない可能性のあるアプリケーション (私用) 保護機能は、ネットワーク内のエンドポイントに対して PUAs を検出してブロックすることができます。

このようなアプリケーションは、ウイルスやマルウェアなどの脅威とは見なされませんが、エンドポイントのパフォーマンスや使用に悪影響を及ぼす操作をエンドポイント上で実行する可能性があります。 また、PUA は、評判が低いと考えられるアプリケーションも参照できます。

典型的な PUA の動作は、次のとおりです。

  • さまざまな種類のソフトウェア バンドル
  • Web ブラウザーへの広告の埋め込み
  • 問題を検出して、その修正に対価を要求するが、エンドポイント上に留まり、変更も最適化も行わないドライバーおよびレジストリ オプティマイザー ("偽ウイルス対策" プログラムとも呼ばれます)

このようなアプリケーションは、ネットワークがマルウェアに感染するリスクを高め、煩わしい動作のためにマルウェアの感染を発見しにくくするほか、アプリケーションの除去に IT リソースが無駄に費やされる可能性があります。

ヒント

また、 demo.wd.microsoft.comで MICROSOFT Defender ATP デモ web サイトにアクセスして、機能が動作していることを確認し、動作を確認します。

動作の仕組み

Windows Defender ウイルス対策ブロックにより、PUA のファイルが検出され、ダウンロード、移動、実行、またはインストールが試みられました。 ブロックされた私用ファイルは、検疫済みに移動されます。

エンドポイントで私用が検出されると、Windows Defender ウイルス対策によって、通常の脅威検出 ("私用:") と同じ形式でユーザーに通知が表示されます (通知が無効になっている場合を除く)。

また、 Windows セキュリティアプリの通常の検疫リストにも表示されます。

PUA イベントの参照

私用イベントは Windows イベントビューアーで報告されますが、System Center Configuration Manager または Intune では報告されません。

私用検出のメール通知を有効にすることができます。

Windows Defender ウイルス対策のイベントを参照する詳しい手順については、イベント ID のトラブルシューティングのトピックを参照してください。 PUA イベントは、イベント ID 1160 で記録されます。

PUA の保護を構成する

Office Intune、System Center Configuration Manager、グループポリシー、または PowerShell コマンドレットを使用して、PUA の保護を有効にすることができます。

また、PUA 監査モードを使用すると、ブロックはせずに、PUA を検出できます。 検出されるとその情報は、Windows イベント ログに記録されます。

この機能は、会社が社内のソフトウェア セキュリティ コンプライアンス チェックを実行していて、誤検知を防ぎたい場合に便利です。

Intune を使用して私用の保護を構成する

詳細については、「 intune での windows 10 用の Microsoft intune と Windows Defender ウイルス対策デバイスの制限の設定 を参照してください。

構成マネージャーを使用して、PUA の保護を構成します。

バージョン 1606 以降になる System Center Configuration Manager (Current Branch) では、PUA 保護は既定で有効になります。

System Center Configuration Manager (Current Branch) での詳しい構成方法については、マルウェア対策ポリシーを作成し展開する方法のトピックで、スケジュールされたスキャンの設定についてのセクションを参照してください。

Configuration Manager 2012 の場合は、「Configuration Manager でエンドポイント保護のために、望ましくない可能性があるアプリケーションの保護ポリシーを展開する方法」を参照してください。

注意

PUA イベントは、System Center Configuration Manager ではなく、Windows イベント ビューアーで報告されます。

グループポリシーを使って、PUA の保護を構成します。

  1. グループポリシー管理コンピューターで、グループポリシー管理コンソールを開き、構成するグループポリシーオブジェクトを右クリックして、[編集] をクリックします。

  2. グループポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] をクリックします。

  3. [Windows コンポーネント]、[Windows Defender ウイルス対策] の順にツリーを展開します。

  4. [望ましくない可能性のあるアプリケーションの保護を構成する] をダブルクリックします。

  5. [有効] をクリックして、私用の保護を有効にします。

  6. [オプション] で、[ブロック] を選択して望ましくない可能性のあるアプリケーションをブロックするか、[監査モード] を選択して、設定が環境でどのように機能するかをテストします。 [OK] をクリックします。

PowerShell コマンドレットを使用して、PUA の保護を構成します。

次のコマンドレットを使います。

Set-MpPreference -PUAProtection

このコマンドレットの値を Enabled に設定すると、PUA 保護機能が無効にされている場合は、有効になります。

AuditMode を設定すると、PUA を検出はしますが、ブロックはしません。

Windows Defender ウイルス対策で PowerShell を使う方法について詳しくは、「PowerShell コマンドレットを使って Windows Defender ウイルス対策を構成して実行する」および「Defender コマンドレット」をご覧ください。

関連トピック