Windows Defender Exploit Guard

適用対象

Windows Defender Exploit Guard (Windows Defender EG) は、Windows 10 の新しいホスト侵入防止機能セットであり、従業員が使うアプリの攻撃表面を管理し、縮小することができます。

Windows Defender EG には 4 つの機能があります。

  • Exploit Protection は、組織が使っているアプリに悪用の軽減策の手法を適用できます。個々のアプリに適用することも、すべてのアプリに適用することもできます。 サード パーティ製のウイルス対策ソリューションや Windows Defender ウイルス対策 (Windows Defender AV) と連動します。
  • 攻撃表面の縮小ルールは、Office、スクリプト、およびメール ベースのマルウェアが使うベクトルを停止するインテリジェントなルールによって、アプリケーションの攻撃を回避できます。 Windows Defender AV が必要です。
  • ネットワーク保護は、Microsoft Edge で Windows Defender SmartScreen により提供されるマルウェアおよびソーシャル エンジニアリング保護を拡張し、組織のデバイスにおけるネットワーク トラフィックと接続を防御します。 Windows Defender AV が必要です。
  • フォルダー アクセスの制御は、主要なシステム フォルダー内のファイルを、悪意のあるアプリや疑わしいアプリ (ファイルを暗号化するランサムウェア マルウェアなど) による変更から保護できます。 Windows Defender AV が必要です。

Windows 10 バージョン 1803 では、追加の保護を提供します。

  • 新しい攻撃表面の縮小ルール
  • フォルダー アクセスの制御がディスクのセクターをブロックするようになりました

次のリンクのガイドを使って、Windows Defender EG の各機能を評価できます。ガイドには、事前構築済みの PowerShell スクリプトとテスト ツールが用意されているため、機能の実際の動作を確認できます。

機能で監査モードを有効にすることもできます。このモードでは、完全に有効にした場合に機能がどのように反応するかを示す、基本的なイベント ログが生成されます。 これは、Windows Defender EG の影響を評価し、ネットワークのセキュリティに機能が与える影響を判断するのに役立ちます。

ヒント

Windows Defender Testground の Web サイト demo.wd.microsoft.com にアクセスすることで、この機能が動作していることを確認し、それぞれのしくみを参照することもできます。

Windows Defender EG は管理、脅威の軽減策、防止、保護、および分析テクノロジの Windows Defender Advanced Threat Protection スイートの一部としての Windows セキュリティ センター アプリで報告されます。

Windows セキュリティ センター アプリを使用すると、通常のアラート調査シナリオの一部としてイベントとブロックに関する詳細なレポートを取得します。 Windows Defender ATP の無料試用版にサインアップして、そのしくみを確認できます。

要件

このセクションでは、Windows Defender EG の各機能の要件について説明します。

記号 サポート
サポート外 サポートされない
サポートされています サポートされる
サポートされている、完全なレポート 推奨。 完全な自動化されたが、Windows Defender ATP コンソールに報告が含まれています。 アプリの評判の低い web サイトや年齢または分布条件を満たしている実行可能ファイルをブロックする攻撃表面の縮小ルールにアクセスできないようにブロックするネットワーク保護機能を含む、クラウド版追加の機能を提供します。
機能 Windows 10 Home Windows 10 Professional Windows 10 E3 Windows 10 E5
Exploit Protection サポートされています サポートされています サポートされている、拡張 サポートされている、完全なレポート
攻撃表面の縮小ルール サポート外 サポート外 サポートされている、制限付きの報告 サポートされている、完全なレポート
ネットワーク保護 サポート外 サポート外 サポートされている、制限付きの報告 サポートされている、完全なレポート
フォルダー アクセスの制御 サポートされている、制限付きの報告 サポートされている、制限付きの報告 サポートされている、制限付きの報告 サポートされている、完全なレポート

Windows Defender EG の機能を次の表では、Windows Defender ウイルス対策からのリアルタイム保護を有効にする必要があります。

機能 リアルタイム保護
Exploit Protection 要件なし
攻撃表面の縮小ルール 有効にする必要がある
ネットワーク保護 有効にする必要がある
フォルダー アクセスの制御 有効にする必要がある

このライブラリの内容

トピック 説明
デバイスを悪用から保護します。 Exploit Protection には、使用されなくなった Enhanced Mitigations Experience Toolkit の機能の多くが用意されており、構成とテクノロジが追加されています。 これらの機能は、脅威が脆弱性を利用してネットワークやデバイスへのアクセスを取得するを防ぐのに役立ちます。 設定のテンプレートを作成してエクスポートし、ネットワーク内の複数のコンピューターに一度にコピーすることができます。
攻撃表面の縮小ルールを使って攻撃表面を削減します。 事前構築済みのルールを使って、Office ベースの悪意のあるマクロ コードや、PowerShell、VBScript、および JavaScript スクリプトなど、主要な攻撃および感染ベクトルの軽減策を管理します。
ネットワークを保護します。 ネットワークと Web ベースの感染ベクトルに対するデバイスの露出を最小限に抑えます。
フォルダー アクセスの制御によって重要なフォルダーを保護する 不明なアプリや承認されてないアプリ (ランサムウェア暗号化マルウェアなど) が、機密データやビジネス クリティカルなデータを含むフォルダーなど、機密性の高いフォルダーに書き込むことができないようにします。