Windows Defender設定の実務ガイド|現場で使える推奨設定とGPO一括管理の方法

インフラセキュリティ基礎

「Defenderって最初から入ってるから大丈夫ですよね?」——現場でこう言われると、確認したくなります。インストールされているのと、正しく設定されているのは全く別の話です。

デフォルトのまま放置されたDefender、除外設定を広げすぎて穴だらけになったDefender、改ざん防止を無効にされて設定を書き換えられたDefender——こういうケースが現場には存在します。

本記事では、Windows Defenderの主要設定項目と推奨値、GPOを使った一括管理の方法、現場でよくある設定ミスを解説します。「入っているだけ」から「ちゃんと機能している」状態に引き上げるための実務ガイドです。

Windows Defenderとは

Windows Defenderとは——Windowsに標準搭載されたエンドポイント保護機能

Windows Defenderとは、Windows 8以降に標準搭載されているマルウェア対策・エンドポイント保護機能です。

Windows Defender(正式名称:Microsoft Defender ウイルス対策) Windowsに標準搭載されたセキュリティ機能。リアルタイム保護・クラウド配信保護・動作監視・ファイアウォールなど複数の保護機能をまとめたセキュリティスイート。追加費用なしで利用できる。

以前は「Windows Defender」と呼ばれていましたが、現在はMicrosoftのセキュリティ製品群「Microsoft Defender」ファミリーの一部として整理されています。本記事では現場でよく使われる「Windows Defender」の名称を使います。

Windows 10・11およびWindows Server 2016以降では標準で有効になっており、サードパーティのウイルス対策ソフトをインストールしない限り自動的に動作します。

Microsoft Defender for Endpointとの違い

混同しやすいので整理しておきます。

製品名 位置づけ 費用
Microsoft Defender ウイルス対策 Windows標準のAV機能 無料(OS付属)
Microsoft Defender for Endpoint 企業向けEDR・脅威インテリジェンス 有料(Microsoft 365ライセンス)

本記事で扱うのは前者、Windows標準のウイルス対策機能です。EDRの考え方については「EDRとは?エンドポイント保護の考え方と導入の実務」を参照してください。

現場で確認すべき設定項目

リアルタイム保護——常時監視の基本設定

リアルタイム保護は、ファイルのアクセス・実行・ダウンロードのタイミングでリアルタイムにスキャンする機能です。これが無効になっているとDefenderはほぼ機能しません。

現在の状態をPowerShellで確認できます。

powershell
# リアルタイム保護の状態を確認する
Get-MpPreference | Select-Object DisableRealtimeMonitoring

DisableRealtimeMonitoringFalseであれば有効です。Trueになっている場合は即座に有効化が必要です。

powershell
# リアルタイム保護を有効化する(管理者権限で実行)
Set-MpPreference -DisableRealtimeMonitoring $false

推奨:有効(DisableRealtimeMonitoring = False)

クラウド配信の保護——最新の脅威情報を活用する

クラウド配信の保護は、Microsoftのクラウド上の脅威インテリジェンスをリアルタイムで参照する機能です。シグネチャ更新を待たずに新しいマルウェアを検知できます。

powershell
# クラウド配信保護の状態を確認する
Get-MpPreference | Select-Object MAPSReporting, SubmitSamplesConsent
設定項目 推奨値 意味
MAPSReporting 2(Advanced) クラウド保護レベル(2=詳細)
SubmitSamplesConsent 1(SendSafeSamples) サンプル自動送信(安全なもの)

インターネット接続が制限された環境では無効にせざるを得ないケースもありますが、可能な限り有効にすることを推奨します。

改ざん防止(Tamper Protection)——設定を守る最後の砦

改ざん防止は、Defenderの設定をマルウェアや不正なスクリプトが変更できないようにロックする機能です。

改ざん防止(Tamper Protection) Windows Defenderの設定変更をGUI以外からブロックする保護機能。PowerShellやレジストリ経由での設定変更を防ぐ。有効にしておくことで、マルウェアがDefenderを無効化しようとする攻撃を防げる。

改ざん防止が有効な状態では、Set-MpPreferenceコマンドでの設定変更が制限されます。演習環境などで設定変更が必要な場合はGUIから一時的に無効化してから作業します。

確認方法:

powershell
# 改ざん防止の状態を確認する
Get-MpComputerStatus | Select-Object IsTamperProtected

Trueであれば有効です。本番環境では必ず有効にしてください。

推奨:有効(IsTamperProtected = True)

除外設定——誤検知対応の落とし穴

除外設定は、特定のファイル・フォルダ・プロセス・拡張子をスキャン対象から外す設定です。業務アプリが誤検知された場合の対処として使われますが、設定を広げすぎると保護の穴になります。

現在の除外設定を確認します。

powershell
# 現在の除外設定を確認する
Get-MpPreference | Select-Object ExclusionPath, ExclusionProcess, ExclusionExtension

除外設定で特に危険なパターンは以下です。

危険な除外設定 問題点
C:\ 全体を除外 ドライブ全体がスキャン対象外になる
*.exe を除外 実行ファイルが全てスキャンされない
C:\Temp を除外 マルウェアの定番展開先が無防備になる

除外設定は「特定のアプリケーションの実行ファイルのみ」など、必要最小限の範囲に留めてください。除外設定の棚卸しは定期的に実施することを推奨します。

GPOでDefender設定を一括管理する

GPOで設定できる主な項目

ドメイン環境では、GPOを使ってDefenderの設定を全端末に一括適用できます。個別端末での設定漏れを防ぐために有効です。

GPOのパスは以下です。

コンピューターの構成
 └── 管理用テンプレート
   └── Windows コンポーネント
     └── Microsoft Defender ウイルス対策

現場でよく使うGPO設定項目を整理します。

GPO設定項目 推奨値 場所
リアルタイム保護をオフにする 無効 リアルタイム保護
クラウドによる保護を有効にする 有効 MAPSへの参加
スキャンのスケジュール(曜日) 毎週(業務時間外) スキャン
スキャンのスケジュール(時刻) 深夜2時など スキャン
定義ファイルの更新頻度 1日1回以上 セキュリティインテリジェンスの更新

GPOの適用後はgpresult /rまたはgpresult /h report.htmlで設定が反映されているか確認してください。グループポリシーの設計については「グループポリシー(GPO)設計入門|セキュリティ設定をADで一括管理する方法」を参照してください。

設定の確認方法(PowerShell)

全端末の設定状況をまとめて確認したい場合はPowerShellで一括取得できます。

powershell
# ローカルのDefender設定サマリーを確認する
Get-MpComputerStatus | Select-Object `
    AMRunningMode, `
    AntispywareEnabled, `
    AntivirusEnabled, `
    RealTimeProtectionEnabled, `
    IsTamperProtected, `
    AntivirusSignatureLastUpdated, `
    AntivirusSignatureVersion

リモートの端末を一括確認する場合はInvoke-Commandと組み合わせます。

powershell
# 複数端末のDefender状態を一括確認する
$computers = @("PC001", "PC002", "PC003")
Invoke-Command -ComputerName $computers -ScriptBlock {
    Get-MpComputerStatus | Select-Object `
        PSComputerName, `
        RealTimeProtectionEnabled, `
        IsTamperProtected, `
        AntivirusSignatureLastUpdated
} | Format-Table -AutoSize

シグネチャの最終更新日(AntivirusSignatureLastUpdated)が7日以上前の端末が存在する場合は、更新の仕組みを見直してください。

現場でよくある設定ミス

① リアルタイム保護を無効にしたまま放置している

「アプリが重くなるから」「誤検知が多いから」という理由でリアルタイム保護を無効にしたまま、そのことを忘れているケースがあります。リアルタイム保護が無効な状態はDefenderがほぼ機能していないに等しい状態です。誤検知への対処は除外設定で行い、リアルタイム保護は必ず有効にしてください。

② 除外設定を広げすぎている

「とりあえず全部除外してしまえ」という対処でドライブ全体やC:\Tempを除外しているケースがあります。攻撃者はDefenderが除外しているパスを狙って悪意のあるファイルを配置します。除外設定は定期的に棚卸しし、不要な除外は削除してください。

③ 改ざん防止が無効で設定を上書きされる

改ざん防止が無効な状態では、マルウェアやスクリプトがDefenderの設定を変更できます。「PowerShellでDefenderを無効化してから攻撃ツールを実行する」という手口は実際の攻撃でも使われます。改ざん防止は必ず有効にしてください。

④ シグネチャが古いまま更新されていない

Windows Updateが止まっている端末や、インターネット接続が制限された端末でシグネチャが何週間も更新されていないケースがあります。古いシグネチャでは新しいマルウェアを検知できません。WSUSや定義ファイル配布の仕組みを確認し、全端末で定期的に更新されていることを確認してください。

パッチ管理の考え方については「パッチ管理とは?「作業」で終わらせない脆弱性対応の考え方と実務」も参照してください。

チェックリスト

基本設定の確認

  • リアルタイム保護が有効になっている(DisableRealtimeMonitoring = False)
  • クラウド配信の保護が有効になっている(MAPSReporting = 2)
  • 改ざん防止が有効になっている(IsTamperProtected = True)
  • シグネチャが7日以内に更新されている

除外設定の確認

  • 除外設定の一覧を把握している
  • ドライブ全体・Tempフォルダなど広範な除外が設定されていない
  • 除外設定の棚卸しを定期的に実施している

GPO管理の確認

  • ドメイン環境ではGPOでDefender設定を一括管理している
  • GPO適用後に設定が反映されていることを確認した
  • スケジュールスキャンが業務時間外に設定されている

まとめ

今日確認すべきことは1つです。管理している端末でリアルタイム保護と改ざん防止が有効になっているか確認してください。

Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled, IsTamperProtectedを実行して、両方がTrueになっていない端末があれば即座に対処してください。

Windows Defenderは「入っているだけ」では意味がありません。正しく設定され、定期的に更新され、GPOで一元管理されてはじめて機能します。まずは本記事のチェックリストで現状を把握するところから始めてください。

不正アクセスに対する多層防御の全体像については「不正アクセス対策の基本設計|侵入経路を理解して守れる構成を作る」もあわせてご覧ください。

あわせてご覧ください

参考文献

コメント

タイトルとURLをコピーしました