Microsoft Defender ウイルス対策のフル スキャンに関する考慮事項とベスト プラクティス
適用対象:
- Microsoft Defender for Endpoint プラン 1 と 2
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
この記事では、Microsoft Defender for Endpoint で完全なウイルス対策スキャンを実行するための考慮事項とベスト プラクティスについて説明します。 この記事では、スキャンのパフォーマンスに影響を与える要因について説明し、リソース消費の増加によって保護効果が向上するシナリオについて説明します。
概要
Defender for Endpoint のリアルタイム保護は、マルウェアの感染をリアルタイムで検出して停止するために、コンピューターを継続的にスキャンする機能です。 ヒューリスティックおよび動作ベースの検出方法を使用して、デバイス上のアクティビティを監視し、発生した脅威から保護します。 スケジュールされたスキャンに関する推奨事項は、クイック スキャンと Always-on リアルタイム保護と クラウド保護を組み合わせて構成することです。この組み合わせにより、システムレベルとカーネル レベルのマルウェアから始まるマルウェアに対して強力なカバレッジが提供されます。 この構成は既定の構成です。 一般に、フル スキャンをスケジュールする必要はなく、ほとんどのユーザーは手動でフル スキャンを実行する必要はありません (「 クイック スキャン、フル スキャン、およびカスタム スキャンの比較」を参照してください)。
ただし、組織の特定の要件を満たすために、フル スキャンを実行する必要がある場合があります。 フル スキャンはクイック スキャンから始まり、マウントされているすべての固定およびリムーバブル ネットワーク ドライブのシーケンシャル ファイル スキャンを続行します。 フル スキャンは、コンテンツの量、コンテンツの種類、およびスキャンを実行するために Microsoft Defender が割り当てられたリソースに応じて、数時間から数日続く場合があります (「 Microsoft Defender ウイルス対策による定期的なクイック スキャンとフル スキャンをスケジュールする」を参照してください)。 スキャンのパフォーマンスはファイル サイズの関数のみでなく、主にコンテンツの種類と複雑さによって決まります。
保護効率とパフォーマンスへの影響
保護とシステム リソースの使用にはトレードオフが伴います。 デバイスのパフォーマンスは、環境に大きく依存します。 複雑なコンテンツが多いデバイスでフル スキャンを実行すると、完了までの時間が長くなるのは当然です。 次の表は、保護効率を向上させるために、より多くのシステム リソースを使用することを決定したシナリオをまとめたものです。
設定 | 既定値 | 詳細 |
---|---|---|
アーカイブ/コンテナー (ISO など) のスキャン | Enabled |
Microsoft Defender ウイルス対策は、1 つのオブジェクトのスキャン時間を最小限に抑えるように最適化されています。 コンテナーには多数のオブジェクトが含まれている場合があり、コンテナー内の項目を抽出するオーバーヘッドのために、それらをスキャンするのに予想以上に時間がかかる場合があります。 |
アーカイブ スキャンの最大サイズ | Unlimited |
|
マップされたネットワーク (UNC、SMB、CIFS など) | Enabled |
既定では、Microsoft Defender ウイルス対策はマップされたネットワーク ドライブをスキャンします。 |
OneDrive 同期 | Enabled |
既定では、Microsoft Defender ウイルス対策は、OneDrive またはフォルダー同期によって同期されたデスクトップ、ドキュメント、またはダウンロードをスキャンします。 |
クライアント側キャッシュ/オフライン ファイル | Enabled |
既定では、Defender はクライアント側キャッシュをスキャンします。 |
スキャン平均 CPU 負荷率 | 50 |
この記事の 「スキャンと CPU 調整 」セクションを参照してください。 |
注:
- リアルタイム保護が有効になっている場合、ファイルはアクセスされて実行される前にスキャンされます。 スキャンは、ファイルの場所に関係なく発生します (「 Microsoft Defender ウイルス対策のスキャン オプションを構成する」を参照してください)。
- 実際の CPU 使用率は、CPU コアの数、I/O パフォーマンス、メモリ不足などによって異なる場合があります。 CPU 使用率を制限すると、完全スキャンの完了に時間がかかる可能性があるため、お客様は特定の環境で取得された実際の CPU 使用率の値に応じてこの値を微調整する必要があります。
フル スキャンのパフォーマンス最適化の設定とスイッチ
デバイスのパフォーマンスは、セキュリティ イベント処理の速度と、ファイル、ネットワーク、スキャン アクティビティの速度の重要な要因です。 イベント処理速度が高いほど、AV スキャナーのパフォーマンスへの影響が大きくなります。 異なるウイルス対策ソフトウェアの構成は、パフォーマンスと保護に影響を与える可能性があります。 Microsoft Defender ウイルス対策のパフォーマンスを調整するために構成できる設定とスイッチがあります。
Microsoft Defender ウイルス対策のスキャン オプションを構成するには、さまざまなツールを使用できます (「 Microsoft Defender ウイルス対策のスキャン オプションを構成する」を参照してください)。 Microsoft Defender ウイルス対策のフル スキャンを構成するために使用できる設定とスイッチの一部を次に示します。
設定 | 既定値 | PowerShell/WMI パラメーターと詳細 |
---|---|---|
アーカイブ/コンテナー (ISO など) のスキャン | Enabled |
Microsoft Defender ウイルス対策は、1 つのオブジェクトのスキャン時間を最小限に抑えるように最適化されています。 コンテナーには多数のオブジェクトが含まれている場合があり、コンテナー内の項目を抽出するオーバーヘッドのために、それらをスキャンするのに予想以上に時間がかかる場合があります。 |
アーカイブ ファイル | Scanned |
DisableArchiveScanning オンにすると DisableArchiveScanning 、ウイルス対策スキャンから次のアーカイブの種類が除外されます。- ZIP - Ace - Arc - Arj - BZip2 - Cab - CF - CPIO - CPT - GZip - Hap - ISO - Lharc - PSF - Quantum - Rar - Stuffit - Zoo - ZCompress - Compress - VC4 - RPM - BGA - BH - Universal Disk Format - 7z 詳細については、「DisableArchiveScanning」を参照してください。 |
スキャンするアーカイブ フォルダー内のサブフォルダーのレベル | 0 |
0 は無制限を意味します。 |
スキャン用アーカイブの最大サイズ | 0 |
0 は無制限を意味します。 |
マップされたネットワーク ドライブ | Scanned |
DisableScanningMappedNetworkDrivesForFullScan DisableScanningMappedNetworkDrivesForFullScan を参照してください |
ネットワーク ファイル | Scanned |
DisableScanningNetworkFiles |
スキャン中の最大 CPU 負荷 % | 50 |
ScanAvgCPULoadFactor この記事の 「スキャンと CPU 調整 」セクションを参照してください。 |
アイドル スキャンで CPU スロットルを無効にする | Unthrottled |
DisableCpuThrottleOnIdleScans この記事の 「スキャンと CPU 調整 」セクションを参照してください。 |
スキャン前の署名チェック | Disabled |
CheckForSignaturesBeforeRunningScan Microsoft Defender ウイルス対策は、署名の更新プログラムを定期的にチェックし、スケジュールされたスキャンを自動的に実行します。 既定では、スキャンは既存の定義で始まります。 この設定は、スケジュールされたスキャンにのみ適用されます。 |
フル スキャン中のリムーバブル ドライブ | Scanned |
DisableRemovableDriveScanning フル スキャン中に、フラッシュ ドライブなどのリムーバブル ドライブをスキャンするかどうかを示します。 |
電子メール | Scanned |
DisableEmailScanning メール本文と添付ファイルを分析するために、Windows Defender が特定の形式に従ってメールボックスとメール ファイルを解析するかどうかを示します。 |
Script | Scanned |
DisableScriptScanning スクリプト ファイルのスキャンを無効にするかどうかを指定します。 |
ベスト プラクティスと考慮事項
Microsoft の推奨事項を次に示します。
フル スキャン
Microsoft Defender ウイルス対策を有効またはインストールした後にフル スキャンを 1 回実行すると、システムをスキャンして既存の脅威を検出するのに役立ちます。
デバイスの種類と役割 (SQL Server コレクション、IIS サーバー コレクション、制限付きワークステーション コレクション、Standard Workstation Collection など) に基づいてスキャン ポリシーを構成することをお勧めします。
ファイル サーバー ロールでドメイン コントローラーを使用しないでください。 これにより、ファイル共有でのウイルス対策スキャン アクティビティが削減され、パフォーマンスのオーバーヘッドが最小限に抑えられます。
Microsoft Defender ウイルス対策には、以前に計算されていない場合にスキャンされるすべての実行可能ファイルのファイル ハッシュを計算するファイル ハッシュ計算機能があります。 これは、特にネットワーク共有から大きなファイルをコピーする場合にパフォーマンス コストがかかります。 インジケーターへの影響の詳細については、「 ファイル ハッシュ計算の構成 」を参照してください。
フル スキャンのパフォーマンスは、CPU の調整によって影響を受ける可能性があります。 CPU 制限設定は既定のままにすることをお勧めします。
注:
- 設計上、Microsoft Defender ウイルス対策は内部コンテンツ タイプを検査します。ファイル拡張子は誤解を招くことが多く、攻撃者によって簡単になりすましを受ける可能性があります。
- スキャンのパフォーマンスは、スキャンされる実際のコンテンツ タイプによって大きく異なります。 一般に、より複雑なファイルの種類では、より多くの時間とサイクルが必要ですが、より一般的でないコンテンツ タイプではさらに多くの時間 (JavaScript ファイルなど) が必要になります。
- Microsoft Defender ウイルス対策のパフォーマンス アナライザー ツールは、ウイルス対策スキャン中に個々のエンドポイントでパフォーマンスの問題を引き起こしている可能性があるファイル、ファイル拡張子、およびプロセスを特定するのに役立ちます。 Microsoft Defender ウイルス対策を実行していて、パフォーマンスの問題が発生している場合は、パフォーマンス アナライザーを使用してパフォーマンスを最適化できます ( 「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください)。
- Microsoft Defender ウイルス対策の信頼されたイメージ識別子は、デバイスのパフォーマンスを向上させるのに役立ちます。 「Microsoft Defender の信頼されたイメージ識別子を構成する」を参照してください。
スキャンと CPU 調整
CPU 使用率の制限 (CPU 調整とも呼ばれます) 設定は、Microsoft Defender オンデマンド スキャンの最大 CPU 使用率を設定するために使用されます。 CPU 調整設定は既定で有効になっており、スケジュールされたスキャンにのみ適用され、必要に応じてカスタム スキャンにも適用されます。 特定の環境で取得された実際の CPU 使用率の値に応じて、この設定を微調整することをお勧めします (Set-MpPreference (Defender) の設定を参照してくださいScanAverageCPULoadFactor
)。
Microsoft Defender ウイルス対策の CPU 負荷率は、ハード制限ではなく、スキャン エンジンがこの最大値を超えないようにするためのガイダンスです。 このスキャン ポリシー設定では、スキャン中の最大 CPU 使用率のパーセンテージとして値を指定できます。 値 0 または 100 は、調整がないことを示します。 たとえば、この値が 20 に減少した場合、スキャン エンジンは、スキャン中にシステムの平均 CPU 負荷を 20% 未満に抑え、完了するまでに時間がかかることを意味します。
パーセンテージ値を 0 または 100 に設定した場合、CPU 調整は無効になり、Windows Defender はスケジュールされたスキャンとカスタム スキャン中に最大 100% の CPU を使用できます。 これは、応答しないアプリにつながる可能性があり、過熱する可能性があるため、慎重に進めるので、お勧めしません。
値を変更すると、長所と短所の両方があります。 値が大きいほど、スキャンの実行速度が向上します。ただし、スキャン中にシステムの速度が低下する可能性がありますが、値を小さくするとスキャンの完了に時間がかかりますが、スキャン中にシステムで使用可能な CPU リソースが増えます。 たとえば、サーバーで重要なワークロードを実行している場合、この設定はワークロードの機能を妨げない値に設定する必要があります。
手動スキャンでは、CPU 調整設定が無視され、CPU 制限なしで実行されます。 ただし、スキャン ポリシー設定があります (Set-MpPreference (Defender) の設定を参照してください
ThrottleForScheduledScanOnly
)。無効になっている場合、手動スキャンはスケジュールされたスキャンと同じ CPU 制限に従います。アイドル スキャンでの CPU 調整は、デバイスがアイドル状態の間に、スケジュールされたスキャンに対して CPU が調整されるかどうかを制御します。 この設定は既定で無効になっており、どの CPU 調整がに設定されているかに関係なく、デバイスがアイドル状態のときにスケジュールされたスキャンに対して CPU が調整されないようにします。 詳細については、「Set-MpPreference (Defender)」の設定を参照してください
DisableCpuThrottleOnIdleScans
。注:
「タスクのアイドル 状態 - Win32 アプリ」のアイドル状態条件を参照してください。
スキャンと除外
Microsoft Defender ウイルス対策には、スキャンのパフォーマンスと効率を向上させるために役立つ次の機能があります。
このような状況では特定の最適化 (並列スキャンなど) が不可能な場合、コンテナー/アーカイブのスキャンに長い時間がかかる場合があります。 可能な限り、これらのコンテナーの内容を抽出して、フル スキャンで項目を並行して処理できるようにすることをお勧めします。
このオプションがコンプライアンス要件で許可されている場合は、スキャンからコンテナーを除外できるスキャン除外。
Microsoft Defender ウイルス対策のパフォーマンス アナライザー ツールを使用して、パフォーマンスの最適化に役立つ除外を決定できます。 「Microsoft Defender ウイルス対策用のパフォーマンス アナライザー」を参照してください。
Microsoft Defender ウイルス対策には、信頼性の高い (信頼できるソースによって署名されたなど) コンテンツの最適化が組み込まれています。 このようなコンテンツが検出されると、コンテンツのスキャンから署名の検証に移行して、ファイルが改ざんされていないことを確認します。
ウイルス対策の除外に関する推奨事項
特定の場所をスキャンから除外すると、スキャン時間が短縮される可能性があります。 除外には、プロセスの除外とファイル/フォルダーの除外の 2 種類があります。 フル スキャンには、ファイル/フォルダーの除外のみが適用されます。 スキャンの除外は、リスクを最小限に抑えながらスキャン時間を短縮するために慎重に開発する必要があります。
コンプライアンス要件によって禁止されている場合は、圧縮ファイルを除外しないでください。
ユーザー プロファイルの一時フォルダーまたはマルウェアでよく使用されるシステム一時フォルダーは除外しないでください。
C:\Users<UserProfileName>\AppData\Local\Temp\
C:\Users<UserProfileName>\AppData\LocalLow\Temp\
C:\Users<UserProfileName>\AppData\Roaming\Temp\
%Windir%\Prefetch
%Windir%\System32\Spool
C:\Windows\System32\CatRoot2
%Windir%\Temp
除外リストでのワイルドカードとしての環境変数の使用は、システム変数のみに制限されます。 Microsoft Defender ウイルス対策フォルダーとプロセスの除外を追加するときは、ユーザー スコープの環境変数を使用しないでください。