Powershell を使用して Microsoft Defender ウイルス対策を評価する
適用対象:
- Microsoft Defender ウイルス対策
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Windows 10 以降および Windows Server 2016 以降では、Microsoft Defender ウイルス対策 (MDAV) と Microsoft Defender Exploit Guard (Microsoft Defender EG) によって提供される次世代の保護機能を使用できます。
このトピックでは、Microsoft Defender AV と Microsoft Defender EG の主要な保護機能を有効にしてテストする方法について説明し、詳細情報へのガイダンスとリンクを提供します。
この評価版 PowerShell スクリプトを使用してこれらの機能を構成することをお勧めしますが、このドキュメントの残りの部分で説明されているコマンドレットを使用して、各機能を個別に有効にすることができます。
EPP 製品の詳細については、次の製品ドキュメント ライブラリを参照してください。
この記事では、Windows 10 以降および Windows Server 2016 以降の構成オプションについて説明します。
Microsoft Defender AV が行う検出に関する質問がある場合、または検出が見つからないことを発見した場合は、サンプル送信ヘルプ サイトでファイルを送信できます。
PowerShell を使用して機能を有効にする
このガイドでは、保護を評価するために使用する必要がある機能を構成する Microsoft Defender ウイルス対策コマンドレット を提供します。
これらのコマンドレットを使用するには:
1. PowerShell の管理者特権のインスタンスを開きます ([管理者として実行] を選択します)。
2. このガイドに記載されているコマンドを入力し、Enter キーを押します。
Get-MpPreference PowerShell コマンドレットを使用して、開始前または評価中にすべての設定の状態を確認できます。
Microsoft Defender AV は、 標準の Windows 通知による検出を示します。 Microsoft Defender AV アプリで検出を確認することもできます。
Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 イベント ID とそれに対応するアクションの一覧については、Microsoft Defender ウイルス対策イベントに関する記事を参照してください。
クラウド保護機能
標準定義の更新は、準備と配信に数時間かかることがあります。クラウドで提供される保護サービスでは、この保護を数秒で実現できます。
詳細については、「 クラウド提供の保護を通じて Microsoft Defender ウイルス対策で次世代テクノロジを使用する」を参照してください。
説明 | PowerShell コマンド |
---|---|
ほぼ瞬時に保護し、保護を強化するために Microsoft Defender Cloud を有効にする | Set-MpPreference -MAPSReporting Advanced |
グループ保護を強化するためにサンプルを自動的に送信する | Set-MpPreference -SubmitSamplesConsent Always |
常にクラウドを使用して、数秒以内に新しいマルウェアをブロックする | Set-MpPreference -DisableBlockAtFirstSeen 0 |
ダウンロードしたすべてのファイルと添付ファイルをスキャンする | Set-MpPreference -DisableIOAVProtection 0 |
クラウド ブロック レベルを "High" に設定する | Set-MpPreference -CloudBlockLevel High |
高クラウド ブロック タイムアウトを 1 分に設定する | Set-MpPreference -CloudExtendedTimeout 50 |
常時保護 (リアルタイム スキャン)
Microsoft Defender AV は、Windows に表示されるとすぐにファイルをスキャンし、既知または疑わしい悪意のある動作の実行中のプロセスを監視します。 ウイルス対策エンジンが悪意のある変更を検出すると、プロセスまたはファイルの実行が直ちにブロックされます。
これらのオプションの詳細については 、「動作、ヒューリスティック、リアルタイム保護の構成 」を参照してください。
説明 | PowerShell コマンド |
---|---|
既知のマルウェアの変更に関するファイルとプロセスを常に監視する | Set-MpPreference -DisableRealtimeMonitoring 0 |
"クリーン" ファイルや実行中のプログラムでも、既知のマルウェアの動作を常に監視する | Set-MpPreference -DisableBehaviorMonitoring 0 |
スクリプトが表示または実行されたらすぐにスキャンする | Set-MpPreference -DisableScriptScanning 0 |
取り外し可能なドライブが挿入またはマウントされたらすぐにスキャンする | Set-MpPreference -DisableRemovableDriveScanning 0 |
望ましくない可能性のあるアプリケーション保護
望ましくない可能性のあるアプリケーション は、従来は悪意のあるものとして分類されていないファイルやアプリです。 これには、一般的なソフトウェア、広告挿入、およびブラウザーの特定の種類のツール バー用のサード パーティ製インストーラーが含まれます。
説明 | PowerShell コマンド |
---|---|
グレーウェア、アドウェア、およびその他の望ましくない可能性のあるアプリのインストールを防止する | Set-MpPreference -PUAProtection Enabled |
電子メールとアーカイブのスキャン
Microsoft Defender ウイルス対策を設定すると、特定の種類の電子メール ファイルとアーカイブ ファイル (.zip ファイルなど) が Windows によって自動的にスキャンされます。 この機能の詳細については、 Microsoft Defender のメール スキャンの管理に 関する記事を参照してください。
説明 | PowerShell コマンド |
---|---|
電子メール ファイルとアーカイブをスキャンする | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
製品と保護の更新プログラムを管理する
通常、1 日に 1 回、Windows 更新プログラムから Microsoft Defender AV 更新プログラムを受け取ります。 ただし、次のオプションを設定し、更新プログラムが System Center Configuration Manager、グループ ポリシー、または Intune で管理されるようにすることで、これらの更新プログラムの頻度を増やすことができます。
説明 | PowerShell コマンド |
---|---|
署名を毎日更新する | Set-MpPreference -SignatureUpdateInterval |
スケジュールされたスキャンを実行する前に署名を更新することを確認する | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
高度な脅威と悪用の軽減策と防止 フォルダー アクセスの制御
Microsoft Defender Exploit Guard には、脆弱なテクノロジに対する既知の悪意のある動作や攻撃からデバイスを保護するのに役立つ機能が用意されています。
説明 | PowerShell コマンド |
---|---|
悪意のある不審なアプリ (ランサムウェアなど) が、フォルダー アクセスの制御を使用して保護されたフォルダーに変更を加えないようにする | Set-MpPreference -EnableControlledFolderAccess Enabled |
ネットワーク保護を使用して、既知の不適切な IP アドレスやその他のネットワーク接続への接続をブロックする | Set-MpPreference -EnableNetworkProtection Enabled |
Exploit Protection を使用して標準的な一連の軽減策を適用する | Invoke-WebRequest https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
攻撃面の縮小を使用して既知の悪意のある攻撃ベクトルをブロックする | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-53EA-2 4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A91 7- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-49a9-1 9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
一部のルールでは、組織内で許容できる動作がブロックされる場合があります。 このような場合は、ルールを [有効] から [監査] に変更して、不要なブロックを防ぎます。
[Microsoft Defender オフライン スキャン] を 1 回クリックします
Microsoft Defender オフライン スキャンは、Windows 10 以降に付属する特殊なツールであり、通常のオペレーティング システム以外の専用環境でマシンを起動できます。 これは、強力なマルウェアのために特に便利です, ルートキットなど.
この機能のしくみの詳細については、「 Microsoft Defender Offline 」を参照してください。
説明 | PowerShell コマンド |
---|---|
通知を使用して、特殊なマルウェア除去環境で PC を起動できることを確認します | Set-MpPreference -UILockdown 0 |
リソース
このセクションでは、Microsoft Defender ウイルス対策の評価に役立つ多くのリソースの一覧を示します。