次の方法で共有


PowerShell を使用してMicrosoft Defenderウイルス対策を評価する

適用対象:

Windows 10 (またはそれ以降) およびWindows Server 2016 (以降) では、Microsoft Defenderウイルス対策とエクスプロイト保護によって提供される次世代の保護機能を使用できます。

この記事では、Microsoft Defenderウイルス対策の主要な保護機能を有効にしてテストする方法について説明し、詳細情報へのガイダンスとリンクを提供します。

これらの機能を構成するには 、評価版 PowerShell スクリプト を使用することをお勧めしますが、このドキュメントの残りの部分で説明されているコマンドレットを使用して、各機能を個別に有効にできます。

エンドポイント保護の製品とサービスの詳細については、次のリソースを参照してください。

この記事では、Windows 10以降およびWindows Server 2016以降の構成オプションについて説明します。 ウイルス対策Microsoft Defender検出に関する質問がある場合、または検出が見つからない場合は、サンプル送信ヘルプ サイトでファイルを送信できます。

PowerShell を使用して機能を有効にする

このガイドでは、保護を評価するために使用する必要がある機能を構成するMicrosoft Defenderウイルス対策コマンドレットについて説明します。

これらのコマンドレットを使用するには、管理者として PowerShell を開き、コマンドを実行して Enter キーを押します。

Get-MpPreference PowerShell コマンドレットを使用して、開始前または評価中にすべての設定の状態をチェックできます。

Microsoft Defenderウイルス対策は、標準の Windows 通知による検出を示します。 Microsoft Defenderウイルス対策アプリで検出を確認することもできます。

Windows イベント ログには、検出イベントとエンジン イベントも記録されます。 イベント ID とそれに対応するアクションの一覧については、Microsoft Defenderウイルス対策イベントに関する記事を参照してください

クラウド保護機能

Standard定義の更新は、準備と配信に数時間かかることがあります。クラウド提供の保護サービスでは、この保護を数秒で提供できます。

詳細については、「クラウド保護とウイルス対策のMicrosoft Defender」を参照してください。

説明 PowerShell コマンド
Microsoft Defender クラウドを有効にして、ほぼ瞬時に保護し、保護を強化する Set-MpPreference -MAPSReporting Advanced
グループ保護を強化するためにサンプルを自動的に送信する Set-MpPreference -SubmitSamplesConsent Always
常にクラウドを使用して、数秒以内に新しいマルウェアをブロックする Set-MpPreference -DisableBlockAtFirstSeen 0
ダウンロードしたすべてのファイルと添付ファイルをスキャンする Set-MpPreference -DisableIOAVProtection 0
クラウド ブロック レベルを [高] に設定する Set-MpPreference -CloudBlockLevel High
高いクラウド ブロックのタイムアウトを 1 分に設定する Set-MpPreference -CloudExtendedTimeout 50

常時保護 (リアルタイム スキャン)

Microsoft Defenderウイルス対策は、Windows で見られるとすぐにファイルをスキャンし、実行中のプロセスで既知または疑わしい悪意のある動作を監視します。 ウイルス対策エンジンが悪意のある変更を検出した場合は、プロセスまたはファイルの実行を直ちにブロックします。

これらのオプションの詳細については、「 動作、ヒューリスティック、リアルタイム保護を構成する」を参照してください。

説明 PowerShell コマンド
既知のマルウェアの変更に関するファイルとプロセスを常に監視する Set-MpPreference -DisableRealtimeMonitoring 0
脅威と見なされないファイルやプログラムの実行中でも、既知のマルウェアの動作を常に監視する Set-MpPreference -DisableBehaviorMonitoring 0
スクリプトが表示または実行されたらすぐにスキャンする Set-MpPreference -DisableScriptScanning 0
取り外し可能なドライブが挿入またはマウントされたらすぐにスキャンする Set-MpPreference -DisableRemovableDriveScanning 0

望ましくない可能性のあるアプリケーション保護

望ましくない可能性のあるアプリケーション は、従来は悪意のあるものとして分類されていないファイルやアプリです。 このようなアプリケーションには、一般的なソフトウェア、広告挿入、およびブラウザーの特定の種類のツール バー用の Microsoft 以外のインストーラーが含まれます。

説明 PowerShell コマンド
グレーウェア、アドウェア、およびその他の望ましくない可能性のあるアプリのインストールを防止する Set-MpPreference -PUAProtection Enabled

Emailおよびアーカイブ スキャン

Microsoft Defenderウイルス対策を設定すると、特定の種類の電子メール ファイルやアーカイブ ファイル (.zip ファイルなど) が Windows で表示されたときに自動的にスキャンされます。 詳細については、「Microsoft Defenderでのマネージド メール スキャン」を参照してください。

説明 PowerShell コマンド
電子メール ファイルとアーカイブをスキャンする Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

製品と保護の更新プログラムを管理する

通常、Windows Update から 1 日に 1 回Microsoft Defenderウイルス対策更新プログラムを受け取ります。 ただし、これらの更新プログラムの頻度を増やすには、次のオプションを設定し、更新プログラムが System Center Configuration Manager、グループ ポリシー、またはIntuneで管理されるようにします。

説明 PowerShell コマンド
署名を毎日更新する Set-MpPreference -SignatureUpdateInterval
スケジュールされたスキャンを実行する前に署名を更新することを確認する Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

高度な脅威と悪用の軽減策と防止 フォルダー アクセスの制御

Exploit Protection には、脆弱なテクノロジに対する既知の悪意のある動作や攻撃からデバイスを保護するのに役立つ機能が用意されています。

説明 PowerShell コマンド
悪意のある不審なアプリ (ランサムウェアなど) が、フォルダー アクセスの制御を使用して保護されたフォルダーに変更を加えないようにする Set-MpPreference -EnableControlledFolderAccess Enabled
ネットワーク保護を使用して、既知の不適切な IP アドレスやその他のネットワーク接続への接続をブロックする Set-MpPreference -EnableNetworkProtection Enabled
Exploit Protection を使用して標準的な一連の軽減策を適用する Invoke-WebRequest

https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml

Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
攻撃面の縮小を使用して既知の悪意のある攻撃ベクトルをブロックする Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled

一部のルールでは、organizationで許容できる動作がブロックされる場合があります。 このような場合は、不要なブロックを防ぐためにルールを Enabled から Audit に変更します。

改ざん防止を有効にする

Microsoft Defender ポータルで、[設定>Endpoints>Advanced features>Tamper Protection>On] に移動します。

詳細については、「改ざん防止操作方法構成または管理する」を参照してください。

Cloud Protection ネットワーク接続を確認する

ペンテスト中に Cloud Protection ネットワーク接続が機能していることをチェックすることが重要です。 管理者としてコマンド プロンプトを使用して、次のコマンドを実行します。

cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection

詳細については、「 cmdline ツールを使用してクラウド提供の保護を検証する」を参照してください。

オフライン スキャンMicrosoft Defender 1 回選択

Microsoft Defenderオフラインスキャンは、Windows 10以降に付属する特殊なツールであり、通常のオペレーティングシステムの外部にある専用環境にマシンを起動することができます。 これは、強力なマルウェアのために特に便利です, ルートキットなど.

詳細については、「オフラインMicrosoft Defender」を参照してください。

説明 PowerShell コマンド
通知によって、特殊なマルウェア除去環境でデバイスを起動できることを確認する Set-MpPreference -UILockdown 0

関連項目