ファイル拡張子とフォルダーの場所に基づいて除外を構成して検証する

適用対象:

プラットフォーム

  • Windows

スケジュールされたスキャンオンデマンド スキャン、always-on、リアルタイムの保護と監視に適用されるMicrosoft Defenderウイルス対策の除外を定義できます。 一般に、除外を適用する必要はありません。 除外を適用する必要がある場合は、次のいずれかを選択できます。

重要

Microsoft Defenderウイルス対策の除外は、攻撃面の縮小 (ASR) 規則など、一部のMicrosoft Defender for Endpoint機能に適用されます。 一部のMicrosoft Defenderウイルス対策の除外は、一部の ASR ルールの除外に適用されます。 「攻撃面の縮小ルールリファレンス - Microsoft Defenderウイルス対策の除外と ASR ルール」を参照してください。 この記事で説明する方法を使用して除外するファイルは、エンドポイント検出と応答 (EDR) アラートやその他の検出を引き続きトリガーできます。 ファイルを広く除外するには、カスタム インジケーター Microsoft Defender for Endpointに追加します

はじめに

除外リストを定義する前に、除外を定義するための推奨事項に関するページを参照してください。

除外リスト

ウイルス対策スキャンから特定のファイルMicrosoft Defender除外するには、除外リストを変更します。 Microsoft Defenderウイルス対策には、既知のオペレーティング システムの動作と一般的な管理ファイル (エンタープライズ管理、データベース管理、その他のエンタープライズシナリオや状況で使用されるファイルなど) に基づく多くの自動除外が含まれています。

注:

除外は、 望ましくない可能性のあるアプリ (PUA) の検出 にも適用されます。 自動除外は、Windows Server 2016 以降にのみ適用されます。 これらの除外は、Windows セキュリティ アプリと PowerShell では表示されません。

次の表に、ファイル拡張子とフォルダーの場所に基づく除外の例をいくつか示します。

除外 除外リスト
特定の拡張子を持つファイル 指定された拡張子を持つすべてのファイル(マシン上の任意の場所)。

有効な構文: .test および test

拡張機能の除外
特定のフォルダー内の任意のファイル フォルダーの下 c:\test\sample にあるすべてのファイル ファイルとフォルダーの除外
特定のフォルダー内の特定のファイル ファイル c:\sample\sample.test のみ ファイルとフォルダーの除外
特定のプロセス 実行可能ファイル c:\test\process.exe ファイルとフォルダーの除外

除外リストの特性

  • フォルダーの除外は、サブフォルダーが再解析ポイントでない限り、そのフォルダー内のすべてのファイルとフォルダーに適用されます。 再解析ポイント サブフォルダーは個別に除外する必要があります。
  • ファイル拡張子は、パスまたはフォルダーが定義されていない場合、定義された拡張子を持つ任意のファイル名に適用されます。

ファイル拡張子とフォルダーの場所に基づく除外に関する重要な注意事項

  • アスタリスク (*) などのワイルドカードを使用すると、除外ルールの解釈方法が変更されます。 ワイルドカードのしくみに関する重要な情報については、「 ファイル名とフォルダー パスまたは拡張子の除外リストで ワイルドカードを使用する」セクションを参照してください。

  • マップされたネットワーク ドライブを除外しないでください。 実際のネットワーク パスを指定します。

  • 再解析ポイントであるフォルダーは、Microsoft Defenderウイルス対策サービスの開始後に作成され、除外リストに追加されたフォルダーは含まれません。 新しい再解析ポイントが有効な除外ターゲットとして認識されるように Windows を再起動してサービスを再起動します。

  • 除外は 、スケジュールされたスキャンオンデマンド スキャンリアルタイム保護に適用されますが、すべての Defender for Endpoint 機能には適用されません。 Defender for Endpoint 全体で除外を定義するには、 カスタム インジケーターを使用します

  • 既定では、リストに対して行われたローカルの変更 (PowerShell と WMI による変更を含む管理者権限を持つユーザー) は、グループ ポリシー、Configuration Manager、またはIntuneによって定義 (およびデプロイ) されたリストとマージされます。 競合がある場合は、グループ ポリシーリストが優先されます。 さらに、グループ ポリシーで行われた除外リストの変更は、Windows セキュリティ アプリに表示されます。

  • ローカルの変更でマネージド デプロイ設定をオーバーライドできるようにするには、 ローカルおよびグローバルに定義された除外リストをマージする方法を構成します。

フォルダー名またはファイル拡張子に基づいて除外の一覧を構成する

Microsoft Defenderウイルス対策の除外を定義するには、いくつかの方法から選択できます。

Intuneを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する

次の記事をご覧ください。

Configuration Managerを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する

Microsoft エンドポイント マネージャー (現在のブランチ) の構成の詳細については、「 マルウェア対策ポリシーを作成して展開する方法: 除外設定 」を参照してください。

フォルダーまたはファイル拡張子の除外を構成するには、グループ ポリシーを使用します

注:

ファイルへの完全修飾パスを指定した場合、そのファイルのみが除外されます。 フォルダーが除外で定義されている場合は、そのフォルダー内のすべてのファイルとサブディレクトリが除外されます。

  1. グループ ポリシー管理コンピューターで、[グループ ポリシー管理コンソール] を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。

  2. グループ ポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

  3. ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>の除外に展開します。

  4. 編集用の [パスの除外] 設定を開き、除外を追加します。

    1. オプションを [有効] に設定します。
    2. [ オプション ] セクションで、[ 表示] を選択します。
    3. [ 値名 ] 列の下に、各フォルダーを独自の行で指定します。
    4. ファイルを指定する場合は、ドライブ文字、フォルダー パス、ファイル名、拡張子など、ファイルへの完全修飾パスを入力してください。
    5. [値] 列に「0」と入力します。
  5. その後で、[OK] を選択します。

  6. 編集用の [拡張機能の除外] 設定を開き、除外を追加します。

    1. オプションを [有効] に設定します。
    2. [ オプション ] セクションで、[ 表示] を選択します。
    3. [ 値名 ] 列の下に、それぞれのファイル拡張子を独自の行に入力します。
    4. [値] 列に「0」と入力します。
  7. その後で、[OK] を選択します。

PowerShell コマンドレットを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する

PowerShell を使用して拡張子、場所、またはファイル名に基づいてファイルの除外を追加または削除するには、3 つのコマンドレットと適切な除外リスト パラメーターを組み合わせて使用する必要があります。 コマンドレットはすべて Defender モジュールにあります。

コマンドレットの形式は次のとおりです。

<cmdlet> -<exclusion list> "<item>"

次の表に、PowerShell コマンドレットの部分で <cmdlet> 使用できるコマンドレットを示します。

構成アクション PowerShell コマンドレット
リストを作成または上書きする Set-MpPreference
リストに追加する Add-MpPreference
リストから項目を削除する Remove-MpPreference

次の表に、PowerShell コマンドレットの部分で <exclusion list> 使用できる値を示します。

除外の種類 PowerShell パラメーター
指定したファイル拡張子を持つすべてのファイル -ExclusionExtension
フォルダー内のすべてのファイル (サブディレクトリ内のファイルを含む)、または特定のファイル -ExclusionPath

重要

または を使用してリストを作成した場合は、Set-MpPreferenceAdd-MpPreferenceコマンドレットをもうSet-MpPreference一度使用すると、既存のリストが上書きされます。

たとえば、次のコード スニペットを使用すると、Microsoft Defenderウイルス対策スキャンによって、ファイル拡張子を持つファイルが.test除外されます。

Add-MpPreference -ExclusionExtension ".test"

Windows Management Instrumentation (WMI) を使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する

次のプロパティには 、MSFT_MpPreference クラスの Set メソッド、Add メソッド、Remove メソッド を使用します。

ExclusionExtension
ExclusionPath

SetAddRemove の使用は、PowerShell の対応する に似ています。 Set-MpPreferenceAdd-MpPreferenceRemove-MpPreference

ヒント

詳細については、「WINDOWS DEFENDER WMIv2 API」を参照してください。

Windows セキュリティ アプリを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する

手順については、「Windows セキュリティ アプリに除外を追加する」を参照してください。

ファイル名とフォルダー パスまたは拡張機能の除外リストでワイルドカードを使用する

ファイル名またはフォルダー パスの除外リストで項目を定義する場合は、アスタリスク *、疑問符 ?、または環境変数 (など %ALLUSERSPROFILE%) をワイルドカードとして使用できます。 これらのワイルドカードの解釈方法は、他のアプリや言語での通常の使用方法とは異なります。 特定の制限事項を理解するには、このセクションを必ずお読みください。

重要

これらのワイルドカードには、主な制限事項と使用シナリオがあります。

  • 環境変数の使用は、コンピューター変数と、NT AUTHORITY\SYSTEM アカウントとして実行されているプロセスに適用される変数に制限されます。
  • エントリごとに最大 6 つのワイルドカードのみを使用できます。
  • ドライブ文字の代わりにワイルドカードを使用することはできません。
  • フォルダーの除外のアスタリスク * は、1 つのフォルダーに対して適用されます。 の複数のインスタンスを使用して、 \*\ 名前が指定されていない複数の入れ子になったフォルダーを示します。

次の表では、ワイルドカードを使用する方法について説明し、いくつかの例を示します。

ワイルドカード
* (アスタリスク)

ファイル名とファイル拡張子のインクルードでは、アスタリスクは任意の数の文字を置き換え、引数で定義された最後のフォルダー内のファイルにのみ適用されます。

フォルダーの除外では、アスタリスクによって 1 つのフォルダーが置き換えられます。 複数の * 入れ子になったフォルダーを示すには、 \ 複数のフォルダースラッシュを使用します。 ワイルドカードフォルダーと名前付きフォルダーの数を照合すると、すべてのサブフォルダーも含まれます。

C:\MyData\*.txt 含む C:\MyData\notes.txt

C:\somepath\*\Data には、ファイル C:\somepath\Archives\Data とそのサブフォルダー、およびその C:\somepath\Authorized\Data サブフォルダーが含まれます。

C:\Serv\*\*\Backup には、ファイル C:\Serv\Primary\Denied\Backup とそのサブフォルダー、およびその C:\Serv\Secondary\Allowed\Backup サブフォルダーが含まれます。

? (疑問符)

ファイル名とファイル拡張子のインクルードでは、疑問符は 1 文字に置き換えられ、引数で定義された最後のフォルダー内のファイルにのみ適用されます。

フォルダーの除外では、疑問符はフォルダー名の 1 文字に置き換えられます。 ワイルドカードフォルダーと名前付きフォルダーの数を照合すると、すべてのサブフォルダーも含まれます。

C:\MyData\my?.zip 含む C:\MyData\my1.zip

C:\somepath\?\Data には、ファイル C:\somepath\P\Data とそのサブフォルダーが含まれます

C:\somepath\test0?\Data には、ファイル C:\somepath\test01\Data とそのサブフォルダーが含まれます

環境変数

定義された変数は、除外が評価されるときにパスとして設定されます。

%ALLUSERSPROFILE%\CustomLogFiles が含まれます。 C:\ProgramData\CustomLogFiles\Folder1\file1.txt

重要

ファイル除外引数とフォルダー除外引数を組み合わせた場合、ルールは、一致したフォルダー内のファイル引数の一致で停止し、サブフォルダー内のファイルの一致を検索しません。 たとえば、フォルダー c:\data\final\markedc:\data\review\marked 内の "date" で始まるすべてのファイルと、rule 引数 c:\data\*\marked\date*を使用して除外できます。 ただし、この引数は、 または c:\data\review\markedのサブc:\data\final\markedフォルダー内のファイルと一致しません。

システム環境変数

次の表に、システム アカウント環境変数の一覧と説明を示します。

このシステム環境変数... このへのリダイレクト
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

除外の一覧を確認する

除外リスト内の項目を取得するには、次のいずれかの方法を使用します。

重要

グループ ポリシーで行われた除外リストの変更は、Windows セキュリティ アプリの一覧に表示されます。 Windows セキュリティ アプリで行われた変更は、グループ ポリシーの一覧には表示されません

PowerShell を使用する場合は、次の 2 つの方法で一覧を取得できます。

  • すべてのMicrosoft Defenderウイルス対策設定の状態を取得します。 各リストは別々の行に表示されますが、各リスト内の項目は同じ行に結合されます。
  • すべての基本設定の状態を変数に書き込み、その変数を使用して目的の特定のリストのみを呼び出します。 の Add-MpPreference 各使用は、新しい行に書き込まれます。

MpCmdRun を使用して除外リストを検証する

専用の コマンド ライン ツール を使用して除外を確認するには、mpcmdrun.exe、次のコマンドを使用します。

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

注:

MpCmdRun で除外を確認するには、ウイルス対策 CAMP バージョン 4.18.2111-5.0 (2021 年 12 月にリリース) 以降をMicrosoft Defenderする必要があります。

PowerShell を使用して、他のすべてのMicrosoft Defenderウイルス対策設定と共に除外の一覧を確認する

次のコマンドレットを使用します。

Get-MpPreference

次の例では、リストに ExclusionExtension 含まれる項目が強調表示されています。

Get-MpPreference の PowerShell 出力

詳細については、「PowerShell コマンドレットを使用して Microsoft Defender ウイルス対策を構成および実行する」および「Defender ウイルス対策 コマンドレット 」を参照してください。

PowerShell を使用して特定の除外リストを取得する

次のコード スニペットを使用します (各行を個別のコマンドとして入力します)。 WDAVprefs を、 変数に名前を付けるラベルに置き換えます。

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

次の例では、コマンドレットを使用するたびにリストが新しい行に Add-MpPreference 分割されます。

除外リスト内のエントリのみを示す PowerShell 出力

詳細については、「PowerShell コマンドレットを使用して Microsoft Defender ウイルス対策を構成および実行する」および「Defender ウイルス対策 コマンドレット 」を参照してください。

EICAR テスト ファイルを使用して除外リストを検証する

除外リストが機能していることを検証するには、コマンドレットまたは .NET WebClient クラスを Invoke-WebRequest 使用して PowerShell を使用してテスト ファイルをダウンロードします。

次の PowerShell スニペットで、 を除外規則に準拠するファイルに置き換えます test.txt 。 たとえば、拡張機能を除外した場合は、 を に.testingtest.testing置き換えますtest.txt。 パスをテストする場合は、そのパス内でコマンドレットを実行してください。

Invoke-WebRequest "http://www.eicar.org/download/eicar.com.txt" -OutFile "test.txt"

ウイルス対策Microsoft Defenderマルウェアが報告された場合、ルールは機能していません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合、除外は機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。

次の PowerShell コードを使用することもできます。.NET WebClient クラスを呼び出してテスト ファイルをダウンロードすることもできます。コマンドレットと Invoke-WebRequest 同様に、検証する規則に準拠したファイルに置き換えます c:\test.txt

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

インターネットにアクセスできない場合は、次の PowerShell コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込むことで、独自の EICAR テスト ファイルを作成できます。

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。

関連項目