Windows Server でMicrosoft Defenderウイルス対策の除外を構成する

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

Windows Server 2016 および Windows Server 2019 の Microsoft Defender ウイルス対策では、指定したサーバー ロールによって定義されている特定の除外に自動的に登録されます。 これらの除外は、Windows セキュリティ アプリに表示される標準の除外リストには表示されません。

サーバー ロール定義の自動除外に加えて、カスタム除外を追加または削除できます。 そのためには、次の記事を参照してください。

• ファイル名、拡張子、フォルダーの場所に基づいて除外を構成して検証する
• プロセスによって開かれたファイルの除外を構成して検証する

留意すべき点

• カスタム除外は、自動除外よりも優先されます。
• 自動除外は 、リアルタイム保護 (RTP) スキャンにのみ適用されます。
• フル スキャン、クイック スキャン、オンデマンド スキャンでは、自動除外は適用されません。
• カスタム除外と重複除外は、自動除外と競合しません。
• Microsoft Defenderウイルス対策では、展開イメージのサービスと管理 (DISM) ツールを使用して、コンピューターにインストールされている役割を決定します。
• オペレーティング システムに含まれていないソフトウェアには、適切な除外を設定する必要があります。
• Windows Server 2012 R2 には、インストール可能な機能としてMicrosoft Defenderウイルス対策がありません。 これらのサーバーを Defender for Endpoint にオンボードすると、Microsoft Defenderウイルス対策がインストールされ、オペレーティング システム ファイルの既定の除外が適用されます。 ただし、サーバー ロール (以下で指定) の除外は自動的に適用されないため、必要に応じてこれらの除外を構成する必要があります。 詳細については、「Windows サーバーを Microsoft Defender for Endpoint にオンボードする」を参照してください。

この記事では、Windows Server 2016以降のMicrosoft Defenderウイルス対策の除外の概要について説明します。

Microsoft Defenderウイルス対策はWindows Server 2016以降に組み込まれているため、オペレーティング システム ファイルとサーバーロールの除外は自動的に行われます。 ただし、カスタム除外を定義することはできます。 必要に応じて、自動除外をオプトアウトすることもできます。

この記事に含まれるセクションは次のとおりです。

Section	説明
Windows Server 2016以降の自動除外	自動除外の 2 つの主な種類について説明し、自動除外の詳細な一覧が含まれています
自動除外のオプトアウト	自動除外をオプトアウトする方法を説明する重要な考慮事項と手順が含まれています
カスタム除外の定義	カスタム除外を定義するためのハウツー情報へのリンクを提供します

Windows Server 2016以降の自動除外

Windows Server 2016以降では、次の除外を定義する必要はありません。

• オペレーティング システム ファイル
• サーバー ロールと、サーバー ロールを介して追加されるすべてのファイル

Microsoft Defenderウイルス対策は組み込まれているため、Windows Server 2016 以降のオペレーティング システム ファイルの除外は必要ありません。 さらに、Windows Server 2016以降を実行してロールをインストールすると、Microsoft Defenderウイルス対策には、サーバー ロールと、ロールのインストール中に追加されたすべてのファイルの自動除外が含まれます。

オペレーティング システムの除外とサーバー ロールの除外は、Windows セキュリティ アプリに表示される標準の除外リストには表示されません。

注:

自動除外は、Windows Server 2016 以降にのみ適用されます。 これらの除外は、Windows セキュリティ アプリと PowerShell では表示されません。 Windows Server 2012 R2 を実行しているサーバーが Defender for Endpoint にオンボードされている場合、自動除外が適用される場合があります。 詳細については、「Microsoft Defender for Endpoint サービスへの Windows サーバーのオンボード」を参照してください。 サーバー ロールとオペレーティング システム ファイルの自動除外は、Windows Server 2012には適用されません。

自動除外の一覧

次のセクションでは、自動除外ファイル パスとファイルの種類で配信される除外について説明します。

すべてのロールの既定の除外

このセクションでは、Windows Server 2016、Windows Server 2019、および Windows Server 2022 のすべてのロールの既定の除外の一覧を示します。

重要

• 既定の場所は、この記事で説明する場所とは異なる場合があります。
• Windows 機能またはサーバーロールとして含まれていないソフトウェアの除外を設定するには、ソフトウェアの製造元のドキュメントを参照してください。

Windows "temp.edb" ファイル

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update ファイルまたは自動更新ファイル

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows セキュリティファイル

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

グループ ポリシーファイル

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS ファイル

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

ファイル レプリケーション サービス (FRS) の除外

• ファイル レプリケーション サービス (FRS) 作業フォルダー内のファイル。 FRS 作業フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• FRS データベース ログ ファイル。 FRS Database ログ ファイル フォルダーがレジストリ キーに指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• FRS ステージング フォルダー。 ステージング フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• FRS プレインストール フォルダー。 このフォルダーは、 フォルダーによって指定されます Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• 分散ファイル システム レプリケーション (DFSR) データベースと作業フォルダー。 これらのフォルダーはレジストリ キーによって指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  注:

  カスタムの場所については、「 自動除外のオプトアウト」を参照してください。

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

プロセスの除外

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

Hyper-V の除外

次の表に、Hyper-V ロールをインストールするときに自動的に配信されるファイルの種類の除外、フォルダーの除外、およびプロセスの除外を示します。

除外の種類	詳細
ファイルの種類	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
Folders	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
プロセス	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

SYSVOL ファイル

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory の除外

このセクションでは、Active Directory Domain Services (AD DS) をインストールするときに自動的に配信される除外の一覧を示します。

NTDS データベース ファイル

データベース ファイルがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

AD DS トランザクション ログ ファイル

トランザクション ログ ファイルがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

NTDS 作業フォルダー

このフォルダーはレジストリ キーで指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

AD DS および AD DS 関連のサポート ファイルのプロセス除外

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

DHCP サーバーの除外

このセクションでは、DHCP サーバーの役割をインストールするときに自動的に配信される除外の一覧を示します。 DHCP サーバー ファイルの場所は、レジストリ キーの DatabasePath、 DhcpLogFilePath、 BackupDatabasePath パラメーターによって指定されます HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

DNS サーバーの除外

このセクションでは、DNS サーバーロールをインストールするときに自動的に配信されるファイルとフォルダーの除外とプロセスの除外を一覧表示します。

DNS サーバー ロールのファイルとフォルダーの除外

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

DNS サーバー ロールのプロセスの除外

• %systemroot%\System32\dns.exe

ファイル サービスとストレージ サービスの除外

このセクションでは、File and Storage Services ロールをインストールするときに自動的に配信されるファイルとフォルダーの除外の一覧を示します。 次に示す除外には、クラスタリング ロールの除外は含まれません。

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

プリント サーバーの除外

このセクションでは、プリント サーバー ロールをインストールするときに自動的に配信されるファイルの種類の除外、フォルダーの除外、およびプロセスの除外の一覧を示します。

ファイルの種類の除外

• *.shd
• *.spl

フォルダーの除外

このフォルダーはレジストリ キーで指定されます HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

プロセスの除外

• spoolsv.exe

Web サーバーの除外

このセクションでは、Web Server ロールをインストールするときに自動的に配信されるフォルダーの除外とプロセスの除外の一覧を示します。

フォルダーの除外

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

Process exclusions

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

Sysvol\Sysvol フォルダーまたは SYSVOL_DFSR\Sysvol フォルダー内のファイルのスキャンをオフにする

または SYSVOL_DFSR\Sysvol フォルダーとすべてのサブフォルダーの現在のSysvol\Sysvol場所は、レプリカ セット ルートのファイル システムの再解析ターゲットです。 フォルダーと SYSVOL_DFSR\Sysvol フォルダーではSysvol\Sysvol、既定で次の場所が使用されます。

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

現在アクティブな SYSVOL へのパスは NETLOGON 共有によって参照され、次のサブキーの SysVol 値名によって決定できます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

このフォルダーとそのすべてのサブフォルダーから次のファイルを除外します。

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

Windows Server Update Services除外

このセクションでは、Windows Server Update Services (WSUS) ロールをインストールするときに自動的に配信されるフォルダーの除外の一覧を示します。 WSUS フォルダーがレジストリ キーで指定されている HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

自動除外のオプトアウト

Windows Server 2016以降では、セキュリティ インテリジェンス更新プログラムによって提供される定義済みの除外では、ロールまたは機能の既定のパスのみが除外されます。 カスタム パスにロールまたは機能をインストールした場合、または除外のセットを手動で制御する場合は、セキュリティ インテリジェンス更新プログラムで配信される自動除外をオプトアウトしてください。 ただし、自動的に配信される除外は、Windows Server 2016以降に最適化されていることに注意してください。 除外リストを定義する前に、除外を定義するための推奨事項に関するページを参照してください。

警告

自動除外をオプトアウトすると、パフォーマンスに悪影響を与えたり、データが破損したりする可能性があります。 自動的に配信される除外は、Windows Server 2016、Windows Server 2019、および Windows Server 2022 ロール用に最適化されています。

定義済みの除外では 既定のパスのみが除外されるため、NTDS フォルダーと SYSVOL フォルダーを 元のパスとは異なる別のドライブまたはパスに移動する場合は、手動で除外を追加する必要があります。 フォルダー名またはファイル拡張子に基づいて除外の一覧を構成するを参照してください。

自動除外リストは、グループ ポリシー、PowerShell コマンドレット、WMI を使用して無効にすることができます。

グループ ポリシーを使用して、Windows Server 2016、Windows Server 2019、および Windows Server 2022 の自動除外リストを無効にする

1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開きます。 構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します。

2. グループ ポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>の除外に展開します。

4. [ 自動除外をオフにする] をダブルクリックし、オプションを [有効] に設定します。 次に [OK] を選びます。

PowerShell コマンドレットを使用して Windows Server の自動除外リストを無効にする

次のコマンドレットを使用します。

Set-MpPreference -DisableAutoExclusions $true

詳細については、次のリソースを参照してください。

• PowerShell コマンドレットを使用して、ウイルス対策Microsoft Defender構成して実行します。
• Microsoft Defender ウイルス対策で PowerShell を使用します。

Windows 管理命令 (WMI) を使用して、Windows Server の自動除外リストを無効にする

次のプロパティには、MSFT_MpPreference クラスの Set メソッドを使用します。

DisableAutoExclusions

詳細と許可されるパラメーターについては、次を参照してください。

• Windows Defender WMIv2 API

カスタム除外の定義

必要に応じて、カスタム除外を追加または削除できます。 これを行うには、次の記事を参照してください。

• ファイル名、拡張子、フォルダーの場所に基づいて除外を構成して検証する
• プロセスによって開かれたファイルの除外を構成して検証する

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

• macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する
• Mac 用 Microsoft Defender for Endpoint
• Intune の Microsoft Defender ウイルス対策の macOS ウイルス対策ポリシー設定
• Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
• Linux 用 Microsoft Defender for Endpoint
• Android 機能用 Defender for Endpoint を構成する
• iOS 機能用 Microsoft Defender for Endpoint を構成する

関連項目

• Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
• Microsoft Defenderウイルス対策スキャンの除外を構成して検証する
• ファイル名、拡張子、フォルダーの場所に基づいて除外を構成して検証する
• プロセスによって開かれたファイルの除外を構成して検証する
• 除外を定義する際に避ける必要のある一般的な間違い
• Microsoft Defenderウイルス対策スキャンと修復の結果をカスタマイズ、開始、確認する
• Microsoft Defender ウイルス対策 (Windows 10)