Microsoft Defender ウイルス対策更新プログラムのソースを管理する

  • [アーティクル]

重要

2022 年 3 月の Microsoft Defender エンジン更新プログラム (1.1.19100.5) を適用したお客様は、高いリソース使用率 (CPU またはメモリ) が発生した可能性があります。 Microsoft は、以前のバージョンで導入されたバグを解決する更新プログラム (1.1.19200.5) をリリースしました。 お客様は、ウイルス対策エンジン (1.1.19200.5) のこの新しいエンジン ビルドに更新することをお勧めします。 パフォーマンスの問題が完全に修正されるようにするには、更新プログラムを適用した後にマシンを再起動することをお勧めします。 詳細については、「 月単位のプラットフォームとエンジンのバージョン」を参照してください。

適用対象:

プラットフォーム

  • Windows

ウイルス対策の保護を最新の状態に保つことが重要です。 Microsoft Defender ウイルス対策の保護更新プログラムを管理するための次の 2 つのコンポーネントがあります。

  • 更新プログラムがダウンロードされる場所。および
  • 更新プログラムをダウンロードして適用するタイミング

この記事では、更新プログラムのダウンロード元を指定する方法について説明します (これはフォールバック順序とも呼ばれます)。 更新プログラムのしくみの概要と、更新プログラムの他の側面を構成する方法 (更新のスケジュール設定など) については、「Microsoft Defender ウイルス対策の更新プログラムを管理してベースラインを適用する」を参照してください。

重要

Microsoft Defenderウイルス対策セキュリティ インテリジェンスの更新プログラムとプラットフォーム更新プログラムは、Windows Updateを通じて配信され、2019 年 10 月 21 日月曜日から開始され、すべてのセキュリティ インテリジェンス更新プログラムは SHA-2 専用で署名されます。 セキュリティ インテリジェンスを更新するには、SHA-2 をサポートするようにデバイスを更新する必要があります。 詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。

フォールバック順序

通常、プライマリ ソースから更新プログラムを個別にダウンロードし、その後、ネットワーク構成に基づいて優先度の高い順に他のソースをダウンロードするようにエンドポイントを構成します。 更新プログラムは、指定した順序でソースから取得されます。 現在のソースの更新プログラムが最新でない場合は、リスト内の次のソースが直ちに使用されます。

更新プログラムが発行されると、更新プログラムのサイズを最小限に抑えるためのいくつかのロジックが適用されます。 ほとんどの場合、最新の更新プログラムと、デバイスに現在インストールされている更新プログラムの違い (デルタと呼ばれます) だけがダウンロードされて適用されます。 ただし、デルタのサイズは、次の 2 つの主な要因によって異なります。

  • デバイスの最後の更新からの経過時間。および
  • 更新プログラムのダウンロードと適用に使用されるソース。

エンドポイントの更新プログラムが古いほど、ダウンロードは大きくなります。 ただし、ダウンロード頻度も考慮する必要があります。 更新スケジュールの頻度が高いほど、ネットワークの使用量が増える一方で、スケジュールの頻度が低いほど、ダウンロードあたりのファイル サイズが大きくなる可能性があります。

エンドポイントが更新プログラムを取得する場所として指定できる場所は 5 つあります。

(1) Intune 内部定義更新サーバー - SCCM/SUP を使用して Microsoft Defender ウイルス対策 の定義更新プログラムを取得し、クライアント デバイスでブロックされている Windows Update にアクセスする必要がある場合は、共同管理に移行し、エンドポイント保護ワークロードを Intune にオフロードできます。 Intune で構成されたマルウェア対策ポリシーには、オンプレミスの WSUS を更新ソースとして使用するように構成できる "内部定義更新サーバー" のオプションがあります。 これにより、企業に対して承認される公式 WU サーバーからの更新プログラムを制御できます。また、ネットワーク トラフィックをプロキシして、公式の Windows Update ネットワークに保存するのにも役立ちます。

(2) ポリシーとレジストリでは、以前の名称である Microsoft マルウェア プロテクション センター (MMPC) のセキュリティ インテリジェンスとして表示される場合があります。

Microsoft Update では、最大限の保護を確保するために、迅速なリリースが可能になります。つまり、ダウンロードの頻度が低くなります。 Windows Server Update Service、Microsoft Endpoint Configuration Manager、Microsoft セキュリティ インテリジェンス更新プログラム、およびプラットフォーム更新プログラム ソースでは、更新プログラムの頻度が低くなります。 したがって、デルタが大きくなり、ダウンロードが大きくなる可能性があります。

注:

プラットフォーム更新プログラムにはエンジンの更新プログラムが含まれており、月単位でリリースされます。 セキュリティ インテリジェンスの更新プログラムも 1 日に複数回配信されますが、このパッケージにはエンジンは含まれません。

重要

Windows Server Update Service または Microsoft Update の後に Microsoft セキュリティ インテリジェンス ページ の更新プログラムをフォールバック ソースとして設定している場合、更新プログラムは、現在の更新プログラムが古いと見なされる場合にのみ、セキュリティ インテリジェンスの更新プログラムとプラットフォーム更新プログラムからダウンロードされます。 (既定では、Windows Server Update Service または Microsoft Update サービスから更新プログラムを適用できないのは、連続する 7 日間です)。 ただし、保護が最新でないとして報告されるまでの日数を設定できます。

2019 年 10 月 21 日 (月曜日) から、セキュリティ インテリジェンスの更新プログラムとプラットフォームの更新プログラムは、SHA-2 のみが署名されます。 最新のセキュリティ インテリジェンス更新プログラムとプラットフォーム更新プログラムを取得するには、SHA-2 をサポートするようにデバイスを更新する必要があります。 詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。

各ソースには、次の表に示すように、更新プログラムを発行する頻度に加えて、ネットワークの構成方法に依存する一般的なシナリオがあります。

Location シナリオ例
Windows Server Update Service Windows Server Update Service を使用して、ネットワークの更新プログラムを管理しています。
Microsoft Update エンドポイントを Microsoft Update に直接接続する必要があります。 これは、エンタープライズ ネットワークに不定期に接続するエンドポイントや、Windows Server Update Service を使用して更新プログラムを管理しない場合に役立ちます。
ファイル共有 インターネットに接続されていないデバイス (VM など) があります。 インターネットに接続された VM ホストを使用して、VM が更新プログラムを取得できるネットワーク共有に更新プログラムをダウンロードできます。 仮想デスクトップ インフラストラクチャ (VDI) 環境でファイル共有を使用する方法については、「VDI 展開ガイド」を参照してください。
Microsoft Configuration Manager Microsoft Configuration Managerを使用してエンドポイントを更新しています。
Microsoft Defender ウイルス対策およびその他の Microsoft マルウェア対策 (旧称 MMPC) のセキュリティ インテリジェンス更新プログラムとプラットフォーム更新プログラム SHA-2 をサポートするようにデバイスが更新されている必要があります。 Microsoft Defenderウイルス対策セキュリティ インテリジェンスとプラットフォーム更新プログラムはWindows Updateを通じて配信され、2019 年 10 月 21 日月曜日からセキュリティ インテリジェンスの更新プログラムとプラットフォーム更新プログラムは、SHA-2 のみが署名されます。
最近の感染が原因で最新の保護更新プログラムをダウンロードするか、VDI 展開の強力な基本イメージをプロビジョニングするのに役立ちます。 このオプションは通常、プライマリ ソースではなく、最終的なフォールバック ソースとしてのみ使用する必要があります。 これは、指定された日数の間、Windows Server Update Service または Microsoft Update から更新プログラムをダウンロードできない場合にのみ使用されます。

更新プログラムのソースを使用する順序は、グループ ポリシー、Microsoft Endpoint Configuration Manager、PowerShell コマンドレット、WMI で管理できます。

重要

Windows Server Update Service をダウンロード場所として設定する場合は、場所の指定に使用する管理ツールに関係なく、更新プログラムを承認する必要があります。 Windows Server Update Service を使用して自動承認ルールを設定できます。これは、更新プログラムが少なくとも 1 日に 1 回届く場合などに役立ちます。 詳細については、「スタンドアロンの Windows Server Update Service でエンドポイント保護更新プログラムを同期する」を参照してください。

この記事の手順では、最初に順序を設定する方法と、次に [ファイル共有] オプションを有効にした場合の設定方法について説明します。

グループ ポリシーを使用して更新プログラムの場所を管理する

  1. グループ ポリシーの管理マシンで、グループ ポリシーの管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。

  2. グループ ポリシー管理エディターで、[コンピューターの構成] に移動します。

  3. [ポリシー] をクリックし、[管理用テンプレート] をクリックします。

  4. ツリーを Windows コンポーネント>>Windows Defender Signature 更新プログラムに展開し、次の設定を構成します。

    1. [セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する] 設定をダブルクリックし、オプションを [有効] に設定します。

    2. 次のスクリーンショットに示すように、ソースの順序を 1 つのパイプで区切って入力します (例: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC)。

      ソースの順序を示すグループ ポリシー設定

    3. [OK] をクリックします。 これにより、保護更新プログラムのソースの順序が設定されます。

    4. [セキュリティ インテリジェンス更新プログラムをダウンロードするためのファイル共有を定義する] 設定をダブルクリックし、オプションを [有効] に設定します。

    5. ファイル共有のソースを指定します。 複数のソースがある場合は、使用する順序で各ソースを 1 つのパイプで区切って入力します。 パスを示すには、標準の UNC 表記を使用します (例: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name)。 パスを入力しない場合、VM が更新プログラムをダウンロードするときに、このソースはスキップされます。

    6. [OK] をクリックします。 これにより、[... ソースの順序を定義する] グループ ポリシー設定に、ソースが参照される場合のファイル共有の順序が設定されます。

注:

Windows 10バージョン 1703 から 1809 までの場合、ポリシー パスは Windows コンポーネント > Microsoft Defenderウイルス対策>署名更新 Windows 10バージョン 1903 の場合、ポリシー パスは Windows コンポーネント > Microsoft Defenderウイルス対策>セキュリティですインテリジェンス 更新

Configuration Manager を使用して更新プログラムの場所を管理する

Microsoft Configuration Manager (現在のブランチ) の構成の詳細については、「Endpoint Protection のセキュリティ インテリジェンス 更新の構成」を参照してください。

PowerShell コマンドレットを使用して更新プログラムの場所を管理する

更新の順序を設定するには、次の PowerShell コマンドレットを使用します。

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

詳細については、次の記事を参照してください。

Windows Management Instrumentation (WMI) を使用して更新プログラムの場所を管理する

次のプロパティには、MSFT_MpPreference クラスの Set メソッドを使用します。

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

詳細については、次の記事を参照してください。

モバイル デバイス管理 (MDM) を使用して更新プログラムの場所を管理する

MDM の構成に関する詳細については、「ポリシー CSP - Defender/SignatureUpdateFallbackOrder 」を参照してください。

サードパーティ ベンダーを使用している場合

この記事では、Microsoft Defender ウイルス対策の更新プログラムを構成および管理する方法について説明します。 ただし、サードパーティ ベンダーを使用してこれらのタスクを実行することもできます。

たとえば、Contoso が Fabrikam を採用して、Microsoft Defender ウイルス対策を含むセキュリティ ソリューションを管理したとします。 Fabrikam は通常、Windows Management InstrumentationPowerShell コマンドレット、または Windows コマンドラインを使用してパッチと更新プログラムを展開します。

注:

Microsoft では、Microsoft Defender ウイルス対策を管理するためのサードパーティ ソリューションをテストしません。

セキュリティ インテリジェンスとプラットフォーム更新プログラム用の UNC 共有を作成する

スケジュールされたタスクを使用して、MMPC サイトからセキュリティ インテリジェンスとプラットフォームの更新プログラムをダウンロードするようにネットワーク ファイル共有 (UNC/マップされたドライブ) を設定します。

  1. 共有をプロビジョニングして更新プログラムをダウンロードするシステムで、スクリプトを保存するフォルダーを作成します。

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. 署名の更新を保存するフォルダーを作成します。

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. PowerShell スクリプトを www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4 からダウンロードします。

  4. [Manual Download] をクリックします。

  5. [Download the raw nupkg file] をクリックします。

  6. ファイルを抽出します。

  7. ファイル SignatureDownloadCustomTask.ps1 を、先ほど作成したフォルダー C:\Tool\PS-Scripts\ にコピーします。

  8. コマンド ラインを使用して、スケジュールされたタスクを設定します。

    注:

    更新プログラムには、完全とデルタの 2 種類があります。

    • x64 デルタの場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • x64 完全の場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • x86 デルタの場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • x86 完全の場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    注:

    スケジュールされたタスクが作成されると、タスク スケジューラの Microsoft\Windows\Windows Defender で確認できます。

  9. 各タスクを手動で実行し、次のフォルダーにデータ (mpam-d.exempam-fe.exenis_full.exe) が含まれていることを確認します (別の場所を選択した可能性があります)。

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    スケジュールされたタスクが失敗した場合は、次のコマンドを実行します。

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    注:

    問題は、実行ポリシーが原因である可能性があります。

  10. C:\Temp\TempSigs を指す共有を作成します (例: \\server\updates)。

    注:

    少なくとも、認証されたユーザーには "読み取り" アクセス権が必要です。 この要件は、ドメイン コンピューター、共有、NTFS (セキュリティ) にも適用されます。

  11. ポリシー内の共有場所を共有に設定します。

    注:

    パスに x64 (または x86) フォルダーを追加しないでください。 mpcmdrun.exe プロセスによって自動的に追加されます。

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。