今日の脅威の状況は、これまで以上に複雑になっています。 この新しい世界には、脅威の防止、検出、対応に対する新しいアプローチが必要です。 Microsoft Defenderウイルス対策は、Windows 11に組み込まれている他の多くの機能と共に最前線にあり、現在および新たな脅威から顧客を保護します。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen は、フィッシング、マルウェアの Web サイトとアプリケーション、および潜在的に悪意のあるファイルのダウンロードから保護します。
SmartScreen では、サイトに悪意があると考えられるかどうかを次のように判断します:
- アクセスした Web ページを分析して、疑わしい動作の兆候を見つけます。 ページが疑わしいと判断された場合は、注意を促す警告ページが表示されます
- アクセスしたサイトを、報告されているフィッシング詐欺サイトおよび悪意のあるソフトウェア サイトの動的な一覧と照合します。 一致するものが見つかると、SmartScreen はサイトが悪意のある可能性があることを警告します
SmartScreen は、ダウンロードしたアプリまたはアプリインストーラーが悪意のある可能性があるかどうかを判断します。
- ダウンロードしたファイルを、報告されている悪意のあるソフトウェア サイトおよび既知の安全でないプログラムの一覧と照合します。 一致するものが見つかると、SmartScreen はファイルが悪意のある可能性があることを警告します
- よく知られているファイルの一覧に対してダウンロードしたファイルを確認します。 ファイルが危険な種類であり、よく知られていない場合、SmartScreen は警告アラートを表示します
Windows 11での強化されたフィッシング保護により、SmartScreen は、どのアプリケーションまたはブラウザーが使用されているかに関係なく、危険な可能性のある場所に Microsoft 資格情報を入力するときにもユーザーに警告します。 IT は、Microsoft Intune[4]を通じて表示される通知をカスタマイズできます。 この保護は既定で監査モードで実行され、IT 管理者はポリシーの作成と適用に関する決定を完全に制御できます。
Windows 11には、これらの拡張機能が既に組み込まれており、有効になっているため、ユーザーはデバイスをオンにした時点からセキュリティが強化されています。
詳細情報
ネットワーク保護
Microsoft Defender Smartscreen は Microsoft Edge と連携しますが、サード パーティのブラウザーやプロセスでは、フィッシング詐欺、マルウェア Web サイト、悪意のある可能性のあるファイルのダウンロードから保護するネットワーク保護をWindows 11します。
Microsoft Defender for Endpointで Network Protection を使用する場合は、侵害の兆候を使用して、特定の URL や IP アドレスをブロックできます。 また、Microsoft Defender for Cloud Appsと統合して、organization内の未処理の Web アプリをブロックします。 Microsoft Defender for Endpointの Web コンテンツ フィルタリングを使用して、カテゴリに基づいて Web サイトへのアクセスを許可またはブロックします。
詳細情報
改ざん防止
ランサムウェアなどの攻撃は、ウイルス対策保護などのセキュリティ機能を無効にしようとします。 不適切なアクターは、セキュリティ機能を無効にして、ユーザーのデータへのアクセスを容易にしたり、マルウェアをインストールしたり、ブロックされることを恐れずにユーザーのデータ、ID、デバイスを悪用したりします。 改ざん防止は、このようなアクティビティを防ぐのに役立ちます。
改ざん防止により、マルウェアは次のようなアクションを実行できなくなります。
- リアルタイム保護を無効にする
- 動作監視をオフにする
- ダウンロードしたすべてのファイルと添付ファイルをスキャンする (IOfficeAntivirus (IOAV)) などのウイルス対策保護を無効にする
- クラウド配信の保護を無効にする
- セキュリティ インテリジェンス更新プログラムの削除
- 検出された脅威に対する自動アクションの無効化
- アーカイブされたファイルの無効化
- 除外の変更
- Windows セキュリティ アプリでの通知の無効化
詳細情報
Microsoft Defender ウイルス対策
Microsoft Defenderウイルス対策は、Windows 10とWindows 11のすべてのバージョンに含まれる次世代の保護ソリューションです。 Windows を有効にした時点から、Microsoft Defender ウイルス対策はマルウェア、ウイルス、およびセキュリティの脅威を継続的に監視します。 リアルタイム保護に加えて、デバイスを安全に保ち、脅威から保護するために、更新プログラムが自動的にダウンロードされます。 別のウイルス対策アプリをインストールして有効にしている場合は、Microsoft Defenderウイルス対策が自動的にオフになります。 他のアプリをアンインストールすると、Microsoft Defenderウイルス対策が有効になります。
Microsoft Defenderウイルス対策には、リアルタイム、動作ベース、ヒューリスティックウイルス対策の保護が含まれています。 この常時オン コンテンツ スキャン、ファイルとプロセスの動作の監視、およびその他のヒューリスティックの組み合わせにより、セキュリティ上の脅威が効果的に防止されます。 Microsoft Defender ウイルス対策は、マルウェアと脅威を継続的にスキャンし、望ましくない可能性のあるアプリケーション (PUA) を検出してブロックします。アプリケーションは、デバイスに悪影響を与える可能性があるが、マルウェアとは見なされません。
Microsoft Defenderウイルス対策の常時オン保護は、クラウド提供の保護と統合されており、新しい脅威や新たに生じる脅威のほぼ瞬時の検出とブロックを確実に行うことができます。 高度なメモリ スキャン、動作監視、機械学習など、ローカルとクラウドで提供されるテクノロジの組み合わせにより、家庭や職場で受賞歴のある保護が提供されます。
詳細情報
攻撃面の減少ルール
攻撃面の縮小ルールは、デバイスやネットワークを侵害するために悪用されることが多いアクションやアプリケーションやスクリプトを防ぐのに役立ちます。 実行可能ファイルやスクリプトを実行できるタイミングと方法を制御することで、攻撃対象領域を減らすことで、organizationの全体的な脆弱性を軽減できます。 管理者は、特定の攻撃面の縮小ルールを構成して、次のような特定の動作をブロックできます。
- ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトの起動
- 難読化されたスクリプトまたはその他の疑わしいスクリプトの実行
- 通常の毎日の作業中にアプリが通常開始しない動作の実行
たとえば、攻撃者が USB ドライブから署名されていないスクリプトを実行しようとしたり、Office ドキュメント内のマクロで Win32 API を直接呼び出そうとしたりする可能性があります。 攻撃面の縮小ルールは、このような危険な動作を制約し、デバイスの防御姿勢を向上させることができます。 包括的な保護を実現するには、ハードウェア ベースの分離を有効にする手順に従います
詳細情報
フォルダー アクセスの制御
特定のフォルダー内の貴重な情報を保護するには、それらに対するアプリ アクセスを管理します。 信頼されたアプリのみが保護されたフォルダーにアクセスできます。これは、制御されたフォルダー アクセスが構成されている場合に指定されます。 通常、ドキュメント、画像、ダウンロードに使用されるフォルダーなど、一般的に使用されるフォルダーは、制御されたフォルダーの一覧に含まれます。
フォルダーアクセスの制御は、信頼されたアプリの一覧で機能します。 信頼されたソフトウェアの一覧に含まれているアプリは、期待どおりに動作します。 信頼された一覧に含まれていないアプリは、保護されたフォルダー内のファイルに変更を加えることはできません。
フォルダー アクセスの制御は、悪意のあるアプリやランサムウェアなどの脅威からユーザーの貴重なデータを保護するのに役立ちます。
詳細情報
Exploit Protection
Exploit Protection は、オペレーティング システムのプロセスとアプリにいくつかの悪用軽減手法を自動的に適用します。 Exploit Protection は、一般的なアラート調査シナリオの一部として Exploit Protection イベントとブロックに関する詳細なレポートを組織に提供する、Microsoft Defender for Endpoint[4]で最適に機能します。 個々のデバイスで Exploit Protection を有効にしてから、ポリシー設定を使用して、構成 XML ファイルを複数のデバイスに同時に配布できます。
デバイスで軽減策が検出されると、通知がアクション センターに表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。 また、ルールを個別に有効にして、機能モニターの手法をカスタマイズすることもできます。
監査モードを使用して、Exploit Protection が有効になっている場合にorganizationにどのような影響を与えるかを評価できます。 また、安全なデプロイ プラクティス (SDP) を実行します。
Windows 11は、Exploit Protection の構成オプションを提供します。 Microsoft Intune[4] やグループ ポリシーなどのデバイス管理ソリューションを使用して、ユーザーがこれらの特定のオプションを変更できないようにすることができます。
詳細情報