Microsoft Defender ウイルス対策更新プログラムのソースを管理する

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows

ウイルス対策の保護を最新の状態に保つことが重要です。 Microsoft Defender ウイルス対策の保護更新プログラムを管理するための次の 2 つのコンポーネントがあります。

  • 更新プログラムがダウンロードされる場所。および
  • 更新プログラムをダウンロードして適用するタイミング

この記事では、更新プログラムをダウンロードする場所を指定する方法について説明します (この仕様はフォールバック順序とも呼ばれます)。 更新プログラムのしくみの概要と、更新プログラムのその他の側面 (更新プログラムのスケジュールなど) を構成する方法については、「Microsoft Defenderウイルス対策の更新プログラムを管理してベースラインを適用する」を参照してください。

重要

Microsoft Defenderウイルス対策セキュリティ インテリジェンスの更新プログラムとプラットフォーム更新プログラムは、Windows Updateを通じて配信され、2019 年 10 月 21 日 (月曜日) から開始され、すべてのセキュリティ インテリジェンス更新プログラムは SHA-2 専用で署名されています。 セキュリティ インテリジェンスを更新するには、SHA-2 をサポートするようにデバイスを更新する必要があります。 詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。

フォールバック順序

通常、プライマリ ソースから更新プログラムを個別にダウンロードし、その後、ネットワーク構成に基づいて優先度の高い順に他のソースをダウンロードするようにエンドポイントを構成します。 更新プログラムは、指定した順序でソースから取得されます。 現在のソースの更新プログラムが最新でない場合は、リスト内の次のソースが直ちに使用されます。

更新プログラムが発行されると、更新プログラムのサイズを最小限に抑えるためのいくつかのロジックが適用されます。 ほとんどの場合、デバイス上の最新の更新プログラムと現在インストールされている更新プログラム (差分のセットはデルタと呼ばれます) の違いのみがダウンロードされ、適用されます。 ただし、デルタのサイズは、次の 2 つの主な要因によって異なります。

  • デバイスの最後の更新からの経過時間。および
  • 更新プログラムのダウンロードと適用に使用されるソース。

エンドポイントの更新プログラムが古いほど、ダウンロードは大きくなります。 ただし、ダウンロード頻度も考慮する必要があります。 更新スケジュールの頻度が高いほど、ネットワークの使用量が増える一方で、スケジュールの頻度が低いほど、ダウンロードあたりのファイル サイズが大きくなる可能性があります。

エンドポイントが更新プログラムを取得する場所として指定できる場所は 5 つあります。

注:

  1. 内部定義更新サーバーをIntuneします。 SCCM/SUP を使用してMicrosoft Defender ウイルス対策の定義更新プログラムを取得し、ブロックされたクライアント デバイスでWindows Updateにアクセスする必要がある場合は、共同管理に移行し、エンドポイント保護ワークロードをオフロードしてIntuneできます。 Intuneで構成されているマルウェア対策ポリシーには、オンプレミスの WSUS を更新ソースとして使用するように設定できる "内部定義更新サーバー" オプションがあります。 この構成は、公式の WU サーバーからの更新プログラムが企業向けに承認されているかを制御するのに役立ち、また、公式の Windows Updates ネットワークへのネットワーク トラフィックをプロキシして保存するのにも役立ちます。

  2. ポリシーとレジストリには、以前の名前である Microsoft マルウェア プロテクション センター (MMPC) セキュリティ インテリジェンスとして表示される場合があります。

Microsoft Update では、最大限の保護を確保するために、迅速なリリースが可能になります。つまり、ダウンロードの頻度が低くなります。 Windows Server Update Service、Microsoft Endpoint Configuration Manager、Microsoft セキュリティ インテリジェンス更新プログラム、プラットフォーム更新プログラムソースでは、更新プログラムの頻度が低くなります。 したがって、差分が大きくなり、ダウンロードが大きくなる可能性があります。

プラットフォームの更新とエンジンの更新は、毎月リリースされます。 セキュリティ インテリジェンスの更新プログラムは 1 日に複数回配信されますが、このデルタ パッケージにはエンジンの更新プログラムは含まれません。 「ウイルス対策セキュリティ インテリジェンスと製品の更新プログラムMicrosoft Defender」を参照してください。

重要

Windows Server Update Service または Microsoft Update の後に Microsoft セキュリティ インテリジェンス ページ の更新プログラムをフォールバック ソースとして設定している場合、更新プログラムは、現在の更新プログラムが古いと見なされる場合にのみ、セキュリティ インテリジェンスの更新プログラムとプラットフォーム更新プログラムからダウンロードされます。 (既定では、Windows Server Update Service または Microsoft Update サービスから更新プログラムを適用できないのは、連続する 7 日間です)。 ただし、保護が最新でないとして報告されるまでの日数を設定できます。

2019 年 10 月 21 日 (月曜日) から、セキュリティ インテリジェンスの更新プログラムとプラットフォームの更新プログラムは SHA-2 専用で署名されています。 最新のセキュリティ インテリジェンス更新プログラムとプラットフォーム更新プログラムを取得するには、SHA-2 をサポートするようにデバイスを更新する必要があります。 詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。

各ソースには、次の表に示すように、更新プログラムを発行する頻度に加えて、ネットワークの構成方法に依存する一般的なシナリオがあります。

Location シナリオ例
Windows Server Update Service Windows Server Update Service を使用して、ネットワークの更新プログラムを管理しています。
Microsoft Update エンドポイントを Microsoft Update に直接接続する必要があります。 このオプションは、エンタープライズ ネットワークに不規則に接続するエンドポイントや、Windows Server Update Service を使用して更新プログラムを管理しない場合に便利です。
ファイル共有 インターネットに接続されていないデバイス (VM など) があります。 インターネットに接続された VM ホストを使用して、VM が更新プログラムを取得できるネットワーク共有に更新プログラムをダウンロードできます。 仮想デスクトップ インフラストラクチャ (VDI) 環境でファイル共有を使用する方法については、VDI 展開ガイド を参照してください。
Microsoft 構成マネージャー Microsoft Configuration Managerを使用してエンドポイントを更新しています。
Microsoft Defender ウイルス対策およびその他の Microsoft マルウェア対策 (旧称 MMPC) のセキュリティ インテリジェンス更新プログラムとプラットフォーム更新プログラム SHA-2 をサポートするようにデバイスが更新されている必要があります。 Microsoft Defenderウイルス対策セキュリティ インテリジェンスとプラットフォーム更新プログラムはWindows Updateを通じて配信され、2019 年 10 月 21 日月曜日からセキュリティ インテリジェンスの更新プログラムとプラットフォーム更新プログラムは SHA-2 専用で署名されています。
最近の感染が原因で最新の保護更新プログラムをダウンロードするか、VDI 展開の強力な基本イメージをプロビジョニングするのに役立ちます。 このオプションは通常、プライマリ ソースではなく、最終的なフォールバック ソースとしてのみ使用する必要があります。 これは、Windows Server Update Service または Microsoft Update から 指定した日数だけ更新プログラムをダウンロードできない場合にのみ使用されます。

更新プログラムのソースを使用する順序は、グループ ポリシー、Microsoft Endpoint Configuration Manager、PowerShell コマンドレット、WMI で管理できます。

重要

Windows Server Update Service をダウンロード場所として設定する場合は、場所の指定に使用する管理ツールに関係なく、更新プログラムを承認する必要があります。 Windows Server Update Service を使用して自動承認ルールを設定できます。これは、更新プログラムが少なくとも 1 日に 1 回届く場合などに役立ちます。 詳細については、「スタンドアロンの Windows Server Update Service でエンドポイント保護更新プログラムを同期する」を参照してください。

この記事の手順では、最初に順序を設定する方法と、次に [ファイル共有] オプションを有効にした場合の設定方法について説明します。

グループ ポリシーを使用して更新プログラムの場所を管理する

  1. グループ ポリシー管理マシンで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. [グループ ポリシー管理] エディターで、[コンピューターの構成] に移動します。

  3. [ポリシー]、[管理用テンプレート] の順に選択します

  4. ツリーを Windows コンポーネント>>Windows Defender Signature 更新プログラムに展開し、次の設定を構成します。

    1. [ セキュリティ インテリジェンスの更新プログラムをダウンロードするためのソースの順序を定義する ] 設定を編集します。 オプションを [有効] に設定します。

    2. 次のスクリーンショットに示すように、ソースの順序を 1 つのパイプで区切って指定します InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC

      ソースの順序を示すグループ ポリシー設定

    3. [OK] を選択します。 このアクションは、保護更新ソースの順序を設定します。

    4. [ セキュリティ インテリジェンスの更新プログラムをダウンロードするためのファイル共有を定義する ] 設定を編集し、オプションを [有効] に設定します。

    5. ファイル共有のソースを指定します。 複数のソースがある場合は、使用する順序で各ソースを 1 つのパイプで区切って指定します。 パスを示すには、標準の UNC 表記を使用します (例: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name)。 パスを入力しない場合、VM が更新プログラムをダウンロードすると、このソースはスキップされます。

    6. [OK] を選択します。 このアクションは、[ソースの順序を定義する]でソースが参照されている場合のファイル共有 の順序 を設定します。.. グループ ポリシー設定。

注:

Windows 10バージョン 1703 から 1809 までの場合、ポリシー パスは Windows コンポーネント > Microsoft Defenderウイルス対策>署名Updates Windows 10 バージョン 1903 の場合、ポリシー パスは Windows コンポーネント > Microsoft Defender ウイルス対策>セキュリティ インテリジェンス Updates

Configuration Manager を使用して更新プログラムの場所を管理する

Microsoft Configuration Manager (現在のブランチ) の構成の詳細については、「Endpoint Protection のセキュリティ インテリジェンス Updatesの構成」を参照してください。

PowerShell コマンドレットを使用して更新プログラムの場所を管理する

更新の順序を設定するには、次の PowerShell コマンドレットを使用します。

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

詳細については、次の記事を参照してください。

Windows Management Instrumentation (WMI) を使用して更新プログラムの場所を管理する

次のプロパティには、MSFT_MpPreference クラスの Set メソッドを使用します。

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

詳細については、次の記事を参照してください。

モバイル デバイス管理 (MDM) を使用して更新プログラムの場所を管理する

MDM の構成に関する詳細については、「ポリシー CSP - Defender/SignatureUpdateFallbackOrder 」を参照してください。

サードパーティ ベンダーを使用している場合

この記事では、Microsoft Defender ウイルス対策の更新プログラムを構成および管理する方法について説明します。 ただし、サードパーティベンダーを雇ってこれらのタスクを実行できます。

たとえば、Contoso が Fabrikam を採用して、Microsoft Defender ウイルス対策を含むセキュリティ ソリューションを管理したとします。 Fabrikam は通常、Windows Management InstrumentationPowerShell コマンドレット、または Windows コマンドラインを使用してパッチと更新プログラムを展開します。

注:

Microsoft では、Microsoft Defender ウイルス対策を管理するためのサードパーティ ソリューションをテストしません。

セキュリティ インテリジェンスとプラットフォーム更新プログラム用の UNC 共有を作成する

スケジュールされたタスクを使用して、MMPC サイトからセキュリティ インテリジェンスとプラットフォームの更新プログラムをダウンロードするようにネットワーク ファイル共有 (UNC/マップされたドライブ) を設定します。

  1. 共有をプロビジョニングして更新プログラムをダウンロードするシステムで、スクリプトのフォルダーを作成します。

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. 署名の更新用のフォルダーを作成します。

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. PowerShell スクリプトを www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4 からダウンロードします。

  4. [ 手動ダウンロード] を選択します

  5. [ Raw nupkg ファイルのダウンロード] を選択します

  6. ファイルを抽出します。

  7. 前に作成 C:\Tool\PS-Scripts\ したフォルダー () にファイルSignatureDownloadCustomTask.ps1をコピーします。

  8. コマンド ラインを使用して、スケジュールされたタスクを設定します。

    注:

    更新プログラムには、完全とデルタの 2 種類があります。

    • x64 デルタの場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • x64 完全の場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • x86 デルタの場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • x86 完全の場合:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    注:

    スケジュールされたタスクが作成されると、タスク スケジューラの Microsoft\Windows\Windows Defender で確認できます。

  9. 各タスクを手動で実行し、次のフォルダーにデータ (mpam-d.exempam-fe.exenis_full.exe) が含まれていることを確認します (別の場所を選択した可能性があります)。

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    スケジュールされたタスクが失敗した場合は、次のコマンドを実行します。

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

  10. を指す共有を作成します C:\Temp\TempSigs (例: \\server\updates)。

    注:

    少なくとも、認証されたユーザーには "読み取り" アクセス権が必要です。 この要件は、ドメイン コンピューター、共有、NTFS (セキュリティ) にも適用されます。

  11. ポリシー内の共有場所を共有に設定します。

    注:

    パスに x64 (または x86) フォルダーを追加しないでください。 mpcmdrun.exe プロセスによって自動的に追加されます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。