前回公開した
BitLocker
BITS
Bluetooth
の続きでDefenderになります。
本記事のポリシーは 2022/3/1 時点での情報となります。
前提
今回の記事ではWindows 10向けの [構成プロファイル] - [設定カタログ] の中で以下のカテゴリーを一覧にまとめてみました。
Defender
Defenderのポリシーは多いので今回は単独になります。
Defender
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| Defender | IOAV 保護を許可する | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender の IOAVP 保護機能を許可または禁止します。 |
| PUA 保護 | 〇 | 〇 | 〇 | 〇 | 〇 | 望ましくない可能性のあるアプリケーション (PUA) の検出レベルを指定します。望ましくない可能性のあるソフトウェアがダウンロード中であったり、ご使用のコンピューターにインストールが試みられたりしている場合、Windows Defender によってアラートが出されます。 | |
| アーカイブのスキャンを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | アーカイブのスキャンを許可または禁止します。 | |
| キャッチアップ クイック スキャンを無効にする | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定を使用すると、スケジュールされたクイック スキャンのためのキャッチアップ スキャンを構成できます。キャッチアップ スキャンは、スケジュールされた定期スキャンが実行されなかった場合に開始されるスキャンです。通常、これらのスケジュールされたスキャンが実行されないのは、スケジュールされた時刻にコンピューターの電源が入っていないことが原因です。この設定を有効にする場合、スケジュールされたクイック スキャンのためのキャッチアップ スキャンがオンになります。スケジュールされたスキャンの際に 2 回連続してコンピューターがオフラインだった場合、次に誰かがコンピューターにログオンしたときにキャッチアップ スキャンが開始されます。スケジュールされたスキャンが構成されていない場合、キャッチアップ スキャンは実行されません。この設定を無効にするか構成しない場合、スケジュールされたクイック スキャンのためのキャッチアップ スキャンはオフになります。サポートされている値: 0 - 無効 1 - 有効 (既定値) OMA-URI パス: ./Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan | |
| キャッチアップ フル スキャンを無効にする | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定を使用すると、スケジュールされたフルスキャンのためのキャッチアップ スキャンを構成できます。キャッチアップ スキャンは、スケジュールされた定期スキャンが実行されなかった場合に開始されるスキャンです。通常、これらのスケジュールされたスキャンが実行されないのは、スケジュールされた時刻にコンピューターの電源が入っていないことが原因です。この設定を無効にするか構成しない場合、スケジュールされたフルスキャンのためのキャッチアップ スキャンがオンになります。スケジュールされたスキャンの際に 2 回連続してコンピューターがオフラインだった場合、次に誰かがコンピューターにログオンしたときにキャッチアップ スキャンが開始されます。スケジュールされたスキャンが構成されていない場合、キャッチアップ スキャンは実行されません。この設定を有効にする場合、スケジュールされたフルスキャンのためのキャッチアップ スキャンはオフになります。サポートされている値: 0 - 無効 1 - 有効 (既定値) OMA-URI パス: ./Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan | |
| クイック スキャンの実行時刻のスケジュール | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender クイック スキャンを実行する時刻を選択します。注: スキャンの種類は、Defender/ScanParameter 設定で選択されているスキャンの種類によって異なります。たとえば、値 0=0:00AM、値 60=1:00AM、値 120=2:00 と続き、最大値は 1380=11:00PM です。既定値は 120 です | |
| クラウド ブロック レベル | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定では、不審なファイルのブロック時やスキャン時に、Windows Defender ウイルス対策をどれくらい強力に機能させるかを決定します。値の型は整数です。この設定がオンになっている場合、ブロックとスキャンの対象となる不審なファイルを特定する際に Windows Defender ウイルス対策がより積極的に実行されます。オフにした場合は積極性が低くなるため、ブロックとスキャンの頻度が少なくなります。サポートされている特定の値の詳細については、Windows Defender ウイルス対策のドキュメント サイトを参照してください。注: この機能を有効にするには、Microsoft MAPS への参加設定を有効にする必要があります。 | |
| クラウド保護を許可する | 〇 | 〇 | 〇 | 〇 | 〇 | PC を適切に保護するために、Windows Defender は検出したすべての問題についての情報を Microsoft に送信します。Microsoft はその情報を分析し、お客様や他のユーザーに影響を与える問題を詳しく調べ、改良されたソリューションを提供します。 | |
| クラウド延長タイムアウト | 〇 | 〇 | 〇 | 〇 | 〇 | この機能を使用すると、Windows Defender ウイルス対策で不審なファイルを最大 60 秒間ブロックし、それをクラウドでスキャンして、安全を確保することができます。値の型は整数で、範囲は 0 - 50 です。クラウド チェックの通常のタイムアウトは 10 秒間です。クラウド チェックの拡張機能を有効にするには、延長時間を秒単位で指定します (追加できる秒数は最大 50 秒です)。たとえば、希望のタイムアウトが 60 秒である場合、この設定で 50 秒と指定すると、クラウド チェックの拡張機能が有効になり、合計時間が 60 秒になります。注: この機能は、他の 3 つの MAPS 設定 ('事前ブロック' 機能を構成する、Microsoft MAPS に参加する、詳細な分析が必要な場合はファイルのサンプルを送信する) に依存しており、これらすべてを有効にする必要があります。 | |
| クリーニングしたマルウェアを保持する日数 | 〇 | 〇 | 〇 | 〇 | 〇 | 検疫項目がシステムに保存される期間 (日数)。既定値は 0 で、検疫中の項目を保持し、自動的に削除しません。 | |
| サンプル送信の同意 | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender でデータを送信するためのユーザー同意レベルを確認します。必要な同意が既に許可されている場合、Windows Defender によりその送信が行われます。そうでない場合 (かつユーザーが今後確認しないよう指定した場合)、データを送信する前にユーザーの承認を求める UI が表示されます (Defender/AllowCloudProtection が許可されている場合)。 | |
| スキャン パラメーター | 〇 | 〇 | 〇 | 〇 | 〇 | クイック スキャンとフル スキャンのどちらを実行するかを選択します。 | |
| スキャンの実行日をスケジュールする | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender スキャンを実行する日を選択します。注: スキャンの種類は、Defender/ScanParameter 設定で選択されているスキャンの種類によって異なります。 | |
| スキャンの実行時刻をスケジュールする | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender スキャンを実行する時刻を選択します。注: スキャンの種類は、Defender/ScanParameter 設定で選択されているスキャンの種類によって異なります。たとえば、値 0=0:00AM、値 60=1:00AM、値 120=2:00 と続き、最大値は 1380=11:00PM です。既定値は 120 です。 | |
| スキャンを実行する前に署名を確認する | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定を使用すると、スキャンを実行する前に新しいウイルスとスパイウェアの定義の確認を行うかどうかを管理できます。この設定は、スケジュールされたスキャンとコマンド ライン mpcmdrun - SigUpdate の両方に適用されますが、ユーザー インターフェイスから手動で開始したスキャンには影響しません。この設定を有効にする場合、スキャンを実行する前に新しい定義の確認が行われます。この設定を無効にするか構成しない場合、既存の定義を使用してスキャンが開始します。サポートされている値: 0 (既定値) - 無効 1 - 有効 OMA-URI パス: /Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan | |
| スクリプトのスキャンを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender のスクリプトのスキャン機能を許可または禁止します。 | |
| セキュリティ インテリジェンスの場所 | 〇 | 〇 | 〇 | 〇 | 〇 | 説明なし | |
| ネットワーク ファイルのスキャンを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | ネットワーク ファイルのスキャンを許可または禁止します。 | |
| ネットワーク保護を有効にする | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシーを使用すると、ネットワーク保護を有効 (ブロックまたは監査) または無効にすることができます。ネットワーク保護は、アプリを使用する従業員がインターネット上のフィッシング詐欺、悪用をホストするサイト、悪質なコンテンツにアクセスするのを防ぎます。これは、サード パーティのブラウザーが危険なサイトに接続するのも防ぎます。値の型は整数です。この設定を有効にすると、ネットワーク保護が有効になり、従業員が無効にすることはできません。動作は次のオプションで制御できます。[ブロック] と [監査]。このポリシーを [ブロック] オプションで有効にする場合、ユーザーやアプリは危険なドメインへの接続をブロックされます。Windows Defender セキュリティ センターでこのアクティビティを確認することができます。このポリシーを [監査] オプションで有効にする場合、ユーザーやアプリが危険なドメインへの接続をブロックされることはありません。ただし、Windows Defender セキュリティ センターでこのアクティビティを確認することはできます。このポリシーを無効にすると、ユーザーやアプリが危険なドメインへの接続をブロックされることはありません。Windows Defender セキュリティ センターでネットワーク アクティビティを確認することはできません。このポリシーを構成しない場合、ネットワークのブロックは既定で無効になります。 | |
| フォルダー アクセスの制御によって許可されているアプリケーション | 〇 | 〇 | 〇 | 〇 | 〇 | 以前の名前は GuardedFoldersAllowedApplications でしたが、ControlledFolderAccessAllowedApplications に変更されました。このポリシー設定を使用すると、ユーザー指定のアプリケーションでフォルダー アクセスの制御機能を使用できます。許可されるアプリケーションを追加すると、フォルダー アクセスの制御機能によって、そのアプリケーションが [マイ ドキュメント] などの特定のフォルダー内のコンテンツを変更または削除することが許可されます。ほとんどの場合、エントリを追加する必要はありません。信頼できるアプリケーションが Windows Defender ウイルス対策によって自動的に検出されて、動的に追加されます。値の型は文字列です。部分文字列の区切り記号として | をご使用ください。 | |
| フォルダー アクセスの制御により保護されているフォルダー | 〇 | 〇 | 〇 | 〇 | 〇 | 以前の名前は GuardedFoldersList でしたが、ControlledFolderAccessProtectedFolders に変更されました。このポリシー設定を使用すると、ユーザー指定のフォルダーの場所を、フォルダー アクセスの制御機能に追加できます。これらのフォルダーによって、[マイ ドキュメント] や [マイ ピクチャ] などのシステム定義のフォルダーが補完されます。システム フォルダーの一覧がユーザー インターフェイスに表示され、これを変更することはできません。値の型は文字列です。部分文字列の区切り記号として | をご使用ください。 | |
| フォルダー アクセスの制御を有効にする | 〇 | 〇 | 〇 | 〇 | 〇 | 以前の名前は EnableGuardMyFolders でしたが、EnableControlledFolderAccess に変更されました。このポリシーを使用すると、フォルダー アクセスの制御機能の状態 (オン、オフ、監査) を設定できます。フォルダー アクセスの制御機能により、[マイ ドキュメント] などの特定のフォルダーへの変更および削除のアクセス許可が、信頼できないアプリケーションから削除されます。値の型は整数で、範囲は 0 - 2 です。 | |
| マップされたネットワーク ドライブのフル スキャンを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | マップされたネットワーク ドライブのフル スキャンを許可または禁止します。 | |
| メールのスキャンを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | 電子メールのスキャンを許可または禁止します。 | |
| ユーザー UI アクセスを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender UI へのユーザー アクセスを許可または禁止します。これを禁止すると、Windows Defender のすべての通知も抑制されます。 | |
| リアル タイム スキャンの方向 | 〇 | 〇 | 〇 | 〇 | 〇 | どのファイルのセットを監視するかを制御します。注: AllowOnAccessProtection が許可されていない場合は、この構成を使用して特定のファイルを監視できます。 | |
| リアルタイム監視を許可する | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender のリアルタイム監視機能を許可または禁止します。 | |
| リムーバブル ドライブのスキャンのフル スキャンを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | リムーバブル ドライブのフル スキャンを許可または禁止します。この設定にかかわらず、クイック スキャン中にリムーバブル ドライブがスキャンされる場合があります。 | |
| 低 CPU 優先度を有効にする | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定を使用すると、スケジュールされたスキャンのために低い CPU 優先度を有効または無効にすることができます。この設定を有効にする場合、スケジュールされたスキャン時に低い CPU 優先度が使用されます。この設定を無効にするか構成しない場合、スケジュールされたスキャンのための CPU 優先度は変更されません。サポートされている値: 0 - 無効 (既定値) 1 - 有効 | |
| 侵入防止システムを許可する | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender の侵入防止機能を許可または禁止します。 | |
| 動作監視を許可する | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender の動作監視機能を許可または禁止します。 | |
| 定義更新のフォールバック順序 | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定を使用すると、アクセスする定義の更新ソースの順番を定義できます。この設定の値は、定義の更新ソースを順に列挙する、パイプで区切られた文字列として入力する必要があります。使用可能な値は次のとおりです。InternalDefinitionUpdateServer MicrosoftUpdateServer MMPC FileShares。例: InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC。この設定を有効にする場合、定義の更新ソースへのアクセスが指定された順序で行われます。指定されたあるソースから定義更新のダウンロードが成功すると、リスト内の残りのソースへのアクセスは行われません。この設定を無効にするか構成しない場合、定義の更新ソースへのアクセスが既定の順序で行われます。OMA-URI パス: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder | |
| 定義更新ファイル共有ソース | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定を使用すると、定義の更新をダウンロードするための UNC ファイル共有ソースを構成できます。ソースは、指定された順序でアクセスされます。この設定の値は、定義の更新ソースを列挙するパイプ区切りの文字列として入力する必要があります。例: \unc1\Signatures | \unc2\Signatures。既定ではリストは空です。この設定を有効にする場合、定義の更新のため、指定されたソースへのアクセスが行われます。指定されたあるソースから定義の更新のダウンロードが成功すると、リスト内の残りのソースへのアクセスは行われません。この設定を無効にするか構成しない場合、このリストは既定で空のままになり、ソースへのアクセスは行われません。OMA-URI パス: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources | |
| 定義更新間隔 | 〇 | 〇 | 〇 | 〇 | 〇 | 署名の確認に使用される間隔 (時間単位) を指定します。したがって、ScheduleDay と ScheduleTime を使用する代わりに、新しい署名の確認は間隔に応じて設定されます。値が 0 の場合、新しい署名は確認されません。値が 1 の場合、1 時間ごとに確認されます。値が 2 の場合、2 時間ごとに確認されます。以下同様で、最大値の 24 の場合、1 日ごとに確認されます。既定値は 8 です。OMA-URI パス: . /Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval | |
| 常時保護を許可する | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender のアクセス時保護機能を許可または禁止します。 | |
| 平均 CPU 占有率 | 〇 | 〇 | 〇 | 〇 | 〇 | Windows Defender スキャンの平均 CPU 占有率を表します (パーセント)。既定値は 50 です。 | |
| Adobe Reader による子プロセスの作成をブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、Adobe Reader が追加のプロセスを作成できないようにすることにより、攻撃を防止します。 | |
| JavaScript または VB スクリプトのダウンロードされた実行可能なコンテンツの起動をブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールでは、ダウンロードされた悪意のあるおそれがあるコンテンツをスクリプトによって起動するのを防止します。JavaScript または VBScript で記述されたマルウェアは、多くの場合、インターネットから他のマルウェアを取得して起動するダウンローダーとして動作します。 | |
| Office の通信アプリケーションによる子プロセスの作成を防止する | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、正当な Outlook の機能を許可しながら、Outlook による子プロセスの作成を防止します。 | |
| Office アプリケーションによる他のプロセスへのコード挿入をブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールでは、Office アプリから他のプロセスへのコード インジェクションの試行を防止します。 | |
| Office アプリケーションによる実行可能なコンテンツの作成をブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、悪意のあるコードがディスクに書き込まれないようにすることにより、Word、Excel、PowerPoint などの Office アプリが悪意のある可能性がある実行可能なコンテンツを作成するのを防止します。 | |
| Office マクロからの Win32 API 呼び出しをブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、VBA マクロが Win32 API を呼び出すのを防止します。 | |
| PSExec および WMI コマンドから発生するプロセスの作成をブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールでは、PsExec および WMI によって作成されたプロセスの実行を防止します。PsExec と WMI を使用すると両方ともリモートでコードを実行できるため、この機能がコマンドと制御の目的でマルウェアによって悪用されたり、組織のネットワーク全体に感染を広めたりする危険があります。 | |
| USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールを使用すると、管理者は、署名されていないまたは信頼されていない実行可能ファイルが、SD カードを含む USB リムーバブル ドライブから実行されるのを防止できます。ブロックされているファイルの種類には次のものが含まれます: 実行可能ファイル (.exe、.dll、.scr など)、スクリプト ファイル (PowerShell の .ps、VisualBasic の .vbs、JavaScript の .js ファイルなど) | |
| Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用を防止する | 〇 | 〇 | 〇 | 〇 | 〇 | このルールでは、ローカル セキュリティ機関サブシステム サービス (LSASS) をロックすることにより、資格情報の盗用防止を支援します。 | |
| WMI イベント サブスクリプションを使用した永続化を防止する | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、マルウェアが WMI を悪用してデバイスでの永続化を実現するのを防止します。ファイルレスの脅威は、さまざまな方法を使用して非表示の状態を維持し、ファイル システムに表示されないようにし、定期的な実行制御を取得します。一部の脅威では、WMI リポジトリとイベント モデルを悪用して、非表示の状態を維持する可能性があります。 | |
| すべての Office アプリケーションによる子プロセスの作成をブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールでは、Office アプリによる子プロセスの作成を防止します。これには、Word、Excel、PowerPoint、OneNote、Access が含まれます。 | |
| ランサムウェアに対して高度な保護を使用する | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、ランサムウェアに対する追加の保護レイヤーを提供します。システムに入れられる実行可能ファイルをスキャンして、信頼できるかどうかを確認します。ファイルがランサムウェアに類似している場合、それらのファイルが信頼リストまたは除外リストに含まれていない限り、このルールによって実行がブロックされます。 | |
| 悪用された脆弱な署名付きドライバーの不正利用をブロックする (デバイス) | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、脆弱な署名付きドライバーをアプリケーションがディスクに書き込むのを防ぎます。脆弱な署名付きドライバーは、カーネルにアクセスするという十分な利用価値を持つローカル アプリケーションによって悪用される可能性があります。脆弱な署名付きドライバーを使用すると、攻撃者はセキュリティ ソリューションを無効にしたり回避したりできるため、最終的にシステムが侵害されます。悪用された脆弱な署名付きドライバーの不正使用をブロックするルールでは、システム上に既に存在するドライバーの読み込みをブロックすることはできません。 | |
| 普及率、期間、または信頼リストの条件を満たしていない場合に実行可能ファイルが実行されないようにする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、次の種類のファイルが普及率、経過期間の条件を満たしていない場合、あるいは信頼リストまたは除外リストに含まれていない場合に、それらのファイルが起動されるのを防止します: 実行可能ファイル (.exe、.dll、.scr など)。 | |
| 難読化された可能性のあるスクリプトの実行を防止する | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、難読化されたスクリプト内の疑わしいプロパティを検出します。 | |
| 電子メール クライアントと Web メールの実行可能なコンテンツをブロックする | 〇 | 〇 | 〇 | 〇 | 〇 | このルールは、Microsoft Outlook アプリケーション内または Outlook.com や他の人気のある Web メール プロバイダーで開かれたメールから、次の種類のファイルが起動されるのを防止します: 実行可能ファイル (.exe、.dll、.scr など)、スクリプト ファイル (PowerShell の .ps、VisualBasic の .vbs、JavaScript の .js ファイルなど)。 | |
| 攻撃面の減少のみ除外する | 〇 | 〇 | 〇 | 〇 | 〇 | このポリシー設定を使用すると、指定されたパス内のファイル、または指定された完全修飾リソースに対して、攻撃面の減少ルールを照合しないようにすることができます。パスは、この設定の [オプション] の下に追加する必要があります。各エントリは名前と値の組として一覧表示する必要があり、名前はパスまたは完全修飾リソース名の文字列表記です。例として、パスは次のように定義します。C:\Windows を使用すると、このディレクトリのすべてのファイルが除外されます。完全修飾リソース名は次のように定義します。C:\Windows\App.exe。値の型は文字列です。 | |
| 重大な脅威の修復アクション | 〇 | 〇 | 〇 | 〇 | 〇 | 説明なし | |
| 重大度が中程度の脅威の修復アクション | 〇 | 〇 | 〇 | 〇 | 〇 | 説明なし | |
| 重大度が低い脅威の修復アクション | 〇 | 〇 | 〇 | 〇 | 〇 | 説明なし | |
| 重大度が高い脅威の修復アクション | 〇 | 〇 | 〇 | 〇 | 〇 | 説明なし | |
| 除外されたパス | 〇 | 〇 | 〇 | 〇 | 〇 | スキャン中に無視するディレクトリ パスのリストを管理者が指定することを許可します。リスト内の各パスは、| で区切る必要があります。例: C:\Example|C:\Example1。 | |
| 除外されたプロセス | 〇 | 〇 | 〇 | 〇 | 〇 | スキャン中に無視する、プロセスによって開かれるファイルのリストを管理者が指定することを許可します。重要: そのプロセス自体はスキャンから除外されませんが、Defender/ExcludedPaths ポリシーを使用すればそのパスを除外することができます。各ファイルの種類は、| で区切る必要があります。例: C:\Example.exe|C:\Example1.exe. | |
| 除外された拡張子 | 〇 | 〇 | 〇 | 〇 | 〇 | スキャン中に無視するファイルの種類の拡張子リストを管理者が指定することを許可します。リスト内の各ファイルの種類は、| で区切る必要があります。例: lib|obj | |
