次の方法で共有

リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成する

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows

この記事は、Microsoft Defenderウイルス対策機能のみを使用しているお客様向けに設計されています。 Microsoft Defender for Endpoint (Microsoft Defender ウイルス対策とその他のデバイス保護機能を含む) がある場合は、Microsoft Defender XDRでの非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボードに関するページを参照してください。

Microsoft Defenderウイルス対策は、リモート デスクトップ (RDS) または非永続的仮想デスクトップ インフラストラクチャ (VDI) 環境で使用できます。 この記事のガイダンスを使用すると、ユーザーがサインインするたびに RDS または VDI 環境に直接ダウンロードするように更新プログラムを構成できます。

このガイドでは、最適な保護とパフォーマンスを実現するために VM でMicrosoft Defenderウイルス対策を構成する方法について説明します。これには、次の方法が含まれます。

重要

VDI はWindows Server 2012またはWindows Server 2016でホストできますが、以前のバージョンの Windows では使用できない保護テクノロジと機能が増えたため、仮想マシン (VM) は少なくともバージョン 1607 Windows 10実行されている必要があります。

セキュリティ インテリジェンス用の専用 VDI ファイル共有を設定する

バージョン 1903 Windows 10、Microsoft は、ダウンロードしたセキュリティ インテリジェンス更新プログラムのアンパックをホスト コンピューターにオフロードする共有セキュリティ インテリジェンス機能を導入しました。 この方法により、個々のマシンでの CPU、ディスク、およびメモリ リソースの使用量が削減されます。 共有セキュリティ インテリジェンスは、バージョン 1703 以降のWindows 10で機能するようになりました。 この機能は、グループ ポリシーまたは PowerShell を使用して設定できます。

グループ ポリシー

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. [グループ ポリシー管理] エディターで、[コンピューターの構成] に移動します。

  3. [ 管理用テンプレート] を選択します。 ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>セキュリティ インテリジェンス Updatesに展開します。

  4. [ VDI クライアントのセキュリティ インテリジェンスの場所を定義する] をダブルクリックし、オプションを [有効] に設定します。 フィールドが自動的に表示されます。

  5. フィールドに「 \\<File Server shared location\>\wdav-update」と入力します。 (この値のヘルプについては、「 ダウンロードしてパッケージ化を解除する」を参照してください)。

  6. [OK] を選択し、テストする VM にグループ ポリシー オブジェクトをデプロイします。

PowerShell

  1. 各 RDS または VDI デバイスで、次のコマンドレットを使用して機能を有効にします。

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. 通常は PowerShell ベースの構成ポリシーを VM にプッシュするときに更新プログラムをプッシュします。 (この記事の 「ダウンロードとパッケージ解除 」セクションを参照してください。 共有場所 エントリを探します)。

最新の更新プログラムをダウンロードしてパッケージ化解除する

これで、新しい更新プログラムのダウンロードとインストールを開始できます。 このセクションには、使用できる PowerShell スクリプトのサンプルが含まれています。 このスクリプトは、新しい更新プログラムをダウンロードして VM の準備をする最も簡単な方法です。 その後、スケジュールされたタスクを使用して、管理マシンで特定の時刻に実行されるようにスクリプトを設定する必要があります。 または、Azure、Intune、またはConfiguration Managerで PowerShell スクリプトを使用する場合は、代わりにこれらのスクリプトを使用できます。


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

スケジュールされたタスクを 1 日に 1 回実行するように設定して、パッケージがダウンロードされてアンパックされるたびに VM が新しい更新プログラムを受け取るようにすることができます。 1 日に 1 回から始めることをお勧めしますが、影響を理解するために頻度を増減する実験を行う必要があります。

セキュリティ インテリジェンス パッケージは通常、3 時間から 4 時間に 1 回発行されます。 頻度を 4 時間未満に設定することはお勧めできません。これは、管理マシンのネットワーク オーバーヘッドを増やしてメリットがないためです。

また、1 台のサーバーまたはコンピューターを設定して、VM の代わりに更新プログラムを一定の間隔でフェッチし、それらをファイル共有に配置して使用することもできます。 この構成は、デバイスが共有に対する共有と読み取りアクセス (NTFS アクセス許可) を持っている場合に、更新プログラムを取得できる可能性があります。 この構成を設定するには、次の手順に従います。

  1. SMB/CIFS ファイル共有を作成します。

  2. 次の例を使用して、次の共有アクセス許可を持つファイル共有を作成します。

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    注:

    認証されたユーザー:読み取り: に NTFS アクセス許可が追加されます。

    この例では、ファイル共有が \\FileServer.fqdn\mdatp$\wdav-updateされます。

PowerShell スクリプトを実行するようにスケジュールされたタスクを設定する

  1. 管理マシンで、[スタート] メニューを開き、「 Task Scheduler」と入力します。 結果から、[タスク スケジューラ] を選択し、サイド パネルで [ タスクの作成... ] を選択します。

  2. 名前を Security intelligence unpackerとして指定します。

  3. [ トリガー ] タブで、[ 新規作成]を選択します。..>[毎日] を選択し、[ OK] を選択します

  4. [ アクション ] タブで、[ 新規]を選択します

  5. [プログラム/スクリプト] フィールドにPowerShellを指定します。

  6. [ 引数の追加] フィールドに-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1」と入力し、[OK] を選択します

  7. 必要に応じて、その他の設定を構成します。

  8. [ OK] を選択 して、スケジュールされたタスクを保存します。

手動で更新を開始するには、タスクを右クリックし、[ 実行] を選択します。

手動でダウンロードしてパッケージ化を解除する

すべてを手動で行う場合は、スクリプトの動作をレプリケートする方法を次に示します。

  1. wdav_updateという名前のシステム ルートに新しいフォルダーを作成して、インテリジェンスの更新プログラムを格納します。 たとえば、フォルダー c:\wdav_updateを作成します。

  2. GUID 名を使用して wdav_update の下にサブフォルダーを作成します (例: {00000000-0000-0000-0000-000000000000}

    次に例を示します。 c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    注:

    GUID の最後の 12 桁が、ファイルがダウンロードされた年、月、日、時刻になるようにスクリプトを設定し、毎回新しいフォルダーが作成されるようにします。 ファイルが毎回同じフォルダーにダウンロードされるように、これを変更できます。

  3. https://www.microsoft.com/wdsi/definitionsから GUID フォルダーにセキュリティ インテリジェンス パッケージをダウンロードします。 ファイルには mpam-fe.exe という名前を付ける必要があります。

  4. コマンド プロンプト ウィンドウを開き、作成した GUID フォルダーに移動します。 /X抽出コマンドを使用して、ファイルを抽出します。 たとえば、mpam-fe.exe /X となります。

    注:

    VM は、抽出された更新パッケージを使用して新しい GUID フォルダーが作成されるたびに、または既存のフォルダーが新しい抽出されたパッケージで更新されるたびに、更新されたパッケージを取得します。

Microsoft Defenderウイルス対策の構成設定

次の推奨構成設定で脅威保護機能を有効にすることで、含まれている脅威保護機能を利用することが重要です。  VDI 環境向けに最適化されています。

ヒント

最新の Windows グループ ポリシー管理テンプレートは、 中央ストアの作成と管理に関するページで入手できます。

  • 望ましくない可能性のあるアプリケーションの検出を構成します。 Enabled - Block

  • リストのローカル管理者のマージ動作を構成します。 Disabled

  • 除外がローカル管理者に表示されるかどうかを制御します。 Enabled

  • 定期的な修復をオフにする: Disabled

  • スケジュールされたスキャンをランダム化する: Enabled

クライアント インターフェイス

  • ヘッドレス UI モードを有効にする: Enabled

    注:

    このポリシーでは、organizationのエンド ユーザーからMicrosoft Defenderウイルス対策ユーザー インターフェイス全体が非表示になります。

  • すべての通知を抑制する: Enabled

注:

場合によっては、Microsoft Defenderウイルス対策通知が複数のセッションに送信されたり、保持されたりすることがあります。 ユーザーの混乱を避けるために、Microsoft Defenderウイルス対策ユーザー インターフェイスをロックダウンできます。 通知を抑制すると、スキャンが実行されたときや修復アクションが実行されたときに、ウイルス対策Microsoft Defender通知が表示されなくなります。 ただし、攻撃が検出され、停止された場合、セキュリティ運用チームはスキャンの結果を確認します。 初期アクセス アラートなどのアラートが生成され、Microsoft Defender ポータルに表示されます。

マップ

  • Microsoft MAPS に参加する (クラウド提供の保護を有効にする): Enabled - Advanced MAPS

  • 詳細な分析が必要な場合にファイル サンプルを送信する: Send all samples (more secure) または Send safe sample (less secure)

MPEngine

  • 拡張クラウド チェックを構成します。20

  • クラウド保護レベルを選択します。 Enabled - High

  • ファイル ハッシュ計算機能を有効にする: Enabled

注:

"ファイル ハッシュ計算機能を有効にする" は、インジケーター - ファイル ハッシュを使用している場合にのみ必要です。  ファイル ハッシュを取得するには、ディスク上の各バイナリを解析する必要があるため、CPU 使用率が高くなる可能性があります。

リアルタイム保護

  • 受信と送信のファイルとプログラムのアクティビティの監視を構成します。 Enabled – bi-directional (full on-access)

  • コンピューター上のファイルとプログラムのアクティビティを監視する: Enabled

  • ダウンロードしたすべてのファイルと添付ファイルをスキャンします。 Enabled

  • 動作の監視を有効にします。 Enabled

  • リアルタイム保護が有効になっている場合は常にプロセス スキャンを有効にします。 Enabled

  • 生ボリューム書き込み通知を有効にします。 Enabled

スキャン

  • スケジュールされたスキャンを実行する前に、最新のウイルスとスパイウェアのセキュリティ インテリジェンスを確認します。 Enabled

  • アーカイブ ファイルをスキャンする: Enabled

  • ネットワーク ファイルをスキャンする: Not configured

  • パックされた実行可能ファイルをスキャンする: Enabled

  • リムーバブル ドライブをスキャンする: Enabled

  • キャッチアップ フル スキャンを有効にする (キャッチアップ フル スキャンを無効にする): Not configured

  • キャッチアップ クイック スキャンを有効にする (キャッチアップ クイック スキャンを無効にする): Not configured

    注:

    強化する場合は、[キャッチアップ クイック スキャンを有効にする] を [有効] に変更できます。これは、VM がオフラインになっていて、2 つ以上の連続したスケジュールされたスキャンを見逃した場合に役立ちます。  ただし、スケジュールされたスキャンを実行しているため、追加の CPU が使用されます。

  • 電子メール スキャンを有効にする: Enabled

  • ヒューリスティックを有効にする: Enabled

  • 再解析ポイントスキャンを有効にします。 Enabled

一般的なスケジュールされたスキャン設定

  • スケジュールされたスキャンの CPU 優先度を低く構成します (スケジュールされたスキャンに低い CPU 優先度を使用します)。 Not configured

  • スキャン中の CPU 使用率の最大割合 (スキャンあたりの CPU 使用率の制限) を指定します。 50

  • コンピューターがオンになっているが使用中ではない場合にのみ、スケジュールされたスキャンを開始します (ScanOnlyIfIdle)。 Not configured

  • 次のコマンドレットを使用して、デバイスがパッシブ モードの場合にアイドル状態になったときに、クイック スキャンまたはスケジュールされたスキャンを停止します。

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

ヒント

[コンピューターがオンになっているが使用中でない場合にのみスケジュールされたスキャンを開始する] の設定は、高密度環境での CPU の重大な競合を防ぎます。

毎日のクイック スキャン

  • 1 日あたりのクイック スキャンを実行する間隔を指定します。 Not configured

  • 毎日のクイック スキャンの時間を指定します (毎日のクイック スキャンを実行します)。 12 PM

週単位のスケジュールされたスキャンを実行する (クイックまたはフル)

  • スケジュールされたスキャンに使用するスキャンの種類を指定します (スキャンの種類)。 Not configured

  • スケジュールされたスキャンを実行する時刻 (スケジュールされたスキャンを実行する曜日) を指定します。 Not configured

  • スケジュールされたスキャンを実行する曜日 (スケジュールされたスキャンを実行する時刻) を指定します。 Not configured

セキュリティ インテリジェンス Updates

  • セキュリティ インテリジェンスの更新後にスキャンを有効にする (更新後にスキャンを無効にする): Disabled

    注:

    セキュリティ インテリジェンスの更新後にスキャンを無効にすると、更新プログラムを受信した後にスキャンが実行されなくなります。 クイック スキャンも実行している場合は、基本イメージを作成するときにこの設定を適用できます。 これにより、新しく更新された VM が再びスキャンを実行するのを防ぐことができます (基本イメージの作成時にスキャン済みであるため)。

    重要

    更新後にスキャンを実行すると、最新のセキュリティ インテリジェンス更新プログラムで VM が保護されます。 このオプションを無効にすると、VM の保護レベルが低下し、基本イメージを最初に作成またはデプロイする場合にのみ使用する必要があります。

  • セキュリティ インテリジェンス更新プログラムのチェック間隔を指定します (セキュリティ インテリジェンス更新プログラムをチェックする頻度を入力します)。Enabled - 8

  • 他の設定は既定の状態のままにします

Threats

  • 検出されたときに既定のアクションを実行しない脅威アラート レベルを指定します。 Enabled

  • 次の表に示すように、 Severe (5)High (4)Medium (2)Low (1) すべてを Quarantine (2)に設定します。

    値の名前
    1 (Low) 2
    2 (中) 2
    4 (高) 2
    5 (重大) 2

攻撃面の減少ルール

使用可能なすべてのルールを構成して Auditします。

ネットワーク保護を有効にする

ユーザーとアプリが危険な Web サイトにアクセスできないようにする (ネットワーク保護を有効にする): Enabled - Audit mode

Microsoft Edge 用 SmartScreen

  • Microsoft Edge に SmartScreen を要求する: Yes

  • 悪意のあるサイト アクセスをブロックする: Yes

  • 未検証のファイルのダウンロードをブロックする: Yes

Windows Defender キャッシュ メンテナンスのスケジュールされたタスクを実行する

非永続的または永続的な VDI 環境の "Windows Defender キャッシュ メンテナンス" スケジュールされたタスクを最適化します。 シールする前に、メインイメージでこのタスクを実行します。

  1. タスク スケジューラ mmc (taskschd.msc) を開きます。

  2. [タスク スケジューラ ライブラリ>Microsoft>Windows>Windows Defender] を展開し、[Windows Defender キャッシュ メンテナンス] を右クリックします。

  3. [ 実行] を選択し、スケジュールされたタスクを完了させます。

    警告

    これを行わないと、各 VM でキャッシュ メンテナンス タスクが実行されている間に CPU 使用率が高くなる可能性があります。

改ざん防止を有効にする

Microsoft Defender ポータルでMicrosoft Defenderウイルス対策が無効にならないように、改ざん防止を有効にします。

除外

除外を追加する必要があると思う場合は、「Microsoft Defender for Endpointの除外を管理する」と「ウイルス対策のMicrosoft Defender」を参照してください。

次の手順

Windows ベースの VDI VM にもエンドポイント検出と応答 (EDR) を展開する場合は、「Microsoft Defender XDRでの非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード」を参照してください。

関連項目

Windows 以外のプラットフォームでの Defender for Endpoint に関する情報をお探しの場合は、次のリソースを参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。