Windows標準のセキュリティシステム「Microsoft Defender」を最大限に活用する方法

PCをウイルス感染から防衛するためには、専用のアンチウイルスソフトが必要と思われがちなものですが、実はWindowsにはMicrosoftが開発した「Microsoft Defender(旧称：Windows Defender)」というウイルス対策の仕組みが用意されています。このMicrosoft Defenderについて、より防御を手厚くする方法についてセキュリティエンジニアのHoekさんが解説しています。

Windows Defender is enough, if you harden it
https://0ut3r.space/2022/03/06/windows-defender/

クラウド保護と Microsoft Defender ウイルス対策 | Microsoft Docs
https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/cloud-protection-microsoft-defender-antivirus

Microsoft DefenderはAV-TESTやAV-Comparativesなどのアンチウイルスソフト比較サイトで確認できる通り十分な性能を誇っていますが、Hoekさんによると下記の設定を行うことでさらに防御を万全なものにできるとのこと。ここで述べられている設定は全てWindows 10や11のHomeエディションで行うことができるものとなっています。

◆ローカルグループポリシー設定
Defenderを強化するための設定で必要となるのがローカルグループポリシーエディターとのこと。Windows 10や11のProエディションとEnterpriseエディションでは最初からローカルグループポリシーエディターが実行可能ですが、Homeエディションの場合は下記の内容を入力したテキストファイルを作成し、「gpedit-enable.bat」と名前を付けて保存し、管理者として実行します。

@echo off 
pushd "%~dp0" 

dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt 
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt 

for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i" 
pause

数分待つと実行が完了するので、PCを再起動します。「Win + R」で「ファイル名を指定して実行」を開き、「gpedit.msc」と入力すると「ローカル グループ ポリシー エディター」が開きます。この画面で続く設定を行っていきます。

◆Microsoft Advanced Protection Service(MAPS)
ローカルグループポリシーエディターの左の列を「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Microsoft Defender ウイルス対策」→「MAPS」とたどり、右の「Microsoft MAPSに参加する」をダブルクリック。

左上の選択肢で「有効」を選んだ後、下でメンバーシップを選択します。メンバーシップには2種類あり、右側に詳細な説明が記載されています。今回は上級メンバーシップを選択し、「OK」をクリック。

さらに、「'事前ブロック'機能を構成する」と「Microsoft MAPSへのレポートに対してローカル設定の優先を構成する」についても、ダブルクリックして設定を開き、「有効」を選択して「OK」をクリックします。

「詳細な分析が必要な場合はファイルのサンプルを送信する」については、必要に応じて設定を行えば良いとのこと。Hoekさんは「安全なサンプルを送信する」を推奨しています。

続いて、MAPSの下にある「MpEngine」を開き、「クラウドの保護レベルを選択します」をダブルクリック。

設定を有効にしてレベルで「高いブロックレベル」を選択します。この設定を有効にすることでMicrosoft Defenderがより積極的に怪しいファイルを検知してくれるようになるとのこと。

さらに「拡張クラウドチェックを構成します」をダブルクリックし、「有効」を選択して秒数欄に「50」と入力します。この設定はMicrosoft Defenderが不審なファイルを発見した際に、そのファイルをブロックしてクラウド上でスキャンする際のタイムアウト時間の延長秒数となっており、最大の「50」にすることで基本の10秒と合わせて60秒までチェックを行ってくれるとのこと。ただし、「詳細な分析が必要な場合はファイルのサンプルを送信する」設定にてサンプルを送信する設定を行わなければ効果が無いという点には注意が必要です。

◆Windowsセキュリティの設定
スタートメニューから「Windows セキュリティ」を開きます。

「ウイルスと脅威の防止」タブから「ランサムウェア防止の管理」をクリック。

「コントロールされたフォルダーアクセス」の項目をオンにします。

続いて「アプリとブラウザーコントロール」タブに移動し、「評価ベースの保護」が有効化されていない場合は有効にします。その後、「分離されたブラウズ」の「Microsoft Defender Application Guardのインストール」をクリックし、ポップアップする「Windowsの機能」にある「Microsoft Defender Application Guard」にチェックを入れて「OK」をクリック。

◆PowerShell
DefenderではPowerShellを使わないと設定できない項目がいくつかあるため、まずスタートメニューから管理者権限でPowerShellを起動します。

署名更新を1時間ごとに設定し、さらにスキャン開始前に強制的に署名を更新する設定にするコマンドは下記の通り。オプションの詳細な情報については公式ドキュメントで確認できます。

Set-MpPreference -SignatureUpdateInterval 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

全ての設定が終わったら、設定を有効化するために再起動が必要です。