Windowsの運用管理を快適にする10の裏ワザ/表ワザ
[ テクニカルライター 山市 良 ]

テクニック.10 - マルウェア対策の最適化

2022年01月21日配信

yamaichi_tec010_top_1800x540

 

 Windows 10およびWindows Server 2016以降には、Microsoft Defenderウイルス対策(旧称、WindowsDefender)が標準搭載されており、サードベンダーのウイルス対策製品がインストールされていない限り既定で有効です。サードベンダーのウイルス対策製品がインストールされている場合は、⾃動的に無効化されます。

 マルウェア対策としてMicrosoft Defenderウイルス対策を利⽤している場合、リアルタイムスキャンが有効であること、エンジンと定義ファイル(セキュリティインテリジェンス更新プログラム)が最新版に更新されていること、および定期的にスキャンが実⾏されていることが⾼いセキュリティを維持する上で重要です。

 その上で、特にサーバーのパフォーマンスを最適化するためには、適切な除外設定を⾏うことが重要です。除外設定なしで運⽤する場合、パフォーマンスが劣化したり、サービスやアプリケーションでエラーが発⽣して正常に動作しなくなったりすることがあります。ここではMicrosoft Defenderウイルス対策の除外設定の具体的な⽅法、およびHyper-Vの役割とWindowsコンテナー⽤コンテナーホストのための除外設定について説明します。

 

■ Microsoft Defenderの⾃動除外

 Windows Server 2016以降のMicrosoft Defenderウイルス対策では、⾃動除外(Automatic Exclusions)という機能を備えており、既定で有効になっています。この機能はWindows 10にもあり既定で有効ですが、特にさまざまな役割やサーバーアプリケーションを実⾏するWindows Serverでこの機能が有効になっていることが重要です。

 Microsoft Defenderウイルス対策の⾃動除外が有効になっているかどうかは、PowerShellの以下のコマンドラインの実⾏結果がFalseになっているかどうかで分かります。

(Get-MpPreference).DisableAutoExclusions
False・・・自動除外が有効

 Windows Serverで⾃動除外が有効になっている場合、有効になっているサーバーの役割に応じて定義済みの除外設定 が適⽤されます。

具体的にはWindows Updateのデータベースやログファイル、Windowsのセキュリティデータベース、グループポリシー関連ファイル、WINSデータベース、ファイルレプリケーションサービス(FRS)データベース、分散ファイルシステムレプリケーション(DFSR)のデータベースとプロセス、Hyper-V関連のファイルの種類、ディレクトリ、およびプロセス、Active DirectoryのNTDSデータベース、SYSVOL共有、DHCPサーバーのデータベース、DNSサーバーのデータベース、クラスター共有ストレージ、プリンタースプーラーのディレクトリおよびプロセス、IIS Webサーバーのディレクトリとプロセス、Windows Server Update Services(WSUS)のコンテンツとデータベースなどが除外されます。

詳しくは、以下のドキュメントで説明されています。

 

Windows Server で Microsoft Defender ウイルス対策の除外を構成する
🌏https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/configure-server-exclusions-microsoft-defender-antivirus

 

 例えば、Hyper-Vの役割が有効になっている場合、表1に⽰す除外設定が適⽤されます。

 

 表1 Hyper-Vの役割の自動除外設定

ファイルの種類の除外 .vhd、.vhdx、.avhd、.avhdx、.iso、.rct、.vsv、.vmcx、.vmrs
ディレクトリの除外 %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%Public%\Documents\Hyper-V\Virtual Hard Disks
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
プロセスの除外 %systemroot%\System32\Vmms.exe(Virtual Machine Management Service)
%systemroot%\System32\Vmwp.exe(Virtual Machine Worker Process)

 

 

■ Microsoft Defenderの⾃動除外+カスタム設定

 ⾃動除外設定でカバーされない場所に除外するべきデータベースやファイルを配置している場合は、⾃動除外に加えて、カスタム設定を追加することを推奨します。また、⾃動除外設定の対象外の役割やアプリケーションを利⽤している場合もカスタム設定を検討してください。除外設定によりパフォーマンスを改善できる場合があります。⼀⽅で、除外対象からはマルウェアが検出されなくなるというデメリットにも留意してください。

 

■ カスタム除外設定の追加

 Microsoft Defenderウイルス対策の除外設定は、Windows 10やWindows Server 2016以降のバージョンによって異なります。Windows Server 2016デスクトップエクスペリエンスの場合、[設定]アプリの[更新とセキュリティ]-[Windows Defender]-[除外]から除外を編集します。Windows Server 2019デスクトップエクスペリエンスの場合は、[Windowsセキュリティ]の[ウイルスと脅威の防⽌]-[ウイルスと脅威の防⽌の設定]の[設定の管理]から除外設定を編集します(画⾯1)。

001

画面1 Windows Server 2019デスクトップエクスペリエンスでのカスタム除外設定

 

■ 続きを読むためには・・・

 ホワイトペーパーでこちらのページの続きをご覧いただけます。以下のフォームよりお申込みください。

続きの主な内容

  • Hyper-Vホストのためのカスタム設定
  • Windowsコンテナーのためのカスタム設定
  • SQL Serverのためのカスタム設定
  • 他社マルウェア対策製品を利⽤する場合の考慮事項

 

■ ホワイトペーパーをダウンロードする

 

 

■ Microsoft Defenderウイルス対策の設定でサーバーパフォーマンスを最適化する

 山市氏がご紹介したテクニックをより簡単に自動化できる方法をご紹介します。

詳しくはこちらをご確認ください。
🌏https://www2.say-tech.co.jp/special/ryo-yamaichi/say/tec-010

最新記事