こんにちは Security & Compliance サポートチームです。
この記事では、Microsoft Defender ウイルス対策(MDAV) および Microsoft Defender for Endpoint(MDE) の検知機能と、ウイルス対策スキャン除外設定に関するよくあるお問い合わせについておまとめいたします。
なお、本情報の内容(添付文書、リンク先などを含む)は、作成日時点(2024 年 10 月 21 日)でのものであり、予告なく変更される場合があります。
MDAV の除外設定に関する最新の情報については以下の公開情報を参照してください。
参考情報:Microsoft Defender ウイルス対策のカスタム除外を構成する | Microsoft Learn
重要
本記事は、MDAV の除外設定に関する推奨事項やベストプラクティスをご案内するものではありません。
スキャン除外の設定はセキュリティレベルの低下をもたらす恐れがあるため、弊社では原則として不必要な除外設定の実施を推奨しておりません。
また、MDAV の除外設定を行う際には、除外に伴うセキュリティリスクをユーザにて評価し、組織のセキュリティポリシーに合わせて設定を検討いただく必要があります。
除外リストについては定期的なレビューを実施いただき、不要になった除外設定は削除いただくことをおすすめいたします。
※ 本記事では、Microsoft Defender ウイルス対策を MDAV、Microsoft Defender for Endpoint を MDE と記載します。
本記事の内容
- ウイルス対策のカスタム除外設定について
- 検知イベントから検出ソースを特定する方法
- ファイルとフォルダのパスを使用してウイルス対策の除外を構成する
- プロセス除外を構成する
- ウイルス対策の除外設定に関するよくある問い合わせ
- ウイルス対策除外のベストプラクティスを教えてください
- ファイルが誤ってマルウェアとして検出された場合の対処方法を教えてください
- ウイルス対策の除外設定を追加しても検出が止まりません
- ウイルス対策の除外設定を追加してもプログラムやスクリプトの実行がブロックされます
- ファイルインジケータを登録した後もファイルの検出が行われます
- ウイルス対策の除外を追加しても MDE のアラート検出が行われます
- Windows セキュリティアプリや PowerShell から除外を追加できません
- 環境変数を使用したパス除外が有効に動作しません
- CPU 使用率の高騰を解消するためにどのファイルを除外すればいいですか?
- MDAV により CPU 使用率が高騰している場合のトラブルシューティング
- まとめ
ウイルス対策のカスタム除外設定について
ウイルス対策のカスタム除外設定とは、MDAV のスケジュールスキャン、手動スキャン(オンデマンドスキャン)、およびリアルタイムスキャンから特定の対象を除外するために使用可能な設定です。
ウイルス対策の除外設定が適切に構成されている場合、対象のファイルは MDAV によるスキャンおよび検出が行われなくなります。
ウイルス対策の除外設定とは
ウイルス対策の除外設定は、MDAV が行うスケジュールスキャン、手動スキャン(オンデマンドスキャン)、およびリアルタイムスキャンの対象からファイルを除外できる機能です。
ウイルス対策の除外設定は、主に特定のファイルの誤検出/過検出を抑制する目的や、システムのパフォーマンスの改善を行う目的で利用されます。
ただし、ウイルス対策の除外設定はセキュリティレベルの低下をもたらす恐れがある点に注意が必要です。
ウイルス対策の除外を設定する場合は、除外設定によるリスクを常に評価し、悪意のないと確信しているファイルのみを対象とする必要があります。
参考情報:Microsoft Defender ウイルス対策のカスタム除外を構成する | Microsoft Learn
MDAV のカスタム除外設定では、大きく分けて以下の 2 つの種類の除外を構成することが可能です。(IP アドレスの除外を除く)
- ファイルとフォルダのパス、もしくは拡張子に基づく除外
- プロセス除外
「ファイルとフォルダのパス、もしくは拡張子に基づく除外」では、設定した拡張子を持つファイルや、指定したパスに存在するファイルおよびフォルダをウイルス対策のスキャン対象から除外することができます。
一方、「プロセス除外」では、特定のプロセスによって開かれたファイルをウイルス対策のスキャン対象から除外することができます。
ウイルス対策の除外を構成する場合は除外の目的や対象に合わせて適切な設定方法を検討する必要があります。
ウイルス対策除外の主な目的
ウイルス対策の除外設定は、主に以下の 3 つの用途で利用できます。
MDAV のリアルタイム保護機能に起因するパフォーマンスの問題の軽減
特定のアプリケーションとの互換性に関連する問題の解消
MDAV のウイルス対策機能による検出の抑制
Note
理想的には、将来発生する可能性がある問題にプロアクティブに対処する目的でウイルス対策の除外を追加しないことをおすすめします。
ウイルス対策の除外設定は、特定のパフォーマンスやアプリケーションとの互換性の問題に対してのみ使用します。
Note
後述する通り、ウイルス対策の除外は主に MDAV のスケジュールスキャン、手動スキャン(オンデマンドスキャン)、およびリアルタイムスキャンによりスキャンされるファイルに対して機能します。
特定の検知イベントの抑制を目的として除外を検討する場合は、事前に抑制対象のファイルが MDAV のウイルス対策機能により検出されていることを確認してください。
また、除外を設定する場合は、除外対象のファイルの安全性を十分に確認するとともに、実施した除外設定のリスクを定期的に評価することをおすすめします。
参考情報:除外に関する重要なポイント | Microsoft Learn
ウイルス対策の除外設定で抑制可能な検知イベントについて
ウイルス対策の除外機能は、MDAV のスケジュールスキャン、手動スキャン(オンデマンドスキャン)、およびリアルタイムスキャンの対象から特定のファイルを除外することができる機能です。
ウイルス対策の除外設定を適用した場合には、上記のウイルス対策スキャンによるファイルの検出を抑止することができます。
一方で、検出対象がファイル以外の場合や、MDE の EDR 保護機能、または SmartScreen などウイルス対策以外の保護機能による検出の場合は、関連するファイルをウイルス対策の除外対象に追加した場合でも引き続き検出が行われる場合があります。
そのため、Microsoft のセキュリティ保護機能による検出抑制することを目的として除外を追加する場合には、対象の検知イベントに関連する機能を特定することが非常に重要です。
現在ユーザの環境で発生している検出イベントがウイルス対策の除外で抑制可能なものであるか否かについては、検知イベントから検出ソースを特定する方法 の項を手順を参照してください。
検知イベントから検出ソースを特定する方法
MDAV および MDE を利用する Windows マシンでは、ウイルス対策スキャン以外の様々なセキュリティ保護機能によって操作のブロックやアラート検出が発生する場合があります。
もし特定の検知イベントを抑制する目的でウイルス対策の除外設定を検討している場合は、事前に対象の検知イベントが MDAV のウイルス対策機能により発生したものであるか確認する必要があります。
現在発生している検出イベントが MDAV のウイルス対策機能により発生したものであるか確認する方法については 検知イベントをウイルス対策スキャンの除外で抑制可能か確認する方法 の記載を参照してください。
ヒント
例えば、MDAV/MDE を利用する環境では以下の保護機能による操作のブロックやアラート検出が行われる場合があります。
- MDAV のウイルス対策機能によるファイル検出
- MDAV の動作監視機能などによる不審なアクティビティの検出
- MDE の EDR 機能による検出アラート
- MDE のブロックインジケータや自動調査の修復によるファイル検出
- Microsoft Defender SmartScreen によるファイルダウンロード時の警告/ブロック
- Microsoft Defender SmartScreen によるダウンロードされたアプリの実行ブロック
- 攻撃面の減少ルール(ASR ルール) の保護規則による動作ブロック
- フォルダアクセスコントロールによる保護されたフォルダへのアクセスブロック
※ 組織のポリシー設定によっては、上記以外の保護機能や制限によってプログラムの実行やネットワーク接続、リムーバブルメディアやクラウドストレージなどへのファイル転送がブロックされる可能性があります。
検知イベントをウイルス対策スキャンの除外で抑制可能か確認する方法
MDAV のウイルス対策機能によりファイルが検出された場合、既定では以下の画像のようなデスクトップ通知が行われます。(画面は Windows 11 のものです)
また、MDE を利用している場合、MDAV のウイルス対策機能によりファイルが検出された際に生成されるアラートを参照すると、[アラートの詳細]>[検出ソース] が [ウイルス対策] として表示されることを確認できます。
このような検知イベントを MDAV のウイルス対策の除外で抑制可能かどうか確認したい場合、以下の手順で MDAV のイベントログの情報を調査します。
参考情報:Microsoft Defender ウイルス対策イベントの ID とエラー コード | Microsoft Learn
イベントビューアを使用して [アプリケーションとサービスログ]>[Microsoft]>[Windows]>[Windows Defender]>[Operational] を開き、
イベント ID 1116:MALWAREPROTECTION_STATE_MALWARE_DETECTEDのログを検索します。ID 1116 の検知イベントを特定したら、[パス] に
file:_から始まる検出対象のファイルパスが記載されていることを確認します。
※ 検知が発生した時刻に ID 1116 の検知イベントが記録されていない場合、検出または操作のブロックは MDAV のウイルス対策以外の保護機能により行われている可能性があります。検知が発生した時刻に記録された ID 1116 の検知イベントとファイルパスを確認したら、[検出元] の情報が [リアルタイム保護] や [システム]、または [ユーザー] などと表示されていることを確認します。
※ 対象の検知イベントの [検出元] が [Microsoft Defender for Endpoint] である場合には MDAV のウイルス対策の除外設定を追加してもファイルの検出を抑制することはできない場合があります。
- イベントログから対象の検知が MDAV のウイルス対策機能によるものであることを確認したら、ファイルとフォルダのパスを使用して除外を構成する または プロセス除外を構成する、ファイルの拡張子を使用して除外を構成する のいずれか適切な手順にて、対象のファイルを MDAV の検出対象から除外することができます。
重要
ウイルス対策の除外を構成する場合、除外設定に関連するリスクを常に評価し、悪意のないと確信しているファイルのみを除外する必要があります。
MDE の EDR 機能による検出アラートについて
ユーザが MDE を利用している場合、Microsoft Defender ポータル の [インシデントとアラート]>[アラート] に、端末で発生した検知アラートが一覧表示されます。
この時、[検出ソース] に [EDR] と表示されているアラートは通常、MDE の EDR 保護機能により検出されたアラートに該当します。
MDE の EDR 機能による検出アラートは、本記事で紹介するウイルス対策のカスタム除外設定で抑制することはできません。
検出ソースが [EDR] であるアラート検出を抑制したい場合には、Microsoft Defender ポータルからアラート調整ルール(アラート抑制ルール) を作成します。
ヒント
組織内の既知のツールやプロセスなど、無害であることを確認している特定のアラートをポータルに表示させないようにする必要がある場合には抑制ルールを作成できます。
参考情報:Microsoft Defender for Endpoint 抑制ルールを管理する | Microsoft Learn
MDE の自動調査機能による検出と修復について
ユーザの端末が MDE にオンボードされている場合、特定のファイルをウイルス対策の除外対象としている場合でも、自動調査と修復機能によって除外対象のファイルの検出・隔離が行われる場合があります。
参考情報:自動調査を使用して脅威を調査・修復する | Microsoft Learn
MDE を利用する環境で、ウイルス対策の除外にファイルを追加しても [検出元] が [Microsoft Defender for Endpoint] となる検出が継続する場合には、誤検出であることを確認済みの既存のアラート/インシデントをすべて解決済みに変更した上で、許可したいファイルのファイルハッシュをファイルインジケータに登録してください。
参考情報:インジケーターの作成 | Microsoft Learn
SmartScreen によるファイルダウンロード時の警告について
ユーザが Microsoft Edge を利用してファイルのダウンロードを行う場合、Microsoft Defender SmartScreen による警告やダウンロードのブロックが行われる場合があります。
Microsoft Defender SmartScreen はウイルス対策機能の除外設定の影響を受けないため、ウイルス対策の除外設定でファイルダウンロード時の警告を抑制することはできません。
Note
Microsoft Defender SmartScreen は、ダウンロード トラフィック、ダウンロード履歴、過去のウイルス対策の結果、URL 評判などの多くの基準に基づいて、ダウンロードされたアプリまたはアプリ インストーラーが悪意のある可能性があるかどうかを判断します。
すべての不明なプログラムが悪意があるとは限りません。不明な警告は、特に警告が予期しないものである場合に、それを必要とするユーザーにコンテキストとガイダンスを提供することを目的としています。
参考情報:Microsoft Defender SmartScreen の Microsoft Edge サポート | Microsoft Learn
以下は、どちらも SmartScreen によってファイルのダウンロードがブロックされた場合の通知の例です。
また、ダウンロードするファイルが既知の安全な、もしくは悪意のあるファイルではない場合、不明なファイルとしてダウンロード時に以下の警告が表示されます。
不明なファイルの警告はユーザへの注意喚起を目的としており、安全なファイルをダウンロードする場合にも通知される場合があります。
SmartScreen によるアプリ実行時の警告について
ユーザーの端末で Microsoft Defender SmartScreen による [アプリとファイルの確認] の設定が有効化されている場合、インターネットからダウンロードしたプログラムを実行する際に以下の警告が表示される場合があります。
また、[アプリとファイルの確認] の設定を有効化していない場合でも、ファイルの実行時に以下の警告が表示される場合があります。
これらの警告は MDAV のウイルス対策機能による検出ではないため、ブロック対象のファイルやフォルダを MDAV のウイルス対策除外の対象に登録している場合でも警告が行われます。
インターネットから取得したプログラムが安全なファイルであることを確認している場合には、警告を無視してプログラムを実行するか、ファイルを実行する前に対象のファイルを右クリックし、[プロパティ] から以下のチェックボックスにチェックを入れてファイルを許可してください。
攻撃面の減少ルールにより操作がブロックされた場合のイベントについて
Windows 端末では、攻撃面の減少ルール(ASR ルール) による端末の保護を有効化することができます。
ASR ルールは、攻撃者が組織のデバイスやネットワークを侵害する可能性のある攻撃対象を減らすための保護機能です。
ASR ルールを適切に構成すると、悪意のある攻撃者がデバイスやネットワークを侵害するために悪用する方法(攻撃面) を少なくすることができます。
参考情報:攻撃面の縮小ルールの概要 | Microsoft Learn
Note
ASR ルールによりブロックされる操作は、悪意のある攻撃者に悪用される場合があり、一般にリスクがあるとみなされる操作です。
しかし、このような操作は攻撃者だけでなく正当なアプリケーションも利用する場合があります。
ASR ルールを適用する場合は、監査モードや除外設定を利用し、生産性を低下させることなくルールを展開できるように評価を行います。
ASR ルールによるブロックが発生した場合、既定では以下のようなポップアップ通知が行われます。(利用中の OS バージョンによって通知画面の表示が異なる場合があります)
また、イベントビューアを使用して [アプリケーションとサービスログ]>[Microsoft]>[Windows]>[Windows Defender]>[Operational] のイベントログを開き、ID 1121 のイベントを参照することで ASR ルールによるブロックされた操作の詳細を確認できます。
ASR ルールによる操作のブロックは、MDAV のウイルス対策機能とは異なる機能によるものですが、多くの ASR ルールは MDAV のウイルス対策除外に設定したフォルダやファイルを ASR ルールの除外対象としても利用します。
しかし、一部の ASR ルールによる検出はウイルス対策除外設定の影響を受けないため、別途 ASR ルールの除外設定を構成する必要があります。
ウイルス対策の除外設定が 適用されない ASRルールについては、以下の公開情報の一覧を参照してください。
参考情報:Microsoft Defender ウイルス対策の除外と ASR ルール | Microsoft Learn
なお、ASR ルールの除外を設定する方法については以下を参照してください。
参考情報:攻撃面の縮小ルールからファイルとフォルダーを除外する | Microsoft Learn
ヒント
除外設定によって特定の ASR ルールによる検出を抑制したい場合は通常、ASR ルールの検出イベント内の [パス:] に表示されているファイルを除外設定の対象に含める必要があります。
フォルダアクセスコントロールによる保護されたフォルダへのアクセスブロックについて
MDAV のリアルタイム保護機能を有効化している Windows 端末では、フォルダアクセスコントロール機能により信頼されていないプログラムから保護されたフォルダ内のデータを保護することができます。
フォルダアクセスコントロール機能によって保護されたフォルダ内のデータ変更がブロックされた場合、既定では以下のポップアップ通知が行われます。
また、イベントビューアを使用して [アプリケーションとサービスログ]>[Microsoft]>[Windows]>[Windows Defender]>[Operational] のイベントログを開き、ID 1123 のイベントを参照することでもフォルダーアクセスコントロール機能によるブロックが発生したことを確認できます。
フォルダアクセスコントロールによる変更のブロックを抑制したい場合、保護されたフォルダにアクセスしているアプリケーションを「信頼されたアプリの一覧」に追加する必要があります。
ヒント
保護されたフォルダにアクセスしているアプリケーションの実行ファイルがウイルス対策の除外(プロセス除外など)の対象に指定されている場合、そのアプリケーションは信頼されたアプリケーションとみなされ、保護されたフォルダ内のデータへのアクセスが許可される場合があります。
ファイルとフォルダのパスを使用してウイルス対策の除外を構成する
この項では、MDAV のウイルス対策除外の詳細と、各管理ツールを用いた設定方法を紹介します。
ファイルとフォルダのパスを使用するウイルス対策の除外の概要
ファイルとフォルダのパスを使用した除外を構成すると、特定のフォルダやファイルをウイルス対策のスキャン対象から除外することができます。
重要
除外を設定する場合は、除外対象のファイルの安全性を十分に確認するとともに、実施した除外設定のリスクを定期的に評価することをおすすめします。
特定のファイルのみをスキャン除外の対象としたい場合、以下の例のように対象ファイルの完全パスを除外対象に追加します。
1 |
|
特定のフォルダ内のファイルをすべて除外対象に含める場合は、対象のフォルダの完全パスを指定します。
フォルダパスを除外対象に指定した場合、サブフォルダ内のファイルを含む、そのフォルダ内のすべてのファイルが除外対象に含まれます。(以下のフォルダを除外した場合、C:\TEST\eicar.txt や C:\TEST\SUB\eicar.txt、C:\TEST\SUB\SUB2\eicar.txt などのすべてのファイルが除外対象に含まれます。)
1 | # フォルダパスを除外対象に指定する(サブフォルダ内のファイルを含むすべてのファイルが除外対象に含まれる) |
なお、上記の例では除外対象の完全パスを指定する際にドライブレター C:\ を使用しています。
しかし、もし除外したいファイルがネットワークフォルダ内に存在している場合には、ドライブレターではなく、\\ から始まる UNC パスを除外対象に含める必要がある点に注意が必要です。
例えば、システムにマップされたネットワークフォルダに E:\ などのドライブレターを割り当てている場合でも、E:\Folder のようなパスによる除外設定を行うことはできません。
このようなネットワークフォルダを除外対象とする場合には \\<ネットワークフォルダのアドレス>\Folder のように実際のネットワークパスを除外対象に指定する必要があります。
参考情報:拡張機能、名前、または場所に基づいて除外を構成して検証する | Microsoft Learn
また、ファイルとフォルダのパスを使用して除外を構成する場合、除外対象のパスの指定にはワイルドカード(* または ?) を使用することができます。
以下に、ウイルス対策の除外における一般的なワイルドカードの使用例を紹介します。
この例では、C:\Users フォルダ直下のユーザアカウント名のフォルダ階層をワイルドカードに置換することで、1 つの除外エントリで複数のユーザフォルダ内のファイルを除外対象に指定しています。(C:\Users\user01\Documents\eicar.txt や C:\Users\user02\Documents\eicar.txt などのファイルが除外対象に含まれます。)
1 | # ユーザアカウント名をワイルドカードに置き換えてパス除外を指定する |
また、以下の例のようにフォルダではなく、ファイル名部分をワイルドカードに置き換えることも可能です。
このような指定を行った場合、C:\TEST フォルダ直下に配置されている、拡張子が .exe のファイルのみが除外対象に含まれます。(サブフォルダ内のファイルは除外対象に含まれないため、C:\TEST\SUB\program.exe などのファイルは除外されません。)
1 | # ファイル名部分のみをワイルドカードに置き換えてパス除外を指定する |
さらに、ファイル名をワイルドカードに置き換える場合、以下のようにファイル名の一部分のみを置換することも可能です。
例えば、C:\TEST\program0*.exe を除外エントリに追加した場合、C:\TEST\program001.exe や C:\TEST\program010.exe などのファイルが除外対象に含まれます。一方で、C:\TEST\program100.exe などのファイルは除外されません。
1 | # ファイル名の連番部分のみをワイルドカードに置き換えてパス除外を指定する |
ファイルとフォルダのパスを使用する除外設定でワイルドカードを使用する場合の利用例や制限事項については以下の公開情報を参照します。
参考情報:ファイル名とフォルダパスまたは拡張機能の除外リストでワイルドカードを使用する | Microsoft Learn
警告
ウイルス対策の除外設定にワイルドカードを使用する場合は、ワイルドカードを使用しない場合と比較してより広範なファイルパスが除外対象に含まれる点に注意する必要があります。
ウイルス対策の除外設定を行う場合には、除外に伴うリスクを常に評価し、除外対象のフォルダやファイルのアクセス権などが適切に管理されていることを確認することをおすすめします。
グループポリシーを使用してパスに基づく除外を構成する
グループポリシーを使用してパスに基づく除外を構成する場合、コンピュータの構成から、**[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[除外] 内の [パスの除外]** を使用します。
除外を構成する場合は、[値の名前] 列に除外対象に指定するパスを、[値] 列に 0 を入力します。
なお、グループポリシーでパスに基づく除外を構成する場合、空のエントリを登録しようとすると以下のようなメッセージが表示され、ポリシーの有効化に失敗します。
もし、ポリシーに登録している除外エントリをすべて削除したい場合は、[パスの除外] ポリシーの設定を [無効] もしくは [未構成] に変更してください。
Intune を使用してパスに基づく除外を構成する
Intune を使用してウイルス対策のパスに基づく除外を構成する場合、**[エンドポイントセキュリティ]>[ウイルス対策] にて [+ポリシーの作成] をクリックし、Windows プラットフォーム用の [Microsoft Defender ウイルス対策の除外] ポリシーを作成**します。
作成したポリシーの [除外されたパス] に、除外対象のパスのエントリを追加します。
作成したポリシーを Intune からデバイスもしくはユーザに割り当てることで除外設定を適用することができます。
PowerShell を使用してパスに基づく除外を構成する
ポリシーではなく端末側で除外設定の追加を行う場合、PowerShell の Set-MpPreference コマンドレットか Add-MpPreference コマンドレットを使用することができます。
Set-MpPreference コマンドレットを使用してファイルやフォルダのパスを除外に追加するには、以下のコマンドレットを使用します。
1 | # Set-MpPreference コマンドレットで複数のファイルとフォルダのパスを除外対象に指定する |
Set-MpPreference コマンドレットを使用して登録した除外リストは、再度 Set-MpPreference コマンドレットによる除外を登録すると、すでに Set-MpPreference コマンドレットにより登録されていた除外リストが上書きされます。(ただし、グループポリシーなど、異なる管理ツールで追加している除外エントリは Set-MpPreference コマンドレットを使用しても上書きされません。)
そのため、PowerShell を利用して除外を構成している環境にて、既存の除外リストに新しい除外を追加する場合は Add-MpPreference コマンドレットを使用します。
1 | # Set-MpPreference で作成した除外リストに Add-MpPreference でエントリの追加を行う |
Note
ウイルス対策の除外リストの管理を複数の管理ツール(グループポリシー、Intune、PowerShell など) を使用して実施することは、運用上の観点からおすすめいたしておりません。
なお、Set-MpPreference や Add-MpPreference で追加した除外エントリは Remove-MpPreference コマンドレットを使用することで削除できます。
1 | # PowerShell で追加した除外エントリを Remove-MpPreference で削除する |
プロセス除外を構成する
プロセス除外の概要
MDAV における「プロセス除外」とは、「特定のプロセスが開いたファイル」をウイルス対策のスキャン対象から除外する機能です。
例えば、C:\sample\test.exe というファイルをプロセス除外の対象に指定すると、「C:\sample\test.exe のプロセスが開いたファイル」がウイルス対策のスキャンから除外されます。
プロセス除外の対象とする実行ファイルを指定する際には、対象ファイルの完全パスだけでなく、実行ファイルのファイル名のみを指定することも可能です。
例えば、test.exe を除外対象に指定した場合、C:\sample\test.exe や C:\internal\files\test.exe のプロセスによって開かれたファイルが除外対象となります。
プロセス除外設定に関する詳細は以下の公開情報を参照してください。
参考情報:特定のプロセスによって開かれたファイルの除外を構成する| Microsoft Learn
警告
プロセス除外を構成する場合は、特定のプロセスを除外する場合のリスクについて十分に評価する必要があります。
一般的に、powershell.exe や cmd.exe、python.exe など、任意のユーザがファイルの作成や実行を汎用的に行うことが可能なプロセスの除外は、より大きなセキュリティリスクとなる可能性があるので注意が必要です。
グループポリシーを使用してプロセス除外を構成する
グループポリシーを使用してプロセス除外を構成する場合、コンピュータの構成から、**[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[除外] 内の [プロセスの除外]** を使用します。
除外を構成する場合は、[値の名前] 列に除外対象に指定する実行ファイルのパスを、[値] 列に 0 を入力します。
Intune を使用してプロセス除外を構成する
Intune を使用してプロセス除外を構成する場合、**[エンドポイントセキュリティ]>[ウイルス対策] にて作成した、Windows プラットフォーム用の [Microsoft Defender ウイルス対策の除外] ポリシーの [除外されたプロセス]** に除外対象のエントリを登録します。
PowerShell を使用してプロセス除外を構成する
PowerShell を使用してパスに基づく除外を構成する と同じく、Set-MpPreference および Add-MpPreference コマンドレットを使用することでプロセス除外を設定することができます。
1 | # Set-MpPreference で作成した除外リストに Add-MpPreference でエントリの追加を行う |
ウイルス対策の除外設定に関するよくある問い合わせ
本項では、MDAV のウイルス対策除外に関するよくあるお問い合わせをご紹介します。
ウイルス対策除外のベストプラクティスを教えてください
一般に、MDAV をご利用いただく際にユーザ側で除外を追加する必要はないため、MDAV の観点からベストプラクティスとして除外リストへの追加を推奨している具体的なファイルやプロセスはありません。
ただし、パフォーマンスやアプリケーションの互換性に関する特定の問題を回避する目的などでウイルス対策の除外を構成する場合は、ウイルス対策の除外によって端末の保護レベルが低下するリスクを常に評価し、無害であることを確認済みのファイルのみが除外対象に含まれるように管理いただくことをおすすめしています。
その他、弊社からご案内しているウイルス対策除外を追加する場合に考慮いただきたい点については以下の公開情報を参照してください。
参考情報:除外に関する重要なポイント | Microsoft Learn
また、弊社では一般的に攻撃に悪用されることが多いフォルダや拡張子、プロセスについては「除外対象に追加しない」ことを推奨しています。「除外に追加しない」ことを推奨しているフォルダ、拡張子およびプロセスについては以下の公開情報を参照してください。
なお、以上の通り MDAV 観点で追加を推奨している除外設定はありませんが、ユーザが利用するアプリケーションによっては、アプリケーション側の要件として、ウイルス対策の除外が推奨されている場合があります。
そのため、もし特定のアプリケーションを利用する場合に推奨される除外設定を確認したい場合は、ご利用中のアプリケーションの要件や推奨事項に関してアプリケーションベンダが公開している情報をご確認ください。
ファイルが誤ってマルウェアとして検出された場合の対処方法を教えてください
検出されたファイルがマルウェアであるか否か不明な場合や、誤って検出されている可能性がある場合は、以下の公開情報に記載の手順で Microsoft Defender ポータルや Microsoft セキュリティ インテリジェンス申請サイトから検体ファイルを弊社にアップロードし、解析を要求することができます。
参考情報:分析用にファイルを提出する | Microsoft Learn
ウイルス対策の除外設定を追加しても検出が止まりません
ウイルス対策の除外設定を追加したにも関わらず MDAV による検出が継続する場合、まずはユーザの環境で発生している検出がウイルス対策の除外設定で抑制可能なイベントであるか否かを確認します。
詳細については、ウイルス対策の除外設定で抑制可能な検知イベントについて の記載を参照してください。
対象の検知イベントがウイルス対策の除外設定で抑制可能なものであるものの、除外を追加しても MDAV によるファイルの検出が継続する場合、ユーザの除外設定が適切に端末に反映されていることを確認してください。
端末に適用されている除外リストの一覧は、管理者権限で起動した PowerShell で以下のコマンドを実行することで確認できます。
1 | # ファイルとフォルダのパスに基づく除外リストを確認する |
追加した除外設定が上記のコマンドの実行結果に含まれない場合、除外エントリを追加したポリシーが正常に端末に同期されていることを確認してください。
Windows セキュリティアプリや PowerShell コマンドレットを使用して追加した除外エントリがリストに追加されていない場合は、Windows セキュリティアプリや PowerShell から除外を追加できません の内容を参照してください。
もし環境変数を利用した除外エントリを登録している場合は、環境変数を使用したパス除外後も検出が止まりません の内容を参照してください。
また、もしユーザの環境で MDE を利用しており、ウイルス対策の除外に追加したファイルが検出ソース [Microsoft Defender for Endpoint] のイベントにより検出され続ける場合、MDE の自動調査機能による検出と修復について の項に記載の通り、誤検出であることを確認済みの既存のアラート/インシデントをすべて解決済みに変更した後、許可したいファイルのファイルハッシュをファイルインジケータに登録することで問題が解決するか確認してください。
参考情報:インジケーターの作成 | Microsoft Learn
重要
アラートのステータスを [解決済み] に変更する場合は、事前に組織のセキュリティ管理者が対象の検出アラートのステータスを [解決済み] に変更できるか評価を行います。
ウイルス対策の除外設定を追加してもプログラムやスクリプトの実行がブロックされます
プログラムやスクリプトなどの実行時の不正な動作が MDAV により検出されている場合、対象のプログラムやスクリプトをウイルス対策の除外に追加しても検出を抑制できない場合があります。
その場合は、以下の公開情報に記載の手順で Microsoft Defender ポータルや Microsoft セキュリティ インテリジェンス申請サイトから検体ファイルを弊社にアップロードし、解析を要求してください。
参考情報:分析用にファイルを提出する | Microsoft Learn
また、プログラムやスクリプトの動作が MDAV により検出されてしまう場合、以下の手順で分析用に Mpsupport.cab ファイルを提出することもできます。
- 検知が発生した端末で管理者権限で起動したコマンドプロンプトを起動し、
C:\ProgramData\Microsoft\Windows Defender\Platform\<プラットフォームのバージョン>にカレントフォルダを変更した後にMpCmdRun.exe -GetFilesを実行します。 - さまざまな診断ログを含む .cab ファイルが既定で
C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cabに生成されます。 - 取得した .cab ファイルを Microsoft による分析のためにファイルを送信する に従って Microsoft に送信します。
ファイルインジケータを登録した後もファイルの検出が行われます
MDE を利用する環境では、特定のファイルハッシュを持つファイルを対象とするファイルインジケータを作成することで特定のファイルの実行を許可、もしくはブロックすることができます。
ファイルインジケータの利用要件については下記の公開情報を参照してください。
参考情報:ファイルのインジケーターを作成 | Microsoft Learn
なお、もし特定のファイルを MDAV のウイルス対策スキャンの対象外としたい場合には、ファイルインジケータの許可ルールのみではなく、ウイルス対策の除外設定を追加することをおすすめします。
もし、特定のファイルを許可するインジケータを追加しているにも関わらず MDAV のスケジュールされたスキャンなどによる検出が継続する場合は、ファイルやフォルダのパスに基づくウイルス対策除外を追加で構成してください。
ウイルス対策の除外を追加しても MDE のアラート検出が行われます
Microsoft Defender ポータルから確認可能なアラートのうち、サービスソースが Microsoft Defender for Endpoint であり、かつ検出ソースが EDR のアラートは通常、MDE の EDR 検出機能により端末内で不審なアクティビティが検出されたことを示しています。
このような種類のアラートはウイルス対策の除外を追加しても抑制することはできないため、同様のアラートを発生させたくない場合にはアラート調整ルール(アラート抑制ルール)を追加する必要があります。
アラートの抑制ルールの設定方法については下記の公開情報を参照してください。
参考情報:Microsoft Defender for Endpoint 抑制ルールを管理する | Microsoft Learn
Windows セキュリティアプリや PowerShell から除外を追加できません
Windows セキュリティアプリや PowerShell コマンドレットを使用してウイルス対策の除外を追加できない場合、「一覧に関するローカル管理者の統合動作を構成する(DisableLocalAdminMerge)」が構成されている可能性があります。
端末に適用されている DisableLocalAdminMerge の設定値が 1 である場合、ローカル管理者は Windows セキュリティアプリや PowerShell コマンドレットを使用してウイルス対策や ASR の除外エントリを追加することができません。
もし DisableLocalAdminMerge の制限を解除したい場合は、適用しているポリシー設定を解除した上で OS の再起動を実施してください。
参考情報:ローカルおよびグローバルに定義された脅威の修復と除外リストのマージ方法を構成する | Microsoft Learn
警告
グループポリシーで「一覧に関するローカル管理者の統合動作を構成する(DisableLocalAdminMerge)」を構成する場合、使用するテンプレートのバージョンによってポリシーを有効化した場合に端末に反映される値が異なる点に注意が必要です。
“Administrative Templates (.admx) for Windows 11 2022 Update (22H2)” や “Administrative Templates (.admx) for Windows 10 November 2021 Update (21H2)” など、最新の管理用テンプレートを使用している場合、「一覧に関するローカル管理者の統合動作を構成する」の設定を [有効] に設定することでローカル管理者による除外エントリの追加が禁止されます。
環境変数を使用したパス除外が有効に動作しません
MDAV では、ファイルとフォルダのパスに基づくウイルス対策の除外を構成する際に環境変数を使用することができます。
しかし、MDAV のサービスは LocalSystem アカウントを使用して実行されているシステムサービスであるため、除外パスに環境変数を使用した場合、MDAV はユーザ環境変数ではなくシステム環境変数から情報を取得します。
そのため、例えば環境変数 %USERPROFILE% を除外リストに追加した場合、実際にウイルス対策の除外対象となるパスは C:\Users\<ユーザ名> ではなく C:\Windows\system32\config\systemprofile となる点に注意が必要です。
参考情報:ファイル名とフォルダー パスまたは拡張機能の除外リストで不適切な環境変数をワイルドカードとして使用する| Microsoft Learn
パスに基づくウイルス対策の除外に使用可能なシステム環境変数の一覧については以下の公開情報にてご案内しております。
参考情報:システム環境変数 | Microsoft Learn
CPU 使用率の高騰を解消するためにどのファイルを除外すればいいですか?
MDAV のリアルタイムスキャンの動作に起因して CPU 使用率の高騰が発生している場合、ユーザはパフォーマンスアナライザーなどのツールを利用してスキャン結果を分析し、パフォーマンスの改善のために除外が必要なファイルやフォルダを特定することができます。
参考情報:Microsoft Defender ウイルス対策用のパフォーマンス アナライザー | Microsoft Learn
参考情報:パフォーマンスに関する問題のトラブルシューティング | Microsoft Learn
なお、ユーザの環境で発生している問題の種類によっては、ウイルス対策の除外でパフォーマンスが改善しない場合や、問題の解消のために除外を追加する必要がない場合があります。
詳細については MDAV により CPU 使用率が高騰している場合のトラブルシューティング の記載を参照してください。
MDAV により CPU 使用率が高騰している場合のトラブルシューティング
ウイルス対策スキャンが CPU リソースを消費する理由
MDAV がシステムの CPU リソースを消費する理由の多くはウイルス対策スキャンの動作によるものです。
MDAV は、端末の設定や端末内の他のサービスやアプリケーションの動作などをきっかけに、短時間により多くのデータをスキャンする場合があります。
ウイルス対策ソフトウェアがデータのスキャンを行う際には CPU やメモリなどのシステムリソースを必要とするため、端末内で短時間に多くのデータのスキャンが発生した場合、システムリソースの消費量を一時的に増大させる場合があります。
なお、MDAV のウイルス対策スキャンには大きく分けて「リアルタイム保護機能によるスキャン」と「手動、もしくはスケジュール実行されたスキャン」の 2 つの種類があります。
リアルタイム保護機能によるスキャンは主に、端末内で利用しているサービスやアプリケーションがデータの読み書きを行う際に実施されます。
一方で、手動スキャンやスケジュールスキャンは、ユーザが Windows セキュリティアプリや Microsoft Defender ポータルなどからスキャンを要求した場合や、グループポリシーなどで事前定義されたポリシーによりトリガーされます。
Note
MDAV などのウイルス対策ソフトウェアはその特性上、他の種類のアプリケーションと比較して多くのシステムリソース(CPU やメモリなど)を使用する傾向にあります。
特に、リアルタイム保護機能を有効化している環境で短時間に多くのデータの読み書きを伴う操作を実施した場合、一時的に MDAV のリソース消費量が増加することを確認できます。
このように一時的に MDAV が利用するリソース消費量が増加することは製品の期待される動作であり、通常は要求されたスキャンの完了後、すぐにリソースの消費量も元に戻ります。
万が一、大量のデータの読み書きに伴う MDAV のリソース消費量の増加によって、サービスの遅延などの無視できない影響が発生している場合は、ウイルス対策の除外設定によりパフォーマンスが改善するかを確認することができます。
システムで CPU 使用率が高騰している場合の確認ポイント
システムの CPU 使用率が高騰している問題のトラブルシューティングを行う場合、まずはタスクマネージャーなどのツールを利用して、システム内でより多くの CPU リソースを消費しているプロセスを特定する必要があります。
Microsoft Defender Antivirus Service(MsMpEng.exe) が平均的に多くの CPU リソースを消費している場合、MDAV のウイルス対策スキャンの動作が関連しており、ウイルス対策の除外の追加が有効な軽減策となる可能性があります。
もし Microsoft Defender Antivirus Service(MsMpEng.exe) が平均的に多くの CPU リソースを消費していることを特定した場合、続けて以下の点を確認します。
- システム内に MDAV と同等、もしくはそれ以上にシステムリソースを消費しているプロセスが存在するか
- システム内で、多くのデータの読み書きを伴うサービスやアプリケーション、バッチジョブなどを実行しているか
- システムリソース消費量の高騰時に、手動もしくはスケジュールされたフルスキャンを実施しているか
他のサービスやアプリケーションなどが多くのデータの読み書きを伴う操作を頻繁に行っている場合、MDAV 以外のアプリケーションの動作に伴いトリガーされるリアルタイムスキャンにより、MDAV の消費するシステムリソースが増加している可能性が考えられます。
このようなリアルタイムスキャンの動作に伴う CPU 使用率が上昇自体は製品の期待される動作であり、異常を示すものではありませんが、必要に応じて適切なウイルス対策の除外設定を追加することでパフォーマンスを改善することが可能です。
一方で、ウイルス対策ソフトウェアのフルスキャンはシステム全体のファイルスキャンを行う機能であり、実施時には多くの時間とシステムリソースが消費されます。
もしフルスキャンに伴う CPU 使用率の高騰を解消したい場合、フルスキャンの代わりにリソース消費量の少ないクイックスキャンを使用するか、Microsoft Defender ウイルス対策のフルスキャンに関する考慮事項とベストプラクティス の情報を参照し、フルスキャン時に使用する CPU 使用率の上限を変更することを検討してください。
なお、フルスキャン時に使用可能な CPU 使用率の上限を低く設定することでシステムのパフォーマンスは改善する可能性がありますが、相対的にフルスキャンの完了までに要する時間が長くなる点に注意が必要です。
重要
フルスキャンは、スキャンする必要があるデータの量と種類に応じて、完了までに数時間または数日以上の時間を要します。
フルスキャンは多くの時間とシステムリソースを消費するため、一般に、フルスキャンを頻繁にスケジュール実行することは推奨しておりません。
参考情報:Microsoft Defender ウイルス対策を使用して定期的なクイック スキャンとフル スキャンをスケジュールする | Microsoft Learn
まとめ
本記事では、MDAV のウイルス対策の除外設定を中心に、各種保護機能による検出動作やその抑制方法などについて紹介しました。
最新の情報については、リンク先の公開情報をご参照ください。