Kaciy Discovery

ソフトウェアの配布、プログラミング、セキュリティ、ソフトウェア紹介、など。

Windows搭載のセキュリティ機能「Windows Defender」の機能と使い方

Windows搭載のセキュリティ機能「Windows Defender」の機能と使い方を紹介します。

 

Windows 10 April Update 2018のWindows Defenderで説明します。

それ以外のバージョンではデザインが違ったり機能が違う場合があります。

 

説明

Windows DefenderはWindowsに標準で搭載されているセキュリティ機能です。

他の(サードパーティ製)セキュリティソフトがインストールされている(又は保護機能が有効になっている)場合は、Windows Defenderのリアルタイム保護機能は自動で無効になるので、他のセキュリティソフトと併用できるようになっています。ただし、全ての機能が無効になるわけではなく、併用できない機能だけが無効になります。

Windowsのバージョンによって機能や性能が違い、最新のWindowsのほうが機能が多く性能が良くなっています。セキュリティソフトを評価している機関がありますが、古いバージョンを使用している場合は、保護性能や検出率が低くなることを考慮しておく必要があります。

Windows Defenderはハードウェアに搭載されている機能を利用します。最新のハードウェアでないと使えない機能があり、その場合は古いパソコンだと最大限の性能を発揮できません。

最新のバージョンでも機能は最低限の機能しかありません。個人情報を扱ったりネットショッピングやオンラインバンキングを利用するには十分とは言えません。最近の攻撃は巧妙で、どんなに性能が良くても機能が少ないと防ぐことが困難になっています。

利用するのであれば、どのような機能があり、必要な機能があるのかを理解したうえで使用するべきです。安易にWindows Defenderで十分と言っている人がいますが、その考えはとても危険です。

 

「Windows Defender」のランサムウェア対策機能は役に立たない

 

機能

・リアルタイム保護

クラウド提供の保護

・スキャン、オフラインスキャン

・アプリとブラウザーコントロール (SmartScreen、エクスプロイトプロテクション)

ランサムウェアの防止

Windows Defender ファイアウォール

・保護者による制限

Windows Defender Advanced Threat Protection (企業向け)

 

性能

「Windows Defender」の性能評価とその他の評価 複数のセキュリティソフトと比較

 

セキュリティソフトをテストしている評価機関では、最近は高い検出率になっていますが、主に既知のマルウェアでテストされているので高い検出率になっています。ですが、重要なのは新種の検出率(検知性能)です。

新種のみでは性能の良いものと比べて低い検出率です。

 

機能の説明

リアルタイム保護

マルウェアに感染しないように保護する機能です。ウイルス定義を利用して既知のマルウェアから保護したり、ヒューリスティックやふるまい検知などの技術を利用して新種の(ウイルス定義に登録されていない)マルウェアから保護できます。

新種のマルウェアを検知する精度はあまり良くはないようで、誤って検知することが多いとの情報があり注意が必要です。

 

クラウド提供の保護

クラウド上でファイルの安全性を検査します。パソコンで検査するよりも高精度に判定できます。

全てのファイルがクラウド上で検査されるわけではありません。

 

オフラインスキャン

オフラインスキャンはWindowsが起動していない状態でスキャンします。他のプログラム(アプリ)が動いていないので処理をスキャンに集中させることができ、スキャンが早く終わります。

さらに、マルウェアも動いていないので、Windows Defenderが検出や駆除するのを妨害されることがありません。

 

SmartScreen

SmartScreenには2種類あります。不正なアプリやファイルからの保護、危険なサイト(マルウェアサイトやフィッシングサイトなど)からの保護、があります。

不正なアプリからの保護となっていますが、マイクロソフトが安全性を確認していないアプリが警告されます。警告が出たからといって危険なわけではありません。利用者が少ないアプリや、公開されたばかりの最新バージョンのアプリだと警告は出ます(全てではないですが)。利用者の少ないアプリでない限り短期間で警告は出なくなります。

危険サイトからの保護は「Microsoft Edge」と「Internet Explorer」のみで、それ以外のブラウザは保護されません。他のブラウザでも危険サイトから保護する機能はありますが、危険サイトとして登録されていない場合は防げないので(解析して安全性を確認する機能はない)、他の対策が必要になります。

 

エクスプロイトプロテクション

不正なプログラムの実行を阻止する機能で、脆弱性対策機能です。

 

ランサムウェアの防止

ランサムウェアからファイルが書き換えられないように保護する機能です。

保護しているフォルダ(中にあるファイルやフォルダが対象)が変更を加えられないように保護します。ファイルが作成される場合でも保護の対象になります。

指定したフォルダは保護されますが、それ以外は保護されないので注意が必要です。

許可したアプリは変更を加えることができますが、許可していないアプリは変更を加えることができません。Windowsに標準搭載のアプリでも許可されていない場合は保護されます。ただし、一部のアプリは最初から除外されているようです。

除外されていることを悪用するなどして、保護機能を回避して書き換えることができるとの専門家の調査結果があるので、確実に保護できるわけではないようです。実際にランサムウェアに感染して試してみましたが、保護を回避されて書き換えられてしまいました。

 

Windows Defender ファイアーウォール

不正な通信だと判断した場合に通信を止める機能です。

リアルタイム保護機能ではマルウェアを検知できない場合があります。そこで、通信を監視して不審な通信を止めることで、情報流出を防いだりすることができます。最後の砦のようなものと考えると分かりやすいかもしれません。

受信は厳しい判定がされているようですが、送信は基本的に全て許可(極端に言えば監視していないのと同じようなこと)されているようで、特に怪しいと判断しない限り止めないようです。

基本的に手動でアプリの通信を許可するかを設定する必要があります。初心者向けではないので安易に設定しないほうがいいでしょう。

私は「Windows Defender ファイアーウォール」はお勧めできません。

 

保護者による制限

親が子供にパソコンを使用させる場合の制限機能です。

この機能を利用するにはマイクロソフトのアカウントでログオンしている必要があります。

閲覧できるウェブサイトの制限、パソコンの使用時間制限、閲覧したウェブサイトや使用したアプリや使用時間の確認、アプリの購入制限、などの機能があります。

インターネットを利用して設定するので、別のパソコンからでも設定できます。

 

Windows Defender Advanced Threat Protection

企業向けの機能になります。

これには様々な保護機能があり、個人向けのWindows Defenderよりも高度な検知能力があります。

 

使い方

Windows Defenderの画面を開く方法を紹介します。

f:id:kaciy_discovery:20180504223327j:plain

タスクバーのタスクトレイのアイコンをダブルクリックすると開きます。

f:id:kaciy_discovery:20180504223633j:plain

右クリック - 「セキュリティダッシュボードの表示」でも開けます。

f:id:kaciy_discovery:20180504223729j:plain

 

SmartScreenとExploit protectionの説明と使い方

スキャンする方法

ランサムウェア対策の設定方法

除外設定の方法

マルウェアが検知された場合の表示

検体を送信する方法 - ファイルの安全性を調べてもらいたい、マルウェアだから検知対応して欲しい、などの場合

検疫(隔離)されたファイルを復元する方法

ファイアウォール」の使い方