Windows 10 バージョン1903の「Windowsセキュリティ」では、以前の「脅威履歴(Threat History)」が「保護の履歴(Protection History)」に置き換えられました。「保護の履歴」では、「Windows Defenderオフライン」のスキャン結果の確認と操作の指示が可能になりました。実は、これまでのバージョンではできなかったことです。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
前回(第57回)は、「Windows 10」バージョン1903の「Windowsセキュリティ」アプリの新機能「Windows Defenderウイルス対策」の設定にある「改ざん防止(Tamper Protection)」を紹介しました。今回は、同じくWindows 10 バージョン1903でWindowsセキュリティアプリの新機能「保護の履歴(Protection History)」を紹介します。
Windowsセキュリティアプリは、「Windows Defenderセキュリティセンター」という名前でWindows 10 バージョン1703で初めて導入され、Windows 10 バージョン1809で現在の名称に変更されました。今回紹介する「保護の履歴」は、Windows 10 バージョン1809までの「脅威履歴(Threat History)」を置き換え、機能を強化したものです。
「脅威履歴」は、Windows Defenderウイルス対策のスキャン結果の履歴を提供するものでした。これを置き換える形で登場した新たな「保護の履歴」は、Windows Defenderウイルス対策のスキャン結果だけでなく、スキャンの必要性の案内、推奨事項の通知(「改ざん防止」や「リアルタイム保護」がオフの状態など)、「コントロールされたフォルダーアクセス」(Windows 10 バージョン1709で追加されたランサムウェア防止機能)でブロックされた操作の確認などを1カ所に統合します(画面1)。
これまで「コントロールされたフォルダーアクセス」の履歴を確認するには、イベントログ(「Microsoft-Windows-Windows Defender/Operational」ログのイベントID「1123」)を参照する必要がありました。
「脅威履歴」は、Windows Defenderウイルス対策のリアルタイム保護で検出された脅威やオンラインのスキャン結果が対象でした。「保護の履歴」では「Windows Defenderオフライン」のスキャン結果と、検出された脅威への操作の指定が可能になりました。Windows Defenderオフラインは、オンラインのWindowsとは別のインスタンスとして起動し、オフラインのWindowsから脅威を取り除くことができるスキャンツールです。
マルウェアの中には、Windowsがオンライン中、何らかの方法で感染や感染活動をウイルス対策ツールの監視から隠すものや、オンライン中では駆除が難しいものがあります。Windows Defenderオフラインを使用すると、オフラインのWindowsのファイルシステムを対象にスキャンを実行できるため、オンライン中のマルウェアによる妨害を避け、脅威を取り除くことができる場合があります。なお、Windows Defenderオフラインのスキャン対象は、Windowsがインストールされているドライブ(オンライン中のCドライブ)になります。
「Windows 7」や「Windows 8.1」向けにはWindows Defenderオフラインが起動メディア(作成ツール)という形で無料ダウンロード提供されており、作成したCD/DVDまたはUSBドライブからPCを起動してスキャンを実行できます。Windows 10 バージョン1607からは、Windows 10の一部として標準搭載されました。
Windows DefenderオフラインはWindows 10 バージョン1607以降に標準搭載されていますが(Windows Serverには非搭載)、他社のマルウェア対策製品を導入しており、Windows Defenderウイルス対策が無効化されている場合、Windows Defenderオフラインを開始するためのオプションが表示されないので、この機能をご存じない方もいるかもしれません。
Windows Defenderウイルス対策が有効な場合は、次の場所から開始することができます。Windows PowerShellの「Start-MpWDOScan」を管理者権限で実行して開始することもできます。
Windows Defenderオフラインを開始すると、作業内容の保存を促すスキャン開始の確認と、「ユーザーアカウント制御(UAC)」による続行の許可が求められます。実行するとPCが「Windows回復環境(Windows Recovery Environment、WinRE)」で再起動され、Windows Defenderオフライン用のスキャンツールが準備されてスキャンが始まります。ちなみに、スキャンツールの本体は、WinREに準備される「\ProgramData\Microsoft\Windows Defender\Offline Scanner\OfflineScannerShell.exe」です。
スキャンは15分以上(筆者の環境では30分程度)かかり、脅威の検出や駆除の状況がツールのUI(ユーザーインタフェース)に表示されます。ただし、スキャンが完了すると、脅威の検出の有無にかかわらず、PCが再起動され、Windows 10が通常起動するため、スキャン中に検出された脅威の詳細を確認する方法はありません(画面3)。目を離していると、脅威の検出状況を見逃してしまうでしょう。
しかしながら、Windows 10 バージョン1903ではWindowsセキュリティアプリの新しい「保護の履歴」でWindows Defenderオフラインのスキャン結果の確認と、削除された脅威に対する例外的な操作(今後は脅威を許可する)を実行できるようになりました(画面4)。
なお、Windows PowerShellの「Get-MpThreat」および「Get-MpThreatDetection」コマンドレットでは、以前の「脅威履歴」と同様にWindows Defenderウイルス対策のオンラインでのスキャン結果や脅威の検出を確認することはできますが、オフラインスキャンのスキャン結果には対応していません。
Windows DefenderオフラインはWinREでスキャンを実行するため、オンラインのWindowsのイベントログにはスキャン結果の記録は残りません。オフラインスキャンの履歴を参照できるのは、新しい「保護の履歴」だけのようです。
Copyright © ITmedia, Inc. All Rights Reserved.