Windows 10 バージョン1903のWindows Defender新機能(2)──保護の履歴:企業ユーザーに贈るWindows 10への乗り換え案内(58)
Windows 10 バージョン1903の「Windowsセキュリティ」では、以前の「脅威履歴(Threat History)」が「保護の履歴(Protection History)」に置き換えられました。「保護の履歴」では、「Windows Defenderオフライン」のスキャン結果の確認と操作の指示が可能になりました。実は、これまでのバージョンではできなかったことです。
Windowsセキュリティの「保護の履歴」の機能
前回(第57回)は、「Windows 10」バージョン1903の「Windowsセキュリティ」アプリの新機能「Windows Defenderウイルス対策」の設定にある「改ざん防止(Tamper Protection)」を紹介しました。今回は、同じくWindows 10 バージョン1903でWindowsセキュリティアプリの新機能「保護の履歴(Protection History)」を紹介します。
Windowsセキュリティアプリは、「Windows Defenderセキュリティセンター」という名前でWindows 10 バージョン1703で初めて導入され、Windows 10 バージョン1809で現在の名称に変更されました。今回紹介する「保護の履歴」は、Windows 10 バージョン1809までの「脅威履歴(Threat History)」を置き換え、機能を強化したものです。
「脅威履歴」は、Windows Defenderウイルス対策のスキャン結果の履歴を提供するものでした。これを置き換える形で登場した新たな「保護の履歴」は、Windows Defenderウイルス対策のスキャン結果だけでなく、スキャンの必要性の案内、推奨事項の通知(「改ざん防止」や「リアルタイム保護」がオフの状態など)、「コントロールされたフォルダーアクセス」(Windows 10 バージョン1709で追加されたランサムウェア防止機能)でブロックされた操作の確認などを1カ所に統合します(画面1)。
画面1 「脅威履歴」を置き換える「保護の履歴」は、Windows Defenderウイルス対策だけでなく、推奨されないセキュリティ設定の警告や「コントロールされたフォルダーアクセス」のブロック履歴にも対応
これまで「コントロールされたフォルダーアクセス」の履歴を確認するには、イベントログ(「Microsoft-Windows-Windows Defender/Operational」ログのイベントID「1123」)を参照する必要がありました。
Windows Defenderオフラインにスキャン結果の確認と操作指示
「脅威履歴」は、Windows Defenderウイルス対策のリアルタイム保護で検出された脅威やオンラインのスキャン結果が対象でした。「保護の履歴」では「Windows Defenderオフライン」のスキャン結果と、検出された脅威への操作の指定が可能になりました。Windows Defenderオフラインは、オンラインのWindowsとは別のインスタンスとして起動し、オフラインのWindowsから脅威を取り除くことができるスキャンツールです。
マルウェアの中には、Windowsがオンライン中、何らかの方法で感染や感染活動をウイルス対策ツールの監視から隠すものや、オンライン中では駆除が難しいものがあります。Windows Defenderオフラインを使用すると、オフラインのWindowsのファイルシステムを対象にスキャンを実行できるため、オンライン中のマルウェアによる妨害を避け、脅威を取り除くことができる場合があります。なお、Windows Defenderオフラインのスキャン対象は、Windowsがインストールされているドライブ(オンライン中のCドライブ)になります。
「Windows 7」や「Windows 8.1」向けにはWindows Defenderオフラインが起動メディア(作成ツール)という形で無料ダウンロード提供されており、作成したCD/DVDまたはUSBドライブからPCを起動してスキャンを実行できます。Windows 10 バージョン1607からは、Windows 10の一部として標準搭載されました。
- Windows Defenderオフラインを使ってPCを保護する(Windowsのサポート)
Windows DefenderオフラインはWindows 10 バージョン1607以降に標準搭載されていますが(Windows Serverには非搭載)、他社のマルウェア対策製品を導入しており、Windows Defenderウイルス対策が無効化されている場合、Windows Defenderオフラインを開始するためのオプションが表示されないので、この機能をご存じない方もいるかもしれません。
Windows Defenderウイルス対策が有効な場合は、次の場所から開始することができます。Windows PowerShellの「Start-MpWDOScan」を管理者権限で実行して開始することもできます。
- Windows 10 バージョン1809および1903
Windowsセキュリティ > ウイルスと脅威の防止 > スキャンのオプション > Windows Defenderオフラインスキャン(画面2) - Windows 10 バージョン1803
Windows Defenderセキュリティセンター > ウイルスと脅威の防止 > 新しい高度なスキャンを実行 > Windows Defenderオフラインスキャン - Windows 10 バージョン1703および1709
Windows Defenderセキュリティセンター > ウイルスと脅威の防止 > 高度なスキャン > Windows Defenderオフラインスキャン - Windows 10 バージョン1607
設定 > 更新とセキュリティ > Windows Defender > Windows Defenderオフライン
画面2 Windows Defenderウイルス対策が有効な場合、スキャンオプションの一つとしてWindows Defenderオフラインによるスキャンを開始できる(この画面はWindows 10 バージョン1903)
Windows Defenderオフラインを開始すると、作業内容の保存を促すスキャン開始の確認と、「ユーザーアカウント制御(UAC)」による続行の許可が求められます。実行するとPCが「Windows回復環境(Windows Recovery Environment、WinRE)」で再起動され、Windows Defenderオフライン用のスキャンツールが準備されてスキャンが始まります。ちなみに、スキャンツールの本体は、WinREに準備される「\ProgramData\Microsoft\Windows Defender\Offline Scanner\OfflineScannerShell.exe」です。
スキャンは15分以上(筆者の環境では30分程度)かかり、脅威の検出や駆除の状況がツールのUI(ユーザーインタフェース)に表示されます。ただし、スキャンが完了すると、脅威の検出の有無にかかわらず、PCが再起動され、Windows 10が通常起動するため、スキャン中に検出された脅威の詳細を確認する方法はありません(画面3)。目を離していると、脅威の検出状況を見逃してしまうでしょう。
しかしながら、Windows 10 バージョン1903ではWindowsセキュリティアプリの新しい「保護の履歴」でWindows Defenderオフラインのスキャン結果の確認と、削除された脅威に対する例外的な操作(今後は脅威を許可する)を実行できるようになりました(画面4)。
画面4 Windows 10 バージョン1903の「保護の履歴」では、Windows Defenderオフラインによるスキャンの履歴を確認できる。この例で検出された「Eicar」はテスト用ウイルスであり、筆者が意図的に仕込んだもので実害は一切ない
なお、Windows PowerShellの「Get-MpThreat」および「Get-MpThreatDetection」コマンドレットでは、以前の「脅威履歴」と同様にWindows Defenderウイルス対策のオンラインでのスキャン結果や脅威の検出を確認することはできますが、オフラインスキャンのスキャン結果には対応していません。
Windows DefenderオフラインはWinREでスキャンを実行するため、オンラインのWindowsのイベントログにはスキャン結果の記録は残りません。オフラインスキャンの履歴を参照できるのは、新しい「保護の履歴」だけのようです。
これまでのWindows 10のオフラインスキャンは?
バージョン1809以前のWindows 10のWindows Defenderオフラインスキャンは、実行中のスキャンツールのUIを目で監視する以外に、脅威が検出されたことや、取り除かれたことを知ることはできませんでした。「脅威履歴」はオフラインスキャンの履歴が含まれないことは、実際に脅威が検出されたことをスキャン中のUIで知ることがなければ気が付かないはずです。
前出のサポート情報「Windows Defenderオフラインを使ってPCを保護する」(最終更新日:2019/02/21)は、本稿執筆時点でWindows 10 バージョン1809以前向けの内容になっていますが、オフラインスキャンの結果が「脅威履歴」で確認できるように説明されてはいるものの、実際はそうではありませんでした。
以下の画面5と画面6は、それぞれWindows 10 バージョン1809とWindows 10 バージョン1803のWindows Defenderオフラインスキャンで、テストウイルスを検出させたものです。
画面6 Windows 10 バージョン1803のオフラインスキャン。何らかの脅威を検出したことは分かるが、それが取り除かれたのかどうか分からないまま自動的に再起動してしまう。「脅威履歴」には履歴は残らない
前出のサポート情報には、Windows 10 バージョン1809のスキャンツールのUIはWindows 10 バージョン1903と同じであり、「Windowsに戻ると、検出された脅威の一覧をWindowsセキュリティ履歴の一覧で確認できます」とあります。表現に一貫性がありませんが、「Windowsセキュリティ履歴の一覧」とは「脅威履歴」のことです。
しかし、実際には「脅威履歴」に検出され、取り除かれた脅威の履歴は存在しません。Windows 10 バージョン1803のスキャンツールのUIは、Windows 10 バージョン1607以前やWindows 8.1のWindows Defenderとよく似た古いものですが、脅威を検出してもスキャンツールで確認することはできず、スキャンが完了すると自動的に再起動されてしまいます。そして、こちらも「脅威履歴」にオフラインスキャンの履歴は残りません。
次の画面7は、スタンドアロンツールとしてWindows 7/8.1向けにダウンロード提供されているWindows Defenderオフラインのスキャンです。
画面7 Windows 7/8.1向けにダウンロード提供されているWindows Defenderオフライン。スキャン完了後に自動的に再起動することはないため、検出された脅威の削除の指示や、カスタムスキャンの実行が可能
Windows 10 バージョン1803までのUIと検出時のメッセージ「スキャンが完了した時点で、検出された項目を確認できます」は、「You can review detected items when the scan has completed」と同じものです。しかし、こちらのツールはメッセージ通り、検出された脅威を削除する操作をユーザーが実行できます。
これに対して、Windows 10のWindows Defenderオフラインは、自動的に脅威が削除され、その後、すぐにPCが再起動してしまいます。Windows 10におけるメッセージと実際の挙動の不一致は、この辺りに由来するようです。
他社ウイルス対策製品導入済みでもWindows Defenderは利用可能
Windows Defenderウイルス対策はWindows 10標準搭載のマルウェア対策ですが、他社のマルウェア対策製品を導入すると既定で無効になります。また、他社のマルウェア製品をアンインストールすると、再びWindows Defenderウイルス対策が有効になります。
前述したように、Windows Defenderウイルス対策が無効化されている場合は、Windows Defenderオフラインを開始するためのオプションが表示されません。しかしながら、他社のマルウェア対策製品を導入済みの場合でも、オプションでWindows Defenderウイルス対策によるスキャンを有効にすることが可能です。このスキャンには、Windows Defenderオフラインスキャンも含まれます。
それには、Windowsセキュリティアプリで「ウイルスと脅威の防止」を開き、他社のマルウェア製品のステータス下に表示される「Windows Defenderウイルス対策のオプション」の「定期的なスキャン」をオンに切り替えます。これにより、Windows Defenderウイルス対策のスキャンのオプションを開いて、Windows Defenderオフラインスキャンを選択して開始することができます(画面8)。
画面8 他社のマルウェア対策製品を利用している場合でも、「Windows Defenderウイルス対策のオプション」で「定期的なスキャン」をオンに切り替えることで、Windows Defenderオフラインスキャンを開始できるようになる
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2019-2020)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。
次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。
複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。
Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。
Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。