Windows 10 バージョン1903のWindows Defender新機能(2)──保護の履歴:企業ユーザーに贈るWindows 10への乗り換え案内(58)
Windows 10 バージョン1903の「Windowsセキュリティ」では、以前の「脅威履歴(Threat History)」が「保護の履歴(Protection History)」に置き換えられました。「保護の履歴」では、「Windows Defenderオフライン」のスキャン結果の確認と操作の指示が可能になりました。実は、これまでのバージョンではできなかったことです。
Windowsセキュリティの「保護の履歴」の機能
前回(第57回)は、「Windows 10」バージョン1903の「Windowsセキュリティ」アプリの新機能「Windows Defenderウイルス対策」の設定にある「改ざん防止(Tamper Protection)」を紹介しました。今回は、同じくWindows 10 バージョン1903でWindowsセキュリティアプリの新機能「保護の履歴(Protection History)」を紹介します。
Windowsセキュリティアプリは、「Windows Defenderセキュリティセンター」という名前でWindows 10 バージョン1703で初めて導入され、Windows 10 バージョン1809で現在の名称に変更されました。今回紹介する「保護の履歴」は、Windows 10 バージョン1809までの「脅威履歴(Threat History)」を置き換え、機能を強化したものです。
「脅威履歴」は、Windows Defenderウイルス対策のスキャン結果の履歴を提供するものでした。これを置き換える形で登場した新たな「保護の履歴」は、Windows Defenderウイルス対策のスキャン結果だけでなく、スキャンの必要性の案内、推奨事項の通知(「改ざん防止」や「リアルタイム保護」がオフの状態など)、「コントロールされたフォルダーアクセス」(Windows 10 バージョン1709で追加されたランサムウェア防止機能)でブロックされた操作の確認などを1カ所に統合します(画面1)。
画面1 「脅威履歴」を置き換える「保護の履歴」は、Windows Defenderウイルス対策だけでなく、推奨されないセキュリティ設定の警告や「コントロールされたフォルダーアクセス」のブロック履歴にも対応
これまで「コントロールされたフォルダーアクセス」の履歴を確認するには、イベントログ(「Microsoft-Windows-Windows Defender/Operational」ログのイベントID「1123」)を参照する必要がありました。
Windows Defenderオフラインにスキャン結果の確認と操作指示
「脅威履歴」は、Windows Defenderウイルス対策のリアルタイム保護で検出された脅威やオンラインのスキャン結果が対象でした。「保護の履歴」では「Windows Defenderオフライン」のスキャン結果と、検出された脅威への操作の指定が可能になりました。Windows Defenderオフラインは、オンラインのWindowsとは別のインスタンスとして起動し、オフラインのWindowsから脅威を取り除くことができるスキャンツールです。
マルウェアの中には、Windowsがオンライン中、何らかの方法で感染や感染活動をウイルス対策ツールの監視から隠すものや、オンライン中では駆除が難しいものがあります。Windows Defenderオフラインを使用すると、オフラインのWindowsのファイルシステムを対象にスキャンを実行できるため、オンライン中のマルウェアによる妨害を避け、脅威を取り除くことができる場合があります。なお、Windows Defenderオフラインのスキャン対象は、Windowsがインストールされているドライブ(オンライン中のCドライブ)になります。
「Windows 7」や「Windows 8.1」向けにはWindows Defenderオフラインが起動メディア(作成ツール)という形で無料ダウンロード提供されており、作成したCD/DVDまたはUSBドライブからPCを起動してスキャンを実行できます。Windows 10 バージョン1607からは、Windows 10の一部として標準搭載されました。
- Windows Defenderオフラインを使ってPCを保護する(Windowsのサポート)
Windows DefenderオフラインはWindows 10 バージョン1607以降に標準搭載されていますが(Windows Serverには非搭載)、他社のマルウェア対策製品を導入しており、Windows Defenderウイルス対策が無効化されている場合、Windows Defenderオフラインを開始するためのオプションが表示されないので、この機能をご存じない方もいるかもしれません。
Windows Defenderウイルス対策が有効な場合は、次の場所から開始することができます。Windows PowerShellの「Start-MpWDOScan」を管理者権限で実行して開始することもできます。
- Windows 10 バージョン1809および1903
Windowsセキュリティ > ウイルスと脅威の防止 > スキャンのオプション > Windows Defenderオフラインスキャン(画面2) - Windows 10 バージョン1803
Windows Defenderセキュリティセンター > ウイルスと脅威の防止 > 新しい高度なスキャンを実行 > Windows Defenderオフラインスキャン - Windows 10 バージョン1703および1709
Windows Defenderセキュリティセンター > ウイルスと脅威の防止 > 高度なスキャン > Windows Defenderオフラインスキャン - Windows 10 バージョン1607
設定 > 更新とセキュリティ > Windows Defender > Windows Defenderオフライン
画面2 Windows Defenderウイルス対策が有効な場合、スキャンオプションの一つとしてWindows Defenderオフラインによるスキャンを開始できる(この画面はWindows 10 バージョン1903)
Windows Defenderオフラインを開始すると、作業内容の保存を促すスキャン開始の確認と、「ユーザーアカウント制御(UAC)」による続行の許可が求められます。実行するとPCが「Windows回復環境(Windows Recovery Environment、WinRE)」で再起動され、Windows Defenderオフライン用のスキャンツールが準備されてスキャンが始まります。ちなみに、スキャンツールの本体は、WinREに準備される「\ProgramData\Microsoft\Windows Defender\Offline Scanner\OfflineScannerShell.exe」です。
スキャンは15分以上(筆者の環境では30分程度)かかり、脅威の検出や駆除の状況がツールのUI(ユーザーインタフェース)に表示されます。ただし、スキャンが完了すると、脅威の検出の有無にかかわらず、PCが再起動され、Windows 10が通常起動するため、スキャン中に検出された脅威の詳細を確認する方法はありません(画面3)。目を離していると、脅威の検出状況を見逃してしまうでしょう。
しかしながら、Windows 10 バージョン1903ではWindowsセキュリティアプリの新しい「保護の履歴」でWindows Defenderオフラインのスキャン結果の確認と、削除された脅威に対する例外的な操作(今後は脅威を許可する)を実行できるようになりました(画面4)。
画面4 Windows 10 バージョン1903の「保護の履歴」では、Windows Defenderオフラインによるスキャンの履歴を確認できる。この例で検出された「Eicar」はテスト用ウイルスであり、筆者が意図的に仕込んだもので実害は一切ない
なお、Windows PowerShellの「Get-MpThreat」および「Get-MpThreatDetection」コマンドレットでは、以前の「脅威履歴」と同様にWindows Defenderウイルス対策のオンラインでのスキャン結果や脅威の検出を確認することはできますが、オフラインスキャンのスキャン結果には対応していません。
Windows DefenderオフラインはWinREでスキャンを実行するため、オンラインのWindowsのイベントログにはスキャン結果の記録は残りません。オフラインスキャンの履歴を参照できるのは、新しい「保護の履歴」だけのようです。
これまでのWindows 10のオフラインスキャンは?
関連記事
- さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。 - 次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。 - 複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。 - Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。 - Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。
Copyright © ITmedia, Inc. All Rights Reserved.