Vistaの地平
|
|
|
Windows Defenderの一連の処理の基本となる、スパイウェアの検出について、この項で述べる。
Windows Defenderの定義ファイルとその更新
Windows Defenderでは、検出エンジンを用いて、コンピュータ上で起動するプログラムやインストールされたソフトウェアをスキャンし、定義ファイルと照合して「正当なソフトウェア」「悪意のあるソフトウェア」「未知のソフトウェア」の3つに分類する。また、その結果を基にユーザーへの報告とその後に行う操作の選択肢を提供する。
Windows Defenderの定義ファイルには、スパイウェアやそのほかの迷惑ソフトウェアに関して、マイクロソフト側(「アナリスト」としている)で分析された情報を基に作成された「スパイウェア定義ライブラリ」が格納されている。分析に関する詳細については、以下のページにまとめられている。
- Windows Defenderがスパイウェアを特定する方法(マイクロソフト)
なお、ユーザーがWindows Defenderでの検出項目に対して行った操作(「削除」「ブロック」「許可」の3つ)の選択は、「SpyNet」と呼ばれる仕組みでほかのユーザーへも参考情報として提供される。この機能はWindows Vistaではデフォルトで有効になっている。SpyNet での投票結果は、マイクロソフト側でも定義ファイル更新の参考情報として利用している。
Windows Defenderでは、「Windows Update」と同じ仕組みを用い、オンラインで定義ファイルの更新を実施する。Windows Updateの「自動更新」と同様に最新の定義ファイルを自動取得することもできる。また、スケジュールされた自動スキャンが開始される前に、更新された定義ファイルがあるかどうかを確認するオプションが、デフォルトで選択されている。
ディスク・スキャン
Windows Defenderにおけるコンピュータのスキャン処理では、スパイウェア感染の可能性が高い領域のみをチェックする「クイック スキャン」と、すべてのハードディスク領域をスキャンする「フル スキャン」、および特定のドライブとフォルダを選択してスキャンを実施する「カスタム スキャン」の3つから選ぶことができる。
また、クイック・スキャンかフル・スキャンのいずれかをスケジュール実行するよう設定することができ、併せてスキャン開始前に定義ファイルの更新を行うかどうか、検出された項目に既定の動作を割り当てるかどうかも設定できる。
リアルタイム保護
Windows Defenderには、ディスクのスキャンによる検出のほかに、コンピュータにスパイウェアや迷惑ソフトウェアがインストールされようとしたとき、あるいはそのようなソフトウェアが実行されそうになったときに、これをリアルタイムに検知し、警告を通知する保護機能がある。
リアルタイム保護では、「エージェント」と呼ばれる9種類のオプションがあり、それぞれコンピュータの保護に重要な役割を持っている。必要なら、エージェントごとに処理の有効化/無効化を設定できる。
リアルタイム保護エージェント | 監視対象 |
自動的に開始 | コンピュータ起動時に自動起動されるプログラムの一覧。スタートアップ・フォルダならびに“autorun”のレジストリ値を持つレジストリ・キー |
システムの構成(設定) | Windowsにおけるセキュリティ設定 |
Internet Explorerのアドオン | Internet Explorerの起動時に実行されるプログラム |
Internet Explorerの構成(設定) | ブラウザのセキュリティ設定 |
Internet Explorerのダウンロード | ActiveXコントロールなどがダウンロードされ実行されるかどうか |
サービスとドライバ | Windowsサービスあるいはデバイス・ドライバ |
アプリケーションの実行 | プログラムの起動や付随する処理の状況 |
アプリケーションの登録 | プログラムを登録して実行するOSのツールおよびファイル |
Windowsのアドオン | アドオンプログラム |
リアルタイム保護のエージェント | |
Windows Defenderのリアルタイム保護で選択可能な項目。同様の説明がWindows Defenderのヘルプにも記載されている。 |
これらの監視項目では、主にWindowsのシステム保護領域にあるファイルやレジストリをそれぞれ監視し、構成に変更があった場合に検知して警告を発する仕組みになっている。
Windows Defenderのオプションにおけるエージェントの設定 | |||||||||
リアルタイム保護のオプションを個別に設定できる。
|
冒頭で示した、スパイウェア検知のダイアログ・メッセージは、リアルタイム・スキャンの結果によるものである。このうち、スパイウェアのインストール検知は、起動プロセスの監視から得られたプロセス名を基に、定義ファイルを検索した結果からプログラムの素性を確認している。また、Internet Explorerのダウンロードではファイル名を元基に照合が行われ、「保存先への格納時」に警告が表示される。これは、Internet Explorerのダウンロード時には、Temporary Internet Files配下のフォルダに「007install[1].exe」といった別の一時ファイル名で保存されるため、検出できないからだ。
INDEX | ||
Vistaの地平 | ||
第9回 スパイウェアからコンピュータを保護するWindows Defender | ||
1.スパイウェアとは何か | ||
2.Windows Defenderの機能概要 | ||
3.システムのスキャン | ||
4.スキャン・オプションとソフトウェア・エクスプローラ | ||
5.Windows Defenderをグループ・ポリシーで管理する | ||
「 Vistaの地平 」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|