Windows ServerでWindows Defenderウイルス対策を効果的に使用する方法

注: 一部の設定では、Windows セキュリティ アプリ (UWP/APPX) をインストールまたは再登録した後、「You’ll need a new app to open this windowsdefender」のような奇妙なエラーが発生することがあります。なぜ発生するかはわかりませんが、PowerShell で再登録すると、Windows がそれを再び認識するようになります。

Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft. Windows. SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"

この手順により、特にシステムの調整やアップグレードを行った後に、Defender GUI が突然機能しなくなったりエラーが発生したりした場合に、問題が解消される可能性があります。

Windows Server で Windows Defender GUI が見つからない、または無効になっている場合の修復方法

方法1: Server 2016または2019でDefender GUIを有効にする

• ここでは主に機能のインストールについて説明します。管理者としてPowerShellを開き、以下を実行します。
• Install-WindowsFeature -Name Windows-Defender-GUI
• これによりGUIコンポーネントが追加され、設定のセキュリティからの管理が容易になります。設定によっては、インストール後にサーバーの再起動が必要になる場合もありますが、多くの場合、インストール後にアプリを開くだけで十分です。

これは便利です。正直なところ、コマンドラインは設定を確認したり切り替えたりするのが最も簡単な方法とは限らないからです。特にGUIに慣れている場合はなおさらです。「設定」>「更新とセキュリティ」>「Windows セキュリティ」にDefenderアイコンが表示されます。

方法2: Defenderまたはセキュリティアプリを再登録する

• GUI が開かない場合や奇妙なエラーが発生する場合は、Windows セキュリティ アプリを再登録します。
• Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft. Windows. SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"
• PowerShellで管理者権限で実行してください。Windowsはアプリの登録を忘れたり、アップデート後に間違えて登録してしまうことがあります。これは基本的に、Windowsにセキュリティアプリを再度認識させて読み込むように指示するものです。一部のマシンでは、これで「新しいアプリが必要です」という奇妙なエラーが解消されました。

Windows Server で Windows Defender をアンインストールまたは無効化する方法

Server 2016/2019でDefenderを手動で無効化する

• 通常、サードパーティ製のウイルス対策ソフトをインストールすると、Defenderは自動的に無効化されます。しかし、サーバー上で完全に手動で制御したい場合は、以下の手順でアンインストールできます。
• Uninstall-WindowsFeature -Name Windows-Defender
• これにより、Defenderサービスが削除されます。ただし、別のウイルス対策ソフトを導入していない場合は削除しないでください。リスクがあります。

一時的に無効にしたいだけの場合は、アンインストールするのではなく、グループ ポリシーまたは PowerShell 設定を使用して無効にすることをお勧めします。特に、後で組み込みの保護が必要になる可能性がある場合は、これが適切です。

PowerShell による Defender の管理 – 概要

• サービスが実行中かどうかを確認します: Get-Service WinDefend。(通常は実行中であるはずです。)
• 現在のステータスと設定を確認します: Get-MpComputerStatus最終更新、有効なコンポーネント、最終スキャン時間などの情報を取得します。
• リアルタイム保護を無効にする Set-MpPreference -DisableRealtimeMonitoring $true: (何をしているのかよく分かっていない限り、長期的にはお勧めできません。)
• リアルタイムを再度有効にします: Set-MpPreference -DisableRealtimeMonitoring $false。
• 誤ってフラグが付けられたUSBドライブやフォルダをお持ちですか？除外を追加できます。
• Set-MpPreference -ExclusionPath "C:\PathToExclude"
• Set-MpPreference -ExclusionProcess "processname.exe"

リモートDefenderレポートを取得する方法 – 各サーバーを手動で確認するのは面倒なので

• この記事のスクリプトは、Invoke-Commandと Active Directory を使用してすべてのサーバーを検索し、 WinRM 経由でリモートからGet-MpComputerStatusを実行します。多数のサーバーがあり、それらの Defender ステータスの概要を素早く確認したい場合に便利です。
• 検出レポートの場合、スクリプトはGet-MpThreatDetectionをリモートで呼び出します。これもPowerShellリモート処理とAD情報を使用します。サーバーでWinRMが有効になっていること、および権限があることを確認してください。

Defenderの定義を更新する – 最新の状態に保たないと

• DefenderはWindows Updateで自動的に更新されますが、サーバーにインターネット接続がない場合や手動で更新したい場合は、MicrosoftのDefender更新サイトから更新ファイルをダウンロードできます。その後、ソースを指定してSet-MpPreference -SignatureDefinitionUpdateFileSharesSources \\shared\folder実行してくださいUpdate-MpSignature -UpdateSource FileShares。
• 場合によっては、更新が壊れた後に、MPCMDRUN ツールを使用して定義データベースをリセットする必要があります。

"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All "%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -SignatureUpdate

グループポリシー経由でDefenderポリシーを精査する

• 設定は、「コンピューターの構成」>「ポリシー」>「管理用テンプレート」>「Windowsコンポーネント」>「Windows Defenderウイルス対策」で確認できます。数十種類の設定を切り替えることができます。例えば、完全にオフにすること（テスト目的以外では推奨されません）、除外設定、通知設定、スケジュールスキャンの設定などです。
• ポリシーの詳細については、「Microsoft Docs: Defender のグループ ポリシーの使用」を参照してください。