Microsoft Defender でセキュアスコアを確認していたところ、ブロック モードで PUA の保護を有効にする の項目が要対処でした。
本記事は Microsoft Intune を使ってDefenderの望ましくない可能性のあるアプリケーション(PUA)の保護を設定した記録となります。
別記事で Microsoft Intune を使ってMicrosoft EdgeのPUAの保護 の設定も紹介しています。
あわせて読みたい
Intuneを使ってMicrosoft EdgeのPUAの保護を有効にする
本記事では下記記事の追加対策として、Microsoft Intune を使ってMicrosoft EdgeのPUAの保護を設定で対応した記録となります。 別記事で Microsoft Intune を使ってDefe…
実際にWindows端末で有効化を行い、動作検証を実施しました。
ふぅたこふぅたこです。X(Twitter)もやってます。お問い合わせはこちらです
目次
望ましくない可能性のあるアプリケーション(PUA)の保護とは?
望ましくない可能性のあるアプリケーション(PUA)を検出してブロックする機能です。
※PUAとはマルウェアは含みません。
Microsoft では、特定のカテゴリとカテゴリ定義を使用して、ソフトウェアを PUA として分類しています。
| ソフトウェアの種類 | 説明 |
|---|---|
| 広告ソフトウェア | 広告やプロモーションを表示するソフトウェア、または他の製品やサービスの調査を完了するように求めるソフトウェア。これには、Webページに広告を挿入するソフトウェアが含まれます。 |
| Torrent ソフトウェア (エンタープライズのみ) | ピアツーピアのファイル共有テクノロジで特に使用される急流やその他のファイルを作成またはダウンロードするために使用されるソフトウェア。 |
| 暗号化ソフトウェア (エンタープライズのみ) | デバイスリソースを使用して暗号通貨をマイニングするソフトウェア。 |
| バンドルソフトウェア | 同じエンティティによって開発されていない、またはソフトウェアを実行するために必要ではない他のソフトウェアをインストールすることを提供するソフトウェア。また、このドキュメントに記載されている条件に基づいてPUAとして適格な他のソフトウェアをインストールすることを提供するソフトウェア。 |
| マーケティングソフトウェア | マーケティング調査のために、ユーザーの活動を監視し、それ以外のアプリケーションまたはサービスに送信するソフトウェア。 |
| 回避ソフトウェア | セキュリティ製品の存在下で動作が異なるソフトウェアを含め、セキュリティ製品による検出を積極的に回避しようとするソフトウェア。 |
| 業界の評判が低い | 信頼できるセキュリティプロバイダーがセキュリティ製品で検出するソフトウェア。セキュリティ業界は、顧客の保護とエクスペリエンスの向上に専念しています。Microsoftとセキュリティ業界の他の組織は、分析したファイルに関する知識を継続的に交換して、ユーザーに可能な限り最高の保護を提供します。 |
検証環境
- Microsoft 365 Business Premium プラン
- 作業端末:Windows 11 Pro
Microsoft Defenderからの対策方法
- Microsoft Defender Antivirusを主要なアンチウイルスソリューションとして有効にし、リアルタイム保護を有効にする:
- スタートメニューを開き、「Windows セキュリティ」を検索して開きます。
- 左側のメニューから「ウイルスと脅威の防止」を選択します。
- 「設定の管理」をクリックし、「リアルタイム保護」がオンになっていることを確認します。
- PUA保護をブロックモードで有効にする:
- 「Windows セキュリティ」の「ウイルスと脅威の防止」セクションに戻ります。
- 「設定の管理」をクリックし、「潜在的に望ましくないアプリのブロック」をオンにします。
- 「ブロックモード」を選択します。
ふぅたこMicrosoft Defender の対策方法を Intuneの設定に落とし込んでいくよ
Microsoft Intuneによる設定
- Microsoft Intune 管理センターを開く。
- エンドポイント セキュリティ > ウィルス対策 を開いて「ポリシーを作成」する。
- プラットフォーム「Windows」、プロファイル「Microsoft Defender ウィルス対策」を選択して「作成」をクリック。
- 構成設定タブで、リアルタイム監視を許可するの設定値を「許可済み。リアルタイム監視サービスをオンにして実行します。(既定)」を選択します。
- 構成設定タブで、PUA保護の設定値を「PUAの保護が有効になります。検出された項目はブロックされます。これらは、他の脅威と共に履歴に表示されます。」を選択します。
- 必要に応じて、その他のMicrosoft Defender ウィルス対策の設定も実施しました。
サンプル エンドポイント セキュリティ ウィルス対策設定例
ふぅたこ環境の設定例をまとめてみました。
ふぅたこ利用する環境で最適解は異ります。
適切にカスタマイズしてください。
| 設定項目 | 状態 |
|---|---|
| アーカイブのスキャンを許可する | 許可済み。アーカイブ ファイルをスキャンします。 |
| 動作監視を許可する | 許可済み。リアルタイムの動作監視を有効にします。 |
| クラウド保護を許可する | 許可。クラウド保護を有効にします。 |
| メールのスキャンを許可する | 許可済み。メールのスキャンを有効にします。 |
| リムーバブル ドライブのスキャンのフル スキャンを許可する | 許可済み。リムーバブル ドライブをスキャンします。 |
| ダウンロードしたすべてのファイルと添付ファイルのスキャンを許可する | 許可済み。 |
| リアルタイム監視を許可する | 許可済み。リアルタイム監視サービスをオンにして実行します。 |
| ネットワーク ファイルのスキャンを許可する | 許可済み。ネットワーク ファイルをスキャンする。 |
| スクリプトのスキャンを許可する | 許可済み。 |
| 平均 CPU 占有率 | 50 |
| スキャンを実行する前に署名を確認する | 有効 |
| クラウド ブロック レベル | 高 |
| クラウド延長タイムアウト | 50 |
| クリーニングしたマルウェアを保持する日数 | 1 |
| 低 CPU 優先度を有効にする | 有効 |
| ネットワーク保護を有効にする | 有効 (ブロック モード) |
| PUA 保護 | PUA の保護が有効になります。検出された項目はブロックされます。これらは、他の脅威と共に履歴に表示されます。 |
| スキャン パラメーター | フル スキャン |
| スキャンの実行日をスケジュールする | 水曜日 |
| スキャンの実行時刻をスケジュールする | 510 |
| 定義更新間隔 | 1 |
| サンプル送信の同意 | 安全なサンプルを自動的に送信する。 |
| 常時保護を許可する | 許可済み。 |
| 重大な脅威の修復アクション | 削除。ファイルをシステムから削除します。 |
| 重大度が低い脅威の修復アクション | 検疫。ファイルを検疫に移します。 |
| 重大度が中程度の脅威の修復アクション | 削除。ファイルをシステムから削除します。 |
| 重大度が高い脅威の修復アクション | 削除。ファイルをシステムから削除します。 |
コメント