Intuneを使ってDefenderのPUAの保護を有効にする

当ページのリンクには広告が含まれています。

Microsoft Defender でセキュアスコアを確認していたところ、ブロック モードで PUA の保護を有効にする の項目が要対処でした。

本記事は Microsoft Intune を使ってDefenderのPUAの保護を設定した記録となります。

別記事で Microsoft Intune を使ってMicrosoft EdgeのPUAの保護 の設定も紹介しています。

実際にWindows端末で有効化を行い、動作検証を実施しました。

目次

望ましくない可能性のあるアプリケーション(PUA)の保護とは?

望ましくない可能性のあるアプリケーション(PUA)を検出してブロックする機能です。

※PUAとはマルウェアは含みません。

Microsoft では、特定のカテゴリとカテゴリ定義を使用して、ソフトウェアを PUA として分類しています。

ソフトウェアの種類説明
広告ソフトウェア広告やプロモーションを表示するソフトウェア、または他の製品やサービスの調査を完了するように求めるソフトウェア。これには、Webページに広告を挿入するソフトウェアが含まれます。
Torrent ソフトウェア (エンタープライズのみ)ピアツーピアのファイル共有テクノロジで特に使用される急流やその他のファイルを作成またはダウンロードするために使用されるソフトウェア。
暗号化ソフトウェア (エンタープライズのみ)デバイスリソースを使用して暗号通貨をマイニングするソフトウェア。
バンドルソフトウェア同じエンティティによって開発されていない、またはソフトウェアを実行するために必要ではない他のソフトウェアをインストールすることを提供するソフトウェア。また、このドキュメントに記載されている条件に基づいてPUAとして適格な他のソフトウェアをインストールすることを提供するソフトウェア。
マーケティングソフトウェアマーケティング調査のために、ユーザーの活動を監視し、それ以外のアプリケーションまたはサービスに送信するソフトウェア。
回避ソフトウェアセキュリティ製品の存在下で動作が異なるソフトウェアを含め、セキュリティ製品による検出を積極的に回避しようとするソフトウェア。
業界の評判が低い信頼できるセキュリティプロバイダーがセキュリティ製品で検出するソフトウェア。セキュリティ業界は、顧客の保護とエクスペリエンスの向上に専念しています。Microsoftとセキュリティ業界の他の組織は、分析したファイルに関する知識を継続的に交換して、ユーザーに可能な限り最高の保護を提供します。
望ましくない可能性のあるアプリケーション(PUA)一覧

Microsoft がマルウェアと望ましくない可能性のあるアプリケーションを識別する方法 – Microsoft Defender XDR | Microsoft Learn

検証環境

  • Microsoft 365 Business Premium プラン
  • 作業端末:Windows 11 Pro

Microsoft Defenderからの対策方法

  1. Microsoft Defender Antivirusを主要なアンチウイルスソリューションとして有効にし、リアルタイム保護を有効にする:
  • スタートメニューを開き、「Windows セキュリティ」を検索して開きます。
  • 左側のメニューから「ウイルスと脅威の防止」を選択します。
  • 設定の管理」をクリックし、「リアルタイム保護」がオンになっていることを確認します。
  1. PUA保護をブロックモードで有効にする:
  • Windows セキュリティ」の「ウイルスと脅威の防止」セクションに戻ります。
  • 設定の管理」をクリックし、「潜在的に望ましくないアプリのブロック」をオンにします。
  • ブロックモード」を選択します。
ふぅたこ

Microsoft Defender の対策方法を Intuneの設定に落とし込んでいくよ

Microsoft Intuneによる設定

  1. Microsoft Intune 管理センターを開く。
  2. エンドポイント セキュリティ > ウィルス対策 を開いて「ポリシーを作成」する。
  1. プラットフォーム「Windows」、プロファイル「Microsoft Defender ウィルス対策」を選択して「作成」をクリック。
  1. 構成設定タブで、リアルタイム監視を許可するの設定値を「許可済み。リアルタイム監視サービスをオンにして実行します。(既定)」を選択します。
  1. 構成設定タブで、PUA保護の設定値を「PUAの保護が有効になります。検出された項目はブロックされます。これらは、他の脅威と共に履歴に表示されます。」を選択します。
  1. 必要に応じて、その他のMicrosoft Defender ウィルス対策の設定も実施しました。

サンプル エンドポイント セキュリティ ウィルス対策設定例

ふぅたこ環境の設定例をまとめてみました。

ふぅたこ

利用する環境で最適解は異ります。
適切にカスタマイズしてください。

設定項目状態
アーカイブのスキャンを許可する許可済み。アーカイブ ファイルをスキャンします。
動作監視を許可する許可済み。リアルタイムの動作監視を有効にします。
クラウド保護を許可する許可。クラウド保護を有効にします。
メールのスキャンを許可する許可済み。メールのスキャンを有効にします。
リムーバブル ドライブのスキャンのフル スキャンを許可する許可済み。リムーバブル ドライブをスキャンします。
ダウンロードしたすべてのファイルと添付ファイルのスキャンを許可する許可済み。
リアルタイム監視を許可する許可済み。リアルタイム監視サービスをオンにして実行します。
ネットワーク ファイルのスキャンを許可する許可済み。ネットワーク ファイルをスキャンする。
スクリプトのスキャンを許可する許可済み。
平均 CPU 占有率50
スキャンを実行する前に署名を確認する有効
クラウド ブロック レベル
クラウド延長タイムアウト50
クリーニングしたマルウェアを保持する日数1
低 CPU 優先度を有効にする有効
ネットワーク保護を有効にする有効 (ブロック モード)
PUA 保護PUA の保護が有効になります。検出された項目はブロックされます。これらは、他の脅威と共に履歴に表示されます。
スキャン パラメーターフル スキャン
スキャンの実行日をスケジュールする水曜日
スキャンの実行時刻をスケジュールする510
定義更新間隔1
サンプル送信の同意安全なサンプルを自動的に送信する。
常時保護を許可する許可済み。
重大な脅威の修復アクション削除。ファイルをシステムから削除します。
重大度が低い脅威の修復アクション検疫。ファイルを検疫に移します。
重大度が中程度の脅威の修復アクション削除。ファイルをシステムから削除します。
重大度が高い脅威の修復アクション削除。ファイルをシステムから削除します。
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次