Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windows Defenderの警告レベルの設定を知る

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2007/02/03
 
対象OS
Windows XP
Windows Server 2003
Windows Vista
Windows Defenderを利用すると、スパイウェアや不適切な挙動を検出し、必要ならその実行を拒否することができる。
デフォルトでは、「高」「中」「低」の3つの警告レベルの挙動のみが検出されるが、オプションを変更すると、未定義の挙動も含めてすべて検出できるようになる。ただし安全性は高まるが、その分、非常に多くの挙動が検出されることになる。
 
解説

 TIPS「Windows Defenderでスパイウェアを検出/削除する」では、マイクロソフトが提供している無償のアンチスパイウェア、Windows Defender」のインストール方法と、その基本的な機能について説明した。スパイウェアとは、ユーザーの同意を得ずにシステムの設定を変更したり、ユーザーの情報を収集したりするソフトウェアのことであり、それを検出して実行を阻止するのがアンチスパイウェアである。Windows Defenderの挙動は(何をブロックして、何を許可するかなどは)、定期的にオンラインで取得される定義ファイルに基づいて決められている。そのため、ユーザー自身が特に設定をしなくても利用することができる。しかしその分、Windows Defenderでは何ができるのか、オプション設定はどういう意味を持つのかが分かりづらい。本TIPSでは、Windows Defenderのオプション項目のうち、特に警告レベル(危険度)の設定の意味について説明する。

操作方法

警告レベルの分類とそれに対する実行の許可/禁止

 Windows Defenderは、あらかじめ定義されたいくつかの「挙動」を検出すると、定義ファイルでの指定に基づき、その挙動を禁止するか、実行を許可するかなどを決定する。具体的な挙動としては、アプリケーションのインストール、サービスの登録、Internet Explorerの設定の変更など、いくつかある。例えばInternet Explorerでホーム・ページ(起動時に表示するWebサイトのページ)の設定を変更しようとすると、それを検出し、その設定変更を許可するか、それとも禁止(キャンセル)するかを定義ファイルに基づいて決定する。

 Windows Defenderが検出する挙動には、その内容に応じて「高」「中」「低」という「警告レベル(危険度)」が決められており(これ以外にも「重大」がある)、オプション設定によって、それぞれのレベルごとの動作を決めることができる。レベルが高のものは危険性が高いため、実行を禁止することが望まれるが、低のものは害が少ない、もしくは害がないため、そのままにしておいてもよいだろう。各レベルに応じてどのような動作を行うべきかは、ユーザーが個別に指定することもできるし、定義ファイル中で決められている[推奨の操作]を行うようにすることもできる。具体的には、以下のオプション設定画面で決められる。

Windows Defenderのオプション設定画面
ここでは警告レベルとそれに対する動作を決める。Windows Defenderが検出する“挙動”には「高」「中」「低」という「警告レベル」があり、デフォルトでは定義ファイル中で決められた[推奨の動作]になっている。
  これを選び、さらに[オプション]ボタンをクリックしてこの画面を表示させる。
  警告レベルごとの動作。これ以外にも「重大」というレベルが存在するが、それに対する挙動は選択できず、Windows Defenderが自動的に削除するか、削除するように警告メッセージが表示されるので、ユーザーがデフォルトの動作を選択することはできない。
  各レベルに応じてこの4つから選ぶことができる。デフォルトではすべて[推奨の操作]となっており、この場合、オンラインから取得した定義ファイル中での指定に基づいて、[無視][削除][検疫]が決められる。[無視]とはそのまま実行、[削除]とは実行の禁止、[検疫]とは[検疫されている項目]へ分類してユーザーの判断を待つ、という措置。
  Windows Defenderが検出する挙動のカテゴリ。チェックボックスをオンにしたものが検出の対象となる。
  警告レベルが「高」「中」「低」のいずれにも合致しないもの(定義ファイル中で定義されておらず、分類できないもの)に対して、ユーザーに問い合わせるかどうかを決めるチェックボックス。デフォルトではオフになっており、そのまま実行される。

危険度がまだ分類されていない挙動に対する対処

 ある挙動がどの警告レベル(危険度)に相当するかは、オンラインで取得される定義ファイル中で定義されているが、すべての挙動がそこに定義されているわけではない。定義ファイル中には、(マイクロソフトの解析や、ユーザーからの報告などによって)スパイウェアであると判断されたアプリケーションや挙動などが定義されているが、それ以外のものに関しては、「高」「中」「低」ではなく、「危険度がまだ分類されていないソフトウェア」として扱われることになっている。ここに分類されるものとしては、例えばInternet Explorerのホームページの設定といった害の少ない操作(もしくはユーザーが意図して行った操作)のほか、未知のアプリケーションによるシステム設定の変更などがある。

 危険度がまだ分類されていないソフトウェアの場合、Windows Defenderではどう対処するべきかが判断できないので、ユーザーに問い合わせるか、それともそのまま実行してしまうかが選択できる。それを決めるのが、上のオプション画面における のチェックボックスである。

 このチェックボックスはデフォルトではオフになっており、ユーザーに問い合わせることなく、そのまま実行される。

 しかしこのチェックボックスをオンにすると、そのような挙動も検出し、ユーザーに対して、そのまま実行するか、それとも実行を禁止(キャンセル)するかを問い合わせてくるようになる。そしてユーザーが許可しない限り、実行されない。例えば以下は、 のチェックボックスをオンにした後、あるプログラムを実行したところである。このプログラムではタスク・スケジューラに新しいタスクを登録するが、その挙動がWindows Defenderによって「危険度がまだ分類されていないソフトウェア」として検出された。

Windows Defenderによる挙動の検出
ユーザーからの指示を待つように設定された挙動を検出すると、このようなバルーンが表示される。
  ここをダブルクリックして、検出された挙動の内容を確認する。

 このバルーンをダブルクリックするか、[スタート]メニューから[Windows Defender]を起動して[確認して操作を実行する]をクリックすると、次のような画面が表示される。

Windows Defenderによって検出された挙動
定義ファイル中で定義されていない挙動を見つけると、このように報告されるので、ユーザーはどうするかを決定する。これは、あるTV録画ソフトウェアが新しい録画予約のタスクをタスク・スケジューラに登録しようとしたところ。Windows Defenderはこれを検出し、実行を保留して、ユーザーからの指示を待っている。
  検出した挙動。発行元が不明なアプリケーションが、タスク・スケジューラにタスクを登録しようとしている。
  内容。「SpyNet コミュニティの評価」とは、Windows Defenderユーザーから報告された、スパイウェアかどうかの評価のこと。このプログラムに対する評価がないので、「不明」となっている。
  実行を許可するか、それとも禁止(キャンセル)するかを選択できる。
  の選択後、これをクリックすると、実行される。

 「危険度がまだ分類されていないソフトウェア」は、基本的には、システムには害がない、もしくはユーザーが意図して動作させている正当な操作であると判断されている。そのため、デフォルトではそのまま実行するようになっているが、先の設定画面のように、すべて検出させることもできる。だがその分、より多くの挙動がWindows Defenderで検出されることになる。そのほとんどは安全で、そのまま実行しても問題はないと考えられるが、より安全な環境を求めるなら(知らないうちに、不審なプログラムやスクリプトなどが実行されるのを防ぎたければ)、面倒でもこのような設定にして、ユーザーがその挙動をコントロールするのがよいだろう。

Microsoft SpyNetに参加する

 [ツール]画面の[Microsoft SpyNet]というボタンをクリックすると、次のような画面が表示されるが、ここではスパイウェアの情報を収集して開発に役立てるMicrosoft SpyNetに参加するかどうかを決めることができる。

Microsoft SpyNetへ参加するかどうかの設定画面
ユーザーが判断したスパイウェアの情報を収集するのがSpyNetコミュニティ。参加は任意なので、余計な情報を外部に送信したくなければ、参加しないを選んでおく。
  これを選択すると、基本的な情報(警告レベルやその対応方法など)が送信される。
  警告レベルが分類できないものに関しても、その情報を送信する。これを選択すると、先のオプション画面の[危険度がまだ分類されていないソフトウェア]も同時にオンになる。
  情報を送信したくない場合はこれを選択する。

 Windows Defenderで、ある挙動をブロックしたり、許可したりした場合、その情報はMicrosoft SpyNetというネットワーク(コミュニティ)でマイクロソフトへ送られ、それらの情報に基づいて新しい定義ファイルが開発される。デフォルトでは もしくは が選択されているが(インストール時の選択による)、 を選択すると、先ほどのオプション設定画面における の[危険度がまだ分類されていないソフトウェア]というチェックボックスも自動的にオンになる。そして、ユーザーが選択した「許可」や「拒否」などの情報もSpyNetへ送られ、新しい定義ファイル開発の参考情報として利用される。End of Article

「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間