Vistaの地平
第9回 スパイウェアからコンピュータを保護するWindows Defender

5.Windows Defenderをグループ・ポリシーで管理する

Microsoft MVP
Windows Server - Networking
NTTデータ関西 永尾 幸夫
2007/04/26

複数クライアントのWindows Defenderを展開し、管理するには

 ここでは、複数のWindows Vistaコンピュータに対するWindows Defender設定の展開と管理について、Active Directoryドメインのグループ・ポリシーで用意されている項目と設定の反映および確認を行う方法を説明する。

グループ・ポリシーによる設定

 Active Directoryドメインでは、所属するユーザーやコンピュータに対して、グループ・ポリシーを用いて管理者の設定した項目を適用できるようになっている。Windows Vistaではグループ・ポリシーの項目においてWindows Defenderの設定が用意されており、これをドメインにおいて適用することで多数のコンピュータに同じ設定を適用することが可能となる。

 それでは、実際にグループ・ポリシーの項目を確認してみよう。

 まず、Windows VistaコンピュータにActive Directoryドメインの管理者でログオンして、[スタート]メニューの[検索]を開くか、コマンド・プロンプトから「gpmc.msc」と入力して[Enter]キーを押し、「グループポリシーの管理」ツールを起動する。

「グループポリシーの管理」ツールでGPOを選択して編集する
該当するOUとGPOリンクを選択してグループ・ポリシー・エディタを起動する。
  編集対象のGPO。
  これを選んでGPOを編集する。

 コンピュータが所属しているOU(組織単位)からGPO(グループ・ポリシー・オブジェクト)のリンクを選択し、右クリック・メニューから[編集]を選ぶと、グループ・ポリシー・エディタが起動され、設定項目の確認と編集を行うことができる。

グループ・ポリシー・エディタでWindows Defender関連の設定を選択する
ここでは「Windows Defenderをオフにする」を無効として、強制的に有効としている。
  Windows DefenderのGPO項目。
  このような設定項目がある。
  これを無効に設定してみる。

 Windows Defenderに関する項目は、[コンピュータの構成]−[管理用テンプレート]−[Windows コンポーネント]−[Windows Defender]以下にある。ここでは、Windows Defenderの有効および無効や定義ファイルの更新、スキャンでの検出などに関連する8つの設定項目を確認できる。

 ただし、これらの項目にスキャンのスケジュールや、ソフトウェア・エクスプローラなどの設定は用意されておらず、細かい動作を管理者が制御することはできない。

 GPOで設定した項目がコンピュータに適用されているかどうかは、GPMC(グループ・ポリシーの管理ツール)から[グループポリシーの結果ウィザード]を実行することで確認できる。

「グループポリシーの結果」による適用状況の確認
Windows Defenderが強制的に有効となっていることが確認できる。
  この項目が[無効]に設定されている。
  定義されているGPO。

 GPOの適用結果については、コマンド・プロンプトで「gpresult -v」を実行した結果からも確認できる。

コマンド・プロンプトから「gpresult -v」を実行した結果(抜粋)
実際にシステムに適用されているグループ・ポリシーの内容を確認するには、gpresultコマンドを利用する。
  「DisableAntiSpyware」の定義が「有効」であり、その内容は0、つまり「Windows Defenderを無効にする」が無効になっている。これはつまり、Windows Defenderを有効にする、という意味になる。
  DisableAntiSpywareという値の定義が有効であり、その内容は0である。

 なお、上で紹介したグループ・ポリシーの項目については、(Windows Vistaに付属している)テンプレート・ファイルのWindowsDefender.admxに格納されている。グループ・ポリシーの管理ツールもしくはグループ・ポリシー・エディタ(gpedit.msc)を起動してActive DirectoryドメインのGPOを読み込む際に、このファイルの内容がGPOにロードされる。また、このファイルを編集してデフォルトの設定から変更し、Windows Vistaコンピュータでローカル・コンピュータ・ポリシーとして個別に読み込ませて設定させることもできる。

最後に

 今回紹介したWindows Defenderでは、主にプログラムやレジストリの状態をチェックすることで、スパイウェアからコンピュータを防御している。プログラム・ベースのスキャンを実行することから、ディスクのフル・スキャンを実行するとき以外はコンピュータにおける負荷を感じることなく軽快に動作する印象がある。

 最後に、Windows Defenderはコンピュータをスパイウェアや迷惑ソフトウェアから保護する機能を有しているが、文中で述べたようにコンピュータ・ウイルスを含むすべてのセキュリティの脅威から防御するものではない。そのため、ウイルス対策ソフトウェアの別途導入やセキュリティ更新プログラムの適用、ファイアフォールの構成といった要素を複合的に組み合わせて効果的に防御することが重要になる。End of Article


 INDEX
  Vistaの地平
  第9回 スパイウェアからコンピュータを保護するWindows Defender
    1.スパイウェアとは何か
    2.Windows Defenderの機能概要
    3.システムのスキャン
    4.スキャン・オプションとソフトウェア・エクスプローラ
  5.Windows Defenderをグループ・ポリシーで管理する
 
 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間