ファイル拡張子とフォルダーの場所に基づいて除外を構成して検証する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
スケジュールされたスキャン、オンデマンド スキャン、always-on、リアルタイムの保護と監視に適用される、Microsoft Defenderウイルス対策の除外を定義できます。 一般に、除外を適用する必要はありません。 除外を適用する必要がある場合は、次の種類から選択できます。
- ファイル拡張子とフォルダーの場所に基づく除外 (この記事で説明)
- プロセスによって開かれるファイルの除外
重要
Microsoft Defenderウイルス対策の除外は、攻撃面の縮小ルールなど、一部のMicrosoft Defender for Endpoint機能に適用されます。 一部のMicrosoft Defenderウイルス対策の除外は、一部の ASR ルールの除外に適用されます。 「攻撃面の縮小ルールリファレンス - Microsoft Defenderウイルス対策の除外と ASR ルール」を参照してください。 この記事で説明する方法を使用して除外するファイルは、エンドポイント検出と応答 (EDR) アラートやその他の検出を引き続きトリガーできます。 ファイルを広く除外するには、カスタム インジケーター Microsoft Defender for Endpointに追加します。
開始する前に
除外リストを定義する前に、除外を定義するための推奨事項に関するページを参照してください。
除外リスト
ウイルス対策スキャンから特定のファイルMicrosoft Defender除外するには、除外リストを変更します。 Microsoft Defender ウイルス対策には、既知のオペレーティング システムの動作と一般的な管理ファイル (エンタープライズ管理、データベース管理、その他のエンタープライズ シナリオで使用されるファイルなど) に基づく多くの自動除外が含まれています。
注:
除外は、 望ましくない可能性のあるアプリ (PUA) の検出 にも適用されます。 自動除外は、Windows Server 2016 以降にのみ適用されます。 これらの除外は、Windows セキュリティ アプリと PowerShell では表示されません。
次の表に、ファイル拡張子とフォルダーの場所に基づく除外の例をいくつか示します。
| 除外 | 例 | 除外リスト |
|---|---|---|
| 特定の拡張子を持つファイル | 指定された拡張子を持つすべてのファイル(マシン上の任意の場所)。 有効な構文: .test と test |
拡張機能の除外 |
| 特定のフォルダー内の任意のファイル |
c:\test\sample フォルダーのすべてのファイル |
ファイルとフォルダーの除外 |
| 特定のフォルダー内の特定のファイル | ファイル c:\sample\sample.test のみ |
ファイルとフォルダーの除外 |
| 特定のプロセス | 実行可能ファイル c:\test\process.exe |
ファイルとフォルダーの除外 |
除外リストの特性
- フォルダーの除外は、サブフォルダーが再解析ポイントでない限り、そのフォルダー内のすべてのファイルとフォルダーに適用されます。 再解析ポイント サブフォルダーは個別に除外する必要があります。
- ファイル拡張子は、パスまたはフォルダーが定義されていない場合、定義された拡張子を持つ任意のファイル名に適用されます。
ファイル拡張子とフォルダーの場所に基づく除外に関する重要な注意事項
アスタリスク (*) などのワイルドカードを使用すると、除外ルールの解釈方法が変更されます。 ワイルドカードのしくみに関する重要な情報については、「 ファイル名とフォルダー パスまたは拡張子の除外リストで ワイルドカードを使用する」セクションを参照してください。
マップされたネットワーク ドライブを除外しないでください。 実際のネットワーク パスを指定します。
再解析ポイントであるフォルダーは、Microsoft Defenderウイルス対策サービスの開始後に作成され、除外リストに追加されたフォルダーは含まれません。 新しい再解析ポイントが有効な除外ターゲットとして認識されるように Windows を再起動してサービスを再起動します。
除外は 、スケジュールされたスキャン、 オンデマンド スキャン、 リアルタイム保護に適用されますが、すべての Defender for Endpoint 機能には適用されません。 Defender for Endpoint 全体で除外を定義するには、 カスタム インジケーターを使用します。
既定では、リストに対して行われたローカルの変更 (PowerShell と WMI による変更を含む、管理者権限を持つユーザー) は、グループ ポリシー、Configuration Manager、またはIntuneによって定義 (およびデプロイ) されたリストにマージされます。 競合がある場合は、グループ ポリシーリストが優先されます。 さらに、グループ ポリシーで行われた除外リストの変更は、Windows セキュリティ アプリに表示されます。
ローカルの変更でマネージド デプロイ設定をオーバーライドできるようにするには、 ローカルおよびグローバルに定義された除外リストをマージする方法を構成します。
フォルダー名またはファイル拡張子に基づいて除外の一覧を構成する
Microsoft Defenderウイルス対策の除外を定義するには、いくつかの方法から選択できます。
Intuneを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する
次の記事をご覧ください。
Configuration Managerを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する
Microsoft Configuration Manager (現在のブランチ) の構成の詳細については、「マルウェア対策ポリシーを作成して展開する方法: 除外設定」を参照してください。
フォルダーまたはファイル拡張子の除外を構成するには、グループ ポリシーを使用します
注:
ファイルへの完全修飾パスを指定した場合、そのファイルのみが除外されます。 フォルダーが除外で定義されている場合は、そのフォルダー内のすべてのファイルとサブディレクトリが除外されます。
グループ ポリシー管理コンピューターで、[グループ ポリシー管理コンソール] を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。
[グループ ポリシー管理] エディター[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。
ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>Exclusions に展開します。
編集用の [パスの除外] 設定を開き、除外を追加します。
オプションを [有効] に設定します。
[ オプション ] セクションで、[ 表示] を選択します。
[ 値名 ] 列の下に、各フォルダーを独自の行で指定します。
ファイルを指定する場合は、ドライブ文字、フォルダー パス、ファイル名、拡張子など、ファイルへの完全修飾パスを入力してください。
[値] 列に「0」と入力します。
その後で、[OK] を選択します。
編集用の [拡張機能の除外] 設定を開き、除外を追加します。
オプションを [有効] に設定します。
[ オプション ] セクションで、[ 表示] を選択します。
[ 値名 ] 列の下に、それぞれのファイル拡張子を独自の行に入力します。
[値] 列に「0」と入力します。
その後で、[OK] を選択します。
PowerShell コマンドレットを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する
PowerShell を使用して拡張子、場所、またはファイル名に基づいてファイルの除外を追加または削除するには、3 つのコマンドレットと適切な除外リスト パラメーターを組み合わせて使用する必要があります。 コマンドレットはすべて Defender モジュールにあります。
コマンドレットの形式は次のとおりです。
<cmdlet> -<exclusion list> "<item>"
次の表に、PowerShell コマンドレットの <cmdlet> 部分で使用できるコマンドレットを示します。
| 構成アクション | PowerShell コマンドレット |
|---|---|
| リストを作成または上書きする | Set-MpPreference |
| リストに追加する | Add-MpPreference |
| リストから項目を削除する | Remove-MpPreference |
次の表に、PowerShell コマンドレットの <exclusion list> 部分で使用できる値を示します。
| 除外の種類 | PowerShell パラメーター |
|---|---|
| 指定したファイル拡張子を持つすべてのファイル | -ExclusionExtension |
| フォルダー内のすべてのファイル (サブディレクトリ内のファイルを含む)、または特定のファイル | -ExclusionPath |
重要
Set-MpPreferenceまたはAdd-MpPreferenceでリストを作成した場合、Set-MpPreference コマンドレットを使用すると、既存のリストが再度上書きされます。
たとえば、次のコード スニペットを使用すると、Microsoft Defenderウイルス対策スキャンによって、.testファイル拡張子を持つファイルが除外されます。
Add-MpPreference -ExclusionExtension ".test"
ヒント
詳細については、「PowerShell コマンドレットを使用して Microsoft Defender ウイルス対策を構成および実行する」および「Defender ウイルス対策 コマンドレット 」を参照してください。
Windows Management Instrumentation (WMI) を使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する
次のプロパティには 、MSFT_MpPreference クラスの Set メソッド、Add メソッド、Remove メソッド を使用します。
ExclusionExtension
ExclusionPath
Set、Add、Remove の使用は、PowerShell の対応するユーザーに似ています:Set-MpPreference、Add-MpPreference、Remove-MpPreference。
ヒント
詳細については、「 Windows Defender WMIv2 API」を参照してください。
Windows セキュリティ アプリを使用して、ファイル名、フォルダー、またはファイル拡張子の除外を構成する
手順については、「Windows セキュリティ アプリに除外を追加する」を参照してください。
ファイル名とフォルダー パスまたは拡張機能の除外リストでワイルドカードを使用する
ファイル名またはフォルダー パスの除外リストで項目を定義する場合は、アスタリスク *、疑問符 ?、または環境変数 ( %ALLUSERSPROFILE% など) をワイルドカードとして使用できます。
*変数と?変数と環境変数を組み合わせて、1 つの除外に一致させることができます。 これらのワイルドカードの解釈方法は、他のアプリや言語での通常の使用方法とは異なります。 特定の制限事項を理解するには、このセクションを必ずお読みください。
重要
これらのワイルドカードには、主な制限事項と使用シナリオがあります。
- 環境変数の使用は、コンピューター変数と、NT AUTHORITY\SYSTEM アカウントとして実行されているプロセスに適用される変数に制限されます。
- エントリごとに最大 6 つのワイルドカードのみを使用できます。
- ドライブ文字の代わりにワイルドカードを使用することはできません。
- フォルダーの除外内のアスタリスク
*は、1 つのフォルダーに対して所定の位置に置かれます。 名前が指定されていない複数の入れ子になったフォルダーを示すには、\*\の複数のインスタンスを使用します。
次の表では、ワイルドカードを使用する方法について説明し、いくつかの例を示します。
| ワイルドカード | 例 |
|---|---|
* (アスタリスク)ファイル名とファイル拡張子のインクルードでは、アスタリスクは任意の数の文字を置き換え、引数で定義された最後のフォルダー内のファイルにのみ適用されます。 フォルダーの除外では、アスタリスクによって 1 つのフォルダーが置き換えられます。 複数の入れ子になったフォルダーを示すには、複数の * とフォルダースラッシュ \ を使用します。 ワイルドカードフォルダーと名前付きフォルダーの数を一致させた後、すべてのサブフォルダーも含まれます。 |
C:\MyData\*.txt 含む C:\MyData\notes.txt C:\somepath\*\Data には、 C:\somepath\Archives\Data とそのサブフォルダー内の任意のファイルと、 C:\somepath\Authorized\Data とそのサブフォルダーが含まれますC:\Serv\*\*\Backup には、 C:\Serv\Primary\Denied\Backup とそのサブフォルダー内の任意のファイルと、 C:\Serv\Secondary\Allowed\Backup とそのサブフォルダーが含まれます |
? (疑問符)ファイル名とファイル拡張子のインクルードでは、疑問符は 1 文字に置き換えられ、引数で定義された最後のフォルダー内のファイルにのみ適用されます。 フォルダーの除外では、疑問符はフォルダー名の 1 文字に置き換えられます。 ワイルドカードフォルダーと名前付きフォルダーの数を一致させた後、すべてのサブフォルダーも含まれます。 |
C:\MyData\my?.zip 含む C:\MyData\my1.zip C:\somepath\?\Data には、 C:\somepath\P\Data とそのサブフォルダー内の任意のファイルが含まれますC:\somepath\test0?\Data には、 C:\somepath\test01\Data とそのサブフォルダーに任意のファイルが含まれます |
| 環境変数 定義された変数は、除外が評価されるときにパスとして設定されます。 |
%ALLUSERSPROFILE%\CustomLogFiles が含まれます。 C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
| ミックスとマッチ 環境変数 * と ? を 1 つの除外に組み合わせることができます |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe が含まれます。 c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
重要
ファイル除外引数とフォルダー除外引数を組み合わせた場合、ルールは、一致したフォルダー内のファイル引数の一致で停止し、サブフォルダー内のファイルの一致を検索しません。
たとえば、フォルダー内の "date" で始まるすべてのファイルを除外c:\data\final\marked、ルール引数 c:\data\*\marked\date*を使用してc:\data\review\markedできます。
この引数は、 c:\data\final\marked または c:\data\review\marked のサブフォルダー内のファイルと一致しません。
システム環境変数
次の表に、システム アカウント環境変数の一覧と説明を示します。
| このシステム環境変数... | このへのリダイレクト |
|---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
除外の一覧を確認する
除外リスト内の項目を取得するには、次のいずれかの方法を使用します。
重要
グループ ポリシーで行われた除外リストの変更は、Windows セキュリティ アプリの一覧に表示されます。 Windows セキュリティ アプリで行われた変更は、グループ ポリシーの一覧には表示されません。
PowerShell を使用する場合は、次の 2 つの方法で一覧を取得できます。
- すべてのMicrosoft Defenderウイルス対策設定の状態を取得します。 各リストは別々の行に表示されますが、各リスト内の項目は同じ行に結合されます。
- すべての基本設定の状態を変数に書き込み、その変数を使用して目的の特定のリストのみを呼び出します。
Add-MpPreferenceを使用するたびに、新しい行に書き込まれます。
MpCmdRun を使用して除外リストを検証する
専用コマンド ライン ツール mpcmdrun.exeを使用して除外をチェックするには、次のコマンドを使用します。
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
注:
MpCmdRunで除外を確認するには、ウイルス対策バージョン 4.18.2111-5.0 (2021 年 12 月にリリース) 以降をMicrosoft Defenderする必要があります。
PowerShell を使用して、他のすべてのMicrosoft Defenderウイルス対策設定と共に除外の一覧を確認する
次のコマンドレットを使用します。
Get-MpPreference
次の例では、 ExclusionExtension リストに含まれる項目が強調表示されています。
詳細については、「PowerShell コマンドレットを使用して Microsoft Defender ウイルス対策を構成および実行する」および「Defender ウイルス対策 コマンドレット 」を参照してください。
PowerShell を使用して特定の除外リストを取得する
次のコード スニペットを使用します (各行を個別のコマンドとして入力します)。 WDAVprefs を、 変数に名前を付けるラベルに置き換えます。
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
次の例では、 Add-MpPreference コマンドレットを使用するたびに、リストが新しい行に分割されます。
詳細については、「PowerShell コマンドレットを使用して Microsoft Defender ウイルス対策を構成および実行する」および「Defender ウイルス対策 コマンドレット 」を参照してください。
EICAR テスト ファイルを使用して除外リストを検証する
除外リストが機能していることを検証するには、 Invoke-WebRequest コマンドレットまたは .NET WebClient クラスを使用して PowerShell を使用してテスト ファイルをダウンロードします。
次の PowerShell スニペットで、 test.txt を除外規則に準拠するファイルに置き換えます。 たとえば、 .testing 拡張機能を除外する場合は、 test.txt を test.testing に置き換えます。 パスをテストする場合は、そのパス内でコマンドレットを実行してください。
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
ウイルス対策Microsoft Defenderマルウェアが報告された場合、ルールは機能しません。 マルウェアの報告がなく、ダウンロードしたファイルが存在する場合、除外は機能しています。 ファイルを開いて、 内容が EICAR テスト ファイル Web サイトで説明されているものと同じであることを確認できます。
また、.NET WebClient クラスを呼び出してテスト ファイルをダウンロードする次の PowerShell コードを使用することもできます。 Invoke-WebRequest コマンドレットと同様に、 c:\test.txt を検証する規則に準拠するファイルに置き換えます。
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
インターネットにアクセスできない場合は、次の PowerShell コマンドを使用して、EICAR 文字列を新しいテキスト ファイルに書き込むことで、独自の EICAR テスト ファイルを作成できます。
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
また、空のテキスト ファイルに文字列をコピーし、ファイル名または除外しようとしているフォルダーに保存することもできます。
関連項目
- Microsoft Defenderウイルス対策スキャンで除外を構成して検証する
- プロセスによって開かれたファイルの除外を構成して検証する
- Windows Server でMicrosoft Defenderウイルス対策の除外を構成する
- 除外を定義する際に避ける必要のある一般的な間違い
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。