攻撃面の減少ルールを有効にする

攻撃面の縮小ルール は、マルウェアが多くの場合、デバイスやネットワークを侵害するアクションを防ぐのに役立ちます。 この記事では、次の方法で攻撃面の縮小ルールを有効にして構成する方法について説明します。

• Microsoft Intune
• モバイル デバイス管理 (MDM)
• Microsoft Configuration Manager
• グループ ポリシー (GP)
• PowerShell

前提条件

攻撃面の縮小ルールの機能セット全体を使用するには、次の要件を満たす必要があります。

• Microsoft Defenderウイルス対策をプライマリ ウイルス対策として設定する必要があります。 パッシブ モードで実行したり、無効にしたりしないでください。

• リアルタイム保護 をオンにする必要があります。

• Cloud-Delivery Protection がオンである必要があります (一部のルールでは Cloud Protection が必要です)。

• Cloud Protection ネットワーク接続が必要です

• 推奨: Microsoft 365 E5

  攻撃面の縮小ルールにはMicrosoft 365 E5ライセンスは必要ありませんが、攻撃面の縮小ルールとMicrosoft 365 E5 ライセンス (または同様のライセンス SKU) を使用して、Defender for Endpoint で使用できる監視、分析、ワークフローなどの高度な管理機能を利用し、レポートと構成の機能を利用することをお勧めします。ポータルMicrosoft Defender XDR。 これらの高度な機能は E3 ライセンスでは使用できませんが、E3 ライセンスを使用しても、イベント ビューアーを使用して攻撃面の縮小ルール イベントを確認できます。

  高度な監視とレポート機能を含まない Windows Professional やMicrosoft 365 E3などの別のライセンスがある場合は、攻撃面の縮小ルールがトリガーされたときに各エンドポイントで生成されるイベント (イベント転送など) に基づいて、独自の監視およびレポート ツールを開発できます。

  Windows ライセンスの詳細については、「Windows 10 ライセンス」を参照し、Windows 10のボリューム ライセンス ガイドを入手してください。

サポートされるオペレーティング システム

次のいずれかのエディションとバージョンの Windows を実行しているデバイスに対して、攻撃面の縮小ルールを設定できます。

• Windows 11 Pro
• Windows 11 Enterprise
• Windows 10 Proバージョン 1709 以降
• Windows 10 Enterpriseバージョン 1709 以降
• Windows Serverバージョン 1803 (半期チャネル) 以降
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025
• Azure Stack HCI OS バージョン 23H2 以降

攻撃面の縮小ルールの有効化

各攻撃面の縮小ルールには、次の 4 つの設定のいずれかが含まれています。

• 未構成 または 無効: 攻撃面の縮小ルールを無効にする
• ブロック: 攻撃面の縮小ルールを有効にする
• 監査: 攻撃面の縮小ルールが有効な場合にorganizationにどのような影響を与えるかを評価する
• 警告: 攻撃面の縮小ルールを有効にしますが、エンド ユーザーがブロックをバイパスすることを許可します

攻撃面の縮小ルールを有効にするには、次のいずれかの方法を使用します。

• Microsoft Intune
• モバイル デバイス管理 (MDM)
• Microsoft Configuration Manager
• グループ ポリシー (GP)
• PowerShell

Intune やMicrosoft Configuration Managerなどのエンタープライズ レベルの管理をお勧めします。 エンタープライズ レベルの管理は、起動時に競合するグループ ポリシーまたは PowerShell 設定を上書きします。

攻撃面の縮小ルールからファイルとフォルダーを除外する

ほとんどの攻撃面の縮小ルールによって評価されるファイルとフォルダーを除外できます。 つまり、攻撃面の縮小ルールによってファイルまたはフォルダーに悪意のある動作が含まれていると判断された場合でも、ファイルの実行をブロックしません。

除外を追加する場合は、次の点に注意してください。

• 除外は通常、個々のファイルまたはフォルダー (除外するファイルのフォルダー パスまたは完全パスを使用) に基づいています。
• 除外パスでは、環境変数とワイルドカードを使用できます。 「ファイル名とフォルダー パスまたは拡張機能の除外リストでワイルドカードを使用する」を参照してください
• グループ ポリシーまたは PowerShell を使用して展開する場合、除外はすべての攻撃面の削減ルールに適用されます。 Intune を使用すると、特定の攻撃面の縮小ルールの除外を構成できます。 「 ルールごとの除外に対する攻撃面の縮小ルールを構成する」を参照してください。
• 指定した Defender for Endpoint ファイルと証明書インジケーターを許可することで、証明書とファイル ハッシュに基づいて除外を追加できます。 「インジケーターの概要」を参照してください。

ポリシーの競合の処理方法

競合するポリシーが MDM と GP を介して適用されている場合は、グループ ポリシーから適用された設定が優先されます。

マネージド デバイスの攻撃面縮小ルールでは、さまざまなポリシーの設定をマージして、デバイスごとにポリシー スーパーセットを作成するための動作がサポートされています。 競合していない設定のみがマージされますが、ポリシーの競合はルールのスーパーセットには追加されません。 以前は、2 つのポリシーに 1 つの設定の競合が含まれている場合、両方のポリシーが競合しているとフラグが設定され、どちらのプロファイルの設定もデプロイされませんでした。

攻撃面の縮小ルールのマージ動作は、次のように動作します。

• 次のプロファイルからの攻撃面縮小ルールは、ルールが適用されるデバイスごとに評価されます。

  • デバイス>構成プロファイル>エンドポイント保護プロファイル>Exploit Guard>Attack Surface Reduction をMicrosoft Defenderします。 (「 攻撃面の縮小」を参照してください)。

  • エンドポイント セキュリティ>攻撃面の縮小ポリシー>攻撃面の縮小ルール。 (「 攻撃面の縮小ルール」を参照してください)。

  • エンドポイント セキュリティ>セキュリティ ベースライン>ATP ベースライン>Attack Surface Reduction Rules をMicrosoft Defenderします。 (「 攻撃面の縮小ルール」を参照してください)。

• 競合のない設定は、デバイスのポリシーのスーパーセットに追加されます。

• 2 つ以上のポリシーに競合する設定がある場合、競合する設定は組み合わせポリシーに追加されず、競合しない設定はデバイスに適用されるスーパーセット ポリシーに追加されます。

• 競合する設定の構成のみが保留されます。

構成方法

このセクションでは、次の構成方法の構成の詳細について説明します。

• Intune
• Intune のカスタム プロファイル
• MDM
• Microsoft Configuration Manager
• グループ ポリシー
• PowerShell

攻撃面の縮小ルールを有効にする次の手順には、ファイルとフォルダーを除外する手順が含まれています。

Intune

• Windows Management Instrumentation (WMI) イベント サブスクリプションを使用して永続化をブロックする
• ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする
• Office マクロから Win32 API 呼び出しをブロックする
• サーバーの Web シェル作成をブロックします。これは Windows Server 2012 R2 ではサポートされていませんが、Windows Server 2016でサポートされています。 Exchange サーバーの役割にのみ適用されます。

エンドポイント セキュリティ ポリシー (推奨)

1. [ Endpoint Security>Attack surface reduction] を選択します。 既存の攻撃面縮小ルールを選択するか、新しい攻撃面の縮小ルールを作成します。 新しいポリシーを作成するには、[ ポリシーの作成 ] を選択し、このプロファイルの情報を入力します。 [ プロファイルの種類] で、[ 攻撃面の縮小ルール] を選択します。 既存のプロファイルを選択した場合は、[ プロパティ ] を選択し、[設定] を選択 します。

2. [ 構成設定 ] ウィンドウで[ 攻撃面の縮小 ] を選択し、攻撃面の縮小ルールごとに目的の設定を選択します。

3. [ 保護する必要がある追加のフォルダーの一覧]、[ 保護されたフォルダーへのアクセス権を持つアプリの一覧]、[ 攻撃面の縮小ルールからファイルとパスを除外する] で、個々のファイルとフォルダーを入力します。

   [ インポート ] を選択して、攻撃面の縮小ルールから除外するファイルとフォルダーを含む CSV ファイルをインポートすることもできます。 CSV ファイルの各行は、次のように書式設定する必要があります。

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 3 つの構成ウィンドウで [ 次へ ] を選択し、新しいポリシーを作成する場合は [作成 ] を選択し、既存のポリシーを編集する場合は [保存] を選択します。

デバイス構成プロファイル (代替 1)

1. [ デバイスの構成>Profiles] を選択します。 既存のエンドポイント保護プロファイルを選択するか、新しいエンドポイント保護プロファイルを作成します。 新しいプロファイルを作成するには、[ プロファイルの作成 ] を選択し、このプロファイルの情報を入力します。 [ プロファイルの種類] で、[ エンドポイント保護] を選択します。 既存のプロファイルを選択した場合は、[ プロパティ ] を選択し、[設定] を選択 します。

2. [ エンドポイント保護 ] ウィンドウで、[ Windows Defender Exploit Guard] を選択し、[ 攻撃面の縮小] を選択します。 攻撃面の縮小ルールごとに目的の設定を選択します。

3. [ 攻撃面の縮小の例外] で、個々のファイルとフォルダーを入力します。 [ インポート ] を選択して、攻撃面の縮小ルールから除外するファイルとフォルダーを含む CSV ファイルをインポートすることもできます。 CSV ファイルの各行は、次のように書式設定する必要があります。

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 3 つの構成ウィンドウで [ OK] を選択します 。 次に、新しいエンドポイント保護ファイルを作成する場合は [作成 ] を選択し、既存のエンドポイント保護ファイルを編集する場合は [保存] を選択します。

Intune のカスタム プロファイル (代替 2)

Microsoft Intune OMA-URI を使用して、カスタム攻撃面の縮小ルールを構成できます。 次の手順では、この例の 脆弱な署名付きドライバーの悪用をブロック するルールを使用します。

1. Microsoft Intune 管理センターを開きます。 [ホーム] メニューの [デバイス] をクリックし、[構成プロファイル] を選択し、[プロファイルの作成] をクリックします。

   

2. [ プロファイルの作成] で、次の 2 つのドロップダウン リストで、次を選択します。

   • [プラットフォーム] で、[Windows 10 以降] を選択します。
   • [ プロファイルの種類] で、[テンプレート] を選択 します。
   • 攻撃面の縮小ルールがエンドポイント セキュリティによって既に設定されている場合は、[プロファイルの種類] で [設定カタログ] を選択します。

3. [ カスタム] を選択し、[ 作成] を選択します。

   

4. [カスタム テンプレート] ツールが開き、手順 1 の [基本] に進みます。 [1 基本] の [名前] にテンプレートの名前を入力し、[説明] に説明を入力できます (省略可能)。

   

5. [次へ] をクリックします。 手順 2 構成設定 が開きます。 [OMA-URI 設定] で、[ 追加] をクリックします。 [ 追加] と [ エクスポート] の 2 つのオプションが表示されるようになりました。

   

6. もう一度 [ 追加] をクリックします。 [ 行 OMA-URI 設定の追加] が開きます。 [ 行の追加] で、次の情報を入力します。

   1. [ 名前] に、ルールの名前を入力します。

   2. [ 説明] に簡単な説明を入力します。

   3. OMA-URI で、追加するルールの特定の OMA-URI リンクを入力または貼り付けます。 この例のルールで使用する OMA-URI については、この記事の MDM セクションを参照してください。 攻撃面の縮小ルール GUID については、「 ルールごとの説明」を参照してください。

   4. [ データ型] で、[文字列] を選択 します。

   5. [ 値] に、GUID 値、 \= 記号、およびスペースのない State 値 (GUID=StateValue) を入力または貼り付けます。

      • 0: 無効 (攻撃面の縮小ルールを無効にする)
      • 1: ブロック (攻撃面の縮小ルールを有効にする)
      • 2: 監査 (攻撃面の縮小ルールが有効な場合にorganizationにどのような影響を与えるかを評価します)
      • 6: 警告 (攻撃面の縮小ルールを有効にしますが、エンド ユーザーがブロックをバイパスできるようにする)

      

7. [保存] を選択します。 [行の追加] を閉じます。 [ カスタム] で、[ 次へ] を選択します。 手順 3 スコープ タグでは、スコープ タグは省略可能です。 次のいずれかの操作を行います。

   • [ スコープ タグの選択] を選択し、スコープ タグ (省略可能) を選択し、[ 次へ] を選択します。
   • または、[次へ] を選択します

8. 手順 4[割り当て] の [ 含まれるグループ] で、このルールを適用するグループについて、次のオプションから選択します。

   • グループの追加
   • すべてのユーザーを追加する
   • すべてのデバイスを追加する

   

9. [ 除外されたグループ] で、このルールから除外するグループを選択し、[ 次へ] を選択します。

10. 手順 5 次の設定の 適用規則 で、次の操作を行います。

11. [ ルール] で、[ Assign profile if]\(プロファイルの割り当て\) を選択するか、プロファイル を割り当てない場合は [プロファイルを割り当てない] を選択します。

12. [ プロパティ] で、このルールを適用するプロパティを選択します。

13. [ 値] に、該当する値または値の範囲を入力します。

    

14. [次へ] を選択します。 手順 6 [確認と作成] で、選択して入力した設定と情報を確認し、[ 作成] を選択します。

    

ルールはアクティブであり、数分以内に有効です。

MDM

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 構成サービス プロバイダー (CSP) を使用して、各ルールのモードを個別に有効にして設定します。

次に示すのは、 攻撃面縮小ルールリファレンスの GUID 値を使用した参照用のサンプルです。

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

監査モードで有効にする (ブロック)、無効化、警告、または有効にする値は次のとおりです。

• 0: 無効にする (攻撃面の縮小ルールを無効にする)
• 1: ブロック (攻撃面の縮小ルールを有効にする)
• 2: 監査 (攻撃面の縮小ルールが有効な場合にorganizationに与える影響を評価する)
• 6: 警告 (攻撃面の縮小ルールを有効にしますが、エンド ユーザーがブロックをバイパスすることを許可します)。 警告モードは、攻撃面の縮小ルールのほとんどで使用できます。

除外を追加するには、 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 構成サービス プロバイダー (CSP) を使用します。

例:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Microsoft 構成マネージャー

1. Microsoft Configuration Manager で、[資産とコンプライアンス]>[エンドポイントの保護]>[Windows Defender Exploit Guard] に移動します。

2. [ホーム] > [Exploit Guard ポリシーの作成] を選択します。

3. 名前と説明を入力し、[ 攻撃面の縮小] を選択し、[ 次へ] を選択します。

4. アクションをブロックまたは監査するルールを選択し、[ 次へ] を選択します。

5. 設定を確認し、[ 次へ ] を選択してポリシーを作成します。

6. ポリシー作成後、[閉じる] を選択します。

グループ ポリシー

1. グループ ポリシー管理コンピューターで、[グループ ポリシー管理コンソール] を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。

2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>Microsoft Defender Exploit Guard>Attack surface reduction に展開します。

4. [ 攻撃面の縮小ルールの構成] を選択し、[有効] を選択 します。 その後、[オプション] セクションで各ルールの個々の状態を設定できます。 [ 表示]を 選択し、[ 値名 ] 列にルール ID を入力し、[ 値 ] 列に選択した状態を次のように入力します。

   • 0: 無効にする (攻撃面の縮小ルールを無効にする)
   • 1: ブロック (攻撃面の縮小ルールを有効にする)
   • 2: 監査 (攻撃面の縮小ルールが有効な場合にorganizationに与える影響を評価する)
   • 6: 警告 (攻撃面の縮小ルールを有効にするが、エンド ユーザーがブロックをバイパスできるようにする)

   

5. 攻撃面の縮小ルールからファイルとフォルダーを除外するには、[攻撃面の縮小ルール からファイルとパスを除外する ] 設定を選択し、オプションを [有効] に設定します。 [ 表示 ] を選択し、[ 値名 ] 列に各ファイルまたはフォルダーを入力します。 各項目の [値] 列に「0」と入力します。

   警告

   [値名] 列または [値] 列ではサポートされていないため、引用符は使用しないでください。 ルール ID には、先頭または末尾のスペースを含めてはいけません。

PowerShell

1. スタート メニューに「powershell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] を選択します。

2. 次のいずれかのコマンドレットを入力します。 ルール ID などの詳細については、「 攻撃面の縮小ルールリファレンス」を参照してください。

   タスク	PowerShell コマンドレット
   攻撃面の減少ルールを有効にする	Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   監査モードで攻撃面の縮小ルールを有効にする	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   警告モードで攻撃面の縮小ルールを有効にする	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
   攻撃面の縮小を有効にする 悪用された脆弱な署名付きドライバーの悪用をブロックする	Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
   攻撃面の縮小ルールをオフにする	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

   重要

   ルールごとに状態を個別に指定する必要がありますが、コンマ区切りの一覧でルールと状態を組み合わせることができます。

   次の例では、最初の 2 つのルールが有効になり、3 番目のルールが無効になり、4 番目のルールが監査モードで有効になっています。 Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

   Add-MpPreference PowerShell 動詞を使用して、既存の一覧に新しいルールを追加することもできます。

   警告

   Set-MpPreference は、既存のルール セットを上書きします。 既存のセットに追加する場合は、代わりに Add-MpPreference を使用します。 Get-MpPreferenceを使用して、ルールとその現在の状態の一覧を取得できます。

3. 攻撃面の縮小ルールからファイルとフォルダーを除外するには、次のコマンドレットを使用します。

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

   引き続き Add-MpPreference -AttackSurfaceReductionOnlyExclusions を使用して、ファイルとフォルダーを一覧に追加します。

   重要

   Add-MpPreferenceを使用して、アプリを一覧に追加または追加します。 Set-MpPreference コマンドレットを使用すると、既存のリストが上書きされます。

関連コンテンツ

• 攻撃面の縮小ルールリファレンス
• 攻撃面の縮小を評価する
• 攻撃面の減少の FAQ