Windows Defender Exploit Guard プロファイルにより、Windows 10 デバイスを攻撃およびマルウェアから保護します。Workspace ONE UEM はこの設定を使用して、デバイスを攻撃から保護し、攻撃面を削減して、フォルダへのアクセスを制御し、ネットワーク接続を保護します。

Windows Defender Exploit Guard

ネットワークおよびデバイスにアクセスするために、さまざまなマルウェアおよび攻撃で Windows 10 デバイスの脆弱性が使用されます。Workspace ONE UEM では、Windows Defender Exploit Guard プロファイルを使用して、こうした不正なアクションからデバイスを保護します。このプロファイルは、Windows 10 のネイティブな Windows Defender Exploit Guard 設定を構成します。このプロファイルには、4 つの異なる保護方法が含まれています。この方法は、さまざまな脆弱性と攻撃ベクトルに対応します。

Exploit Protection

Exploit Protection は、オペレーティング システムとアプリの両方に対する攻撃への緩和策を自動的に適用します。こうした緩和策は、サードパーティ製ウイルス対策ソフトおよび Windows Defender ウイルス対策ソフトでも動作します。Windows Defender Exploit Guard プロファイルでは、構成 XML ファイルをアップロードして、この設定を構成します。このファイルは、Windows セキュリティ アクションまたは PowerShell を使用して作成する必要があります。

攻撃面の削減

攻撃面の削減ルールは、マルウェアがデバイスに感染するために使用する一般的なアクションの防止に役立ちます。このルールは、次のようなアクションをターゲットにしています。
  • ファイルのダウンロードまたは実行を試みる Office アプリまたは Web メールで使用される実行ファイルとスクリプト
  • 難読化した、または疑わしいスクリプト
  • アプリケーションが通常使用しないアクション

攻撃面の削減ルールでは、Windows Defender のリアルタイム保護を有効にする必要があります。

制御されたフォルダ アクセス

制御されたフォルダ アクセスは、ランサムウェアを含めて、悪意あるアプリケーションや脅威から貴重なデータを保護するのに役立ちます。有効にすると、Windows Defender ウイルス対策ソフトがすべてのアプリケーション(.EXE、.SCR、DLL など)を確認します。Windows Defender は、アプリケーションに悪意があるか安全であるかを判断します。アプリケーションに悪意があるか、または疑わしい旨がマークされた場合、Windows はアプリケーションが保護されたフォルダ内のファイルを変更することを防止します。

保護されたフォルダには、一般的なシステム フォルダが含まれます。独自のフォルダを制御されたフォルダ アクセスに追加できます。ほとんどの既知の信頼されたアプリケーションは、保護されたフォルダにアクセスできます。内部アプリケーションまたは不明なアプリケーションが保護されたフォルダにアクセスできるようにするには、プロファイルの作成時にアプリケーション ファイルのパスを追加する必要があります。

制御されたフォルダ アクセスでは、Windows Defender のリアルタイム保護を有効にする必要があります。

ネットワーク保護

ネットワーク保護により、フィッシング詐欺や悪意ある Web サイトからユーザーとデータが保護されます。この設定により、ユーザーは任意のアプリケーションで、フィッシング攻撃、悪用、またはマルウェアをホストしている可能性がある危険なドメインにアクセスできなくなります。

ネットワーク保護では、Windows Defender のリアルタイム保護を有効にする必要があります。

補足情報

構成されている特定の攻撃に対する保護および設定の詳細については、https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy を参照してください。