Defender連携については、yarai/AMC v3.4.0より大幅に機能強化されています。本FAQでは、強化されたDefender連携機能について記載しています。Defender連携の詳細については、以下のFAQを参照してください。
世界トップレベルのセキュリティ・リサーチ・チームを作り、
コンピュータ社会の健全な運営に寄与します。株式会社FFRIセキュリティ
FAQ
キーワードから探す
カテゴリから探す
他社ウイルス対策ソフトからWindows Defender/Microsoft Defenderへの移行の流れ(Defender連携機能の利用の流れ)
最終更新日:2021/05/17目次
はじめに
他社ウイルス対策ソフトからDefenderへの移行の流れ
yarai/AMC v3.4.0以降をこれから導入される場合
yarai/AMC v3.4.0未満を導入済みで、yarai/AMC v3.4.0以降にアップデートされる場合
Defender連携の動作確認手順
はじめに
Windows 10には、無料のマルウェア対策機能「Windows Defender/Microsoft Defender」(※Windows DefenderとMicrosoft Defenderは同義となり、以降「Defender」と表記します)がOS標準で付属しており、一般に販売されている有料のウイルス対策ソフトと遜色ないレベルに達していると言われています。
yaraiでは、Defenderと同居・連携することにより、コストを抑えながらセキュリティを高めることが可能となります。本ページでは、yarai/AMC v3.4.0以降のDefender連携を使用することを前提として、他社ウイルス対策ソフトからDefenderへの移行の流れをご案内します。
‼ 重要
他社ウイルス対策ソフトからDefenderへの移行の流れ
簡単にはなりますが、移行の流れについて、以下にご案内させていただきます。
‼ 重要
- 他社ウイルス対策ソフトの動作に大きく依存することから、以下はあくまで参考となります。ご利用の環境に応じて、事前に十分な調査/検証をご実施ください。また、他社ウイルス対策ソフトの正確な動作や仕様については、メーカー様へお問い合わせください。
- 通常は、他社ウイルス対策ソフトをアンインストールすれば、Defenderは自動的に有効になると考えられますが、ご利用のウイルス対策ソフトに応じて、事前に十分な調査/検証をご実施ください。
yarai/AMC v3.4.0以降をこれから導入される場合
1.管理コンソール(AMC)を構築します。
AMCのインストールについては、「FFRI AMC セットアップマニュアル」を参照してください。
2.管理コンソール上にて、事前にDefender連携を有効にしたポリシーを配布します。
ポリシーの配布の手順については、「FFRI AMC オペレーションマニュアル」を参照してください。
3.クライアント側で、他社ウイルス対策ソフトをアンインストールします。
4.クライアント側にyaraiをインストールします。
yaraiのインストールについては、主に以下のような方法があります。それぞれのマニュアルを参照してください。
| インストール方法 | マニュアルや参考FAQ |
|---|---|
| 既定のインストーラーmsiファイルによる画面ベースの手動インストール | 「FFRI yaraiのユーザーマニュアル」ー「インストール」 |
| 既定のインストーラーmsiファイルによるコマンドベースのサイレントインストール | 「FFRI yaraiのユーザーマニュアル」ー「コマンドラインからのインストール/アップデート/アンインストール」 |
| カスタムしたmsiファイルによる画面ベースの手動インストール | 「FFRI AMC セットアップマニュアル」ー「疎通/動作確認とFFRI yarai MSI Generator の使用方法」 |
5.後述「Defender連携の動作確認手順」に従って、動作確認を行います。
yarai/AMC v3.4.0未満を導入済みで、yarai/AMC v3.4.0以降にアップデートされる場合
1.管理コンソール(AMC)をアップデートします。
AMCのアップデートについては、「FFRI AMC セットアップマニュアル」を参照してください。
2.管理コンソール上にて、以下のようなDefender連携を無効にしたポリシー(※1)を配布します。
ポリシーの配布の手順については、「FFRI AMC オペレーションマニュアル」を参照してください。
| ポリシー | 設定 |
|---|---|
| リアルタイム保護の有効化 | 既定(※2) |
| yarai GUI でのリアルタイム保護の制御 | 禁止 |
| AMC およびyarai による監視対象イベント | 全ての情報を収集しない |
| 上記以外のDefender連携の設定 | 全て無効 |
(※1)通常は、他社ウイルス対策ソフトがインストールされている場合、Defenderが無効となります。その状態でDefender連携を使用することは基本的に想定していないため、事前に上記の設定とします。
(※2)「リアルタイム保護の有効化:既定」にした場合には、yarai側では動作の変更を行わず、あらかじめクライアントOS側で設定されている動作に従いますが、通常は、他社ウイルス対策ソフトをアンインストールすれば、Defenderは自動的に有効になると考えられます。
3.クライアント側で、他社ウイルス対策ソフトをアンインストールします。
4.クライアント側のyaraiをアップデートします。
yaraiのアップデートについては、以下のFAQを参照してください。
yaraiのアップデート方法を教えてください
5.アップデートしたクライアントに対して、Defender連携を有効にしたポリシーを配布します。
ポリシーの配布の手順については、「FFRI AMC オペレーションマニュアル」を参照してください。
6.後述「Defender連携の動作確認手順」に従って、動作確認を行います。
Defender連携の動作確認手順
1.Defenderのステータスを確認します。
yaraiまたはAMCの画面から、「Defenderのリアルタイム保護が自動的に有効になっていること」や「シグネチャーが最新版にアップデートされていること」を確認します。
■ yaraiのステータス画面とイベントログ画面
■ AMCのクライアント管理画面
※「クライアント管理」画面に表示する項目については、「設定 - サーバー管理 - クライアント管理表示項目設定」から変更できます。
2.AMCの管理コンソールから、オンデマンドスキャンを配布します。もしくは、ポリシーにてスケジュールスキャンを配布します。
オンデマンドスキャンの配布や、ポリシーの配布の手順については、「FFRI AMC オペレーションマニュアル」を参照してください。
3.EICARテストファイルで、Defenderの動作を確認します。
メモ帳を開き、以下の文字列を入力して、「EICAR-test-virus-yarai.com」として任意の場所に保存します。保存すると直ぐにDefender側で検出されます。
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
※EICARテストファイルは、各メーカーのウイルス対策ソフトで共通検出するテストウイルスです。マシンへの影響はありません。
4.Defenderのログを確認します。
yaraiまたはAMCの画面から、Defender関連のログ(マルウェア検出、スキャン、シグネチャーアップデートなど)が表示されていることを確認します。
■ yaraiのイベントログ画面
■ AMCのyaraiログ画面
関連するFAQ
