Windows 10 バージョン1903のWindows Defender新機能──改ざん防止：企業ユーザーに贈るWindows 10への乗り換え案内（57）

Windows 10の最新バージョンでは、「Windows Defenderウイルス対策」に「改ざん防止」という新機能が追加されました。「改ざん防止」とはどのようなセキュリティ機能なのか、どういう利点があるのかを紹介します。

企業ユーザーに贈るWindows 10への乗り換え案内

「改ざん防止」はWindows Defenderウイルス対策の設定変更を抑止

　Windows 10 バージョン1903では、「Windows Defenderウイルス対策（Windows Defender Antivirus）」に「改ざん防止（Tamper Protection）」という新機能が追加されました。この機能は、ウイルス対策ソフトとしてWindows 10標準のWindows Defenderウイルス対策のみを利用している場合に使用できるものです。

　「改ざん防止」という名前からは、Windowsのシステムに対する改変や通信トラフィックの盗聴、改ざんを防止するような機能を想像する人もいるでしょう。しかし、そのような機能を提供するものではありません。「改ざん防止」とは、以下に挙げるWindows Defenderウイルス対策の設定変更を抑止する機能です。これらの設定は、セキュリティを維持するために重要な設定です。

　この中で「IOAV保護」と「セキュリティインテリジェンスの更新」については、聞き慣れないものでしょう。補足しておきます。IOAV（IOfficeAntiVirus）保護は、Webブラウザによるダウンロードやメールの添付ファイルを開く際、ウイルススキャンの実行に使用されるインタフェースです。ダウンロード完了後に「セキュリティスキャンを実行中……」と表示されるのは、IOAV保護が有効になっているからです。セキュリティインテリジェンスの更新は、以前は「Windows Defender Antivirusの定義の更新」と呼ばれていたものです。

　「改ざん防止」機能は既定でオン（有効）になっています。設定を確認するには、「Windowsセキュリティ」アプリ（以前のバージョンのWindows 10では「Windows Defenderセキュリティセンター」という名称でした）で「ウイルスと脅威の防止」を開き、「ウイルスと脅威の防止の設定」にある「設定の管理」をクリックして、「改ざん防止」の設定項目を参照します（画面1）。

画面1　Windows Defenderウイルス対策の新機能「改ざん防止」は、既定でオン（有効）。オフにすることは推奨されない

　なお、Windows Defenderウイルス対策以外のサードベンダーのマルウェア対策製品がインストールされている場合、「改ざん防止」を含むWindows Defenderウイルス対策の設定項目にはアクセスできません。

　「改ざん防止」はオン／オフできますが、オフにすることは推奨されません。Windows 10 Enterprise E5サブスクリプションの場合は、オフにできないということです。Windows 10 Enterprise E5で「改ざん防止」をオフにできないのは、Windows Defenderウイルス対策をさらに強化する「Windows Defender Advanced Threat Protection（ATP）」で保護されるからでしょう。

　「改ざん防止」で保護される他の項目（リアルタイム保護など）も、「改ざん防止」がオン／オフであるかどうかに関係なく、「Windowsセキュリティ」アプリからオン／オフができます。ユーザーアカウント制御（User Account Control：UAC）で保護されていますが、管理者権限のあるアカウントであれば可能です。「改ざん防止」は、「Windowsセキュリティ」アプリを使用したユーザーによる変更を防止するものではないのです（画面2）。

画面2　「改ざん防止」がオンの状態でも、ユーザーが保護された項目をオフにすることは可能（UACプロンプトによる設定変更の許可は求められる）

　ただし、推奨されない設定がユーザーによって行われた場合は、「Microsoft-Windows-Windows Defender/Operational」ログにイベントID「5007」の情報イベントが記録されます（後出の画面7を参照）。

　「改ざん防止」が何から設定を保護するのかというと、次のような方法を用いた設定オフや定義ファイルの削除操作からです。マルウェアは活動を阻むウイルス対策を先に無効化しようとするでしょう。あるいは、ポリシー設定のミスがシステムを脆弱（ぜいじゃく）な状態にしてしまう可能性もあります。「改ざん防止」には、そうしたリスクを最小化する効果が期待できます。

　「改ざん防止」はレジストリの直接的な変更を防止する機能はありませんが、そもそもWindows Defenderウイルス対策の設定が格納される「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender」キーの既定のアクセス許可は、それを許しません。

　例えば、ローカル管理者であってもレジストリを変更することはできません。アクセス許可の緩いポリシー設定に対応するレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender」の変更については、「改ざん防止」でカバーされます（グループポリシーによる設定オフからの保護と同じ）。

　「改ざん防止」がオンになっていることにより、どのような効果があるのか、幾つかデモンストレーションをしてみましょう。

「改ざん防止」のデモ──コマンドラインからの設定変更の防止

　Windows 10 バージョン1903でWindows Defenderウイルス対策を使用している場合、「改ざん防止」は既定でオンになっています。

　この状態で「MpCmdRun」コマンドを使って、定義ファイルを全て削除（例：MpCmdRun -RemoveDifinitions -All）しようとしてもエラー「0x80070005」（アクセスが拒否されました）で失敗します。また、「Set-MpPreference」コマンドレットでリアルタイム保護、動作の監視、IOAV保護をオフにしようとしても、設定が変更されることはありません（画面3）。

画面3　「改ざん防止」がオンの場合、MpCmdRunコマンドによる定義ファイルの削除は失敗し、Set-MpPreferenceコマンドレットによる設定オフは、無視される（オフにならない）

　同じPCで「改ざん防止」をオフにしてから、同じ操作を実行すると、定義ファイルは削除され、リアルタイム保護、動作の監視、IOAV保護はオフになります（画面4）。

画面4　「改ざん防止」がオフの場合、MpCmdRunコマンドによる定義ファイルの削除とSet-MpPreferenceコマンドレットによる設定オフは成功する

「改ざん防止」のデモ──グループポリシーによる設定変更の防止

　次のデモンストレーションは、「ローカルコンピューターポリシー」による設定オフです。グループポリシーの場合も同様のはずです。

　「コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Defender ウイルス対策\リアルタイム保護」にある幾つかのポリシーを有効または無効にして、リアルタイム保護、動作の監視、IOAV保護（全てのダウンロードファイルと添付ファイルをスキャンする）をオフにする設定を行い、PCを再起動しました。

　再起動後に「Windowsセキュリティ」アプリを開いても、重要な設定がオフになっているという警告は表示されません。通常、リアルタイム保護をオフにすると、「リアルタイム保護がオフになっており、お使いのデバイスは脆弱な状態です」と表示され、「有効化」ボタンが表示されますが、ポリシー設定により設定をオフにしてもそうなりません（画面5）。

画面5　ポリシー設定でリアルタイム保護を含む重要な設定をオフにしても、「Windowsセキュリティ」アプリは警告を通知しない

　Windows Defenderウイルス対策の設定を参照すると、「リアルタイム保護」の項目が「オフ」の状態でグレーアウト表示になっており、ユーザーによる変更から保護されているのが分かります。一見すると、「リアルタイム保護」はオフになっているようですが、「EICAR」テスト用ウイルスファイル（ウイルス検査をテストするための害のないダミーウイルス）で確認してみると、リアルタイム保護で即時検出され、対応（駆除、削除、または許可）を求められました（画面6）。

画面6　ポリシー設定により「リアルタイム保護」が「オフ」になっているように見えるが、実際にはオンの状態のままで、「EICAR」テスト用ウイルスファイルを脅威として検出した

　同様に、IOAV保護をポリシーで有効にしても、ファイルをダウンロードすれば「セキュリティスキャンを実行中……」の処理が走ります。このことから、ポリシー設定は受け取っていますが、「改ざん防止」機能により、重要な保護機能はオンの状態のままであることが分かります。

「改ざん防止」をオフにすると……

　Windows 10 Enterprise E5以外は、エンドユーザーにより「改ざん防止」がオフにされる可能性があります。しかし、Windows 10 バージョン1903のポリシーテンプレートには、「改ざん防止」を構成するためのポリシーは見つかりませんでした（Tamper Protectionを設定するポリシーテンプレートは存在しません）。

　「改ざん防止」がオフになっている場合、「Windowsセキュリティ」アプリはその状態を警告します。「無視」するオプションも提供されますが、「改ざん防止」や「リアルタイム保護」のオフへの変更は、「Microsoft-Windows-Windows Defender/Operational」ログにイベントID「5007」の情報イベントとして記録されます（画面7）。

画面7　Windows Defenderウイルス対策の推奨されない設定については、「Windowsセキュリティ」アプリによる警告やイベントログで確認できる

　「改ざん防止」をオフにするにはUACによる許可が必要であるため、「改ざん防止」自身の設定を保護する方法の一つは、ユーザーにローカル管理者権限（ビルトインAdministratorグループ）を与えないことです。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。