仮想マシンテンプレート／イメージ展開用カスタムイメージの「Microsoft Defender」をオフラインのまま最新状態にする方法：企業ユーザーに贈るWindows 10への乗り換え案内（87）

企業ユーザーに贈るWindows 10への乗り換え案内

新規インストールやイメージ展開直後の数時間の弱点をカバー

　「Windows 10」や「Windows Server 2016」以降にはウイルス対策ソフトとして「Microsoft Defender」（旧称、Windows Defender）が標準搭載されており、サードベンダーのウイルス対策ソフトウェアが導入されていない場合は既定で有効化されます。

　しかし、Windowsのインストールメディアや機能更新プログラム、イメージ展開用のカスタムイメージにはMicrosoft Defenderの古いバージョンのエンジンや定義が含まれる可能性があり、セットアップ直後の数時間、ネットワーク経由で最新状態に更新されるまでは、最新の脅威に対して十分な保護を提供できない場合があります。「Sysprep（システム準備ツール）」で汎用（はんよう）化した仮想マシンテンプレートのVHDやVHDX（以下、VHD《X》）ファイルを複製して仮想マシンを展開する場合も同様です（画面1、画面2）。

画面1　2020年6月に作成した仮想マシンテンプレートから仮想マシンを展開すると、含まれるMicrosoft Defenderのバージョンは2020年6月時点のもの

画面1　仮想マシンのネットワークをオンラインにして最新状態に更新するまでは、最新の脅威から保護されない状態

　そこでMicrosoftは、カスタムイメージを含むWIM（Windows Imaging Format）ファイルや仮想マシンテンプレート、仮想マシンのVHD（X）ファイルに適用可能なMicrosoft Defenderの更新パッケージと展開スクリプトの提供を開始しました。

• Microsoft Defender update for Windows Operating System installation Images［英語］（Microsoft Support）

　上記サポート情報からダウンロードできる32bit（x86）および64bit（x64）向け更新パッケージの2020年10月時点のバージョンは「1.1.2009.10」で、プラットフォームバージョン「4.18.2008.9」、エンジンバージョン「1.1.17400.5」、定義バージョン「1.323.2216.0」の更新を含みます。より新しいパッケージが利用可能になれば、上記サポート情報で知ることができるはずです。

　この更新パッケージの適用対象は、以下のWindowsがインストールされているWIMイメージ、VHD（X）イメージとされていますが、筆者が確認した限り、半期チャネル（SAC）リリースのWindows Serverにも適用可能です。

オフラインでのMicrosoft Defenderの更新手順

　更新パッケージは、Windows 10 x64およびWindows Server 2016以降のWindows PowerShell 5.1、PowerShell Core 6以降で利用でき、インストールメディアに含まれる「install.wim」（書き込み可能な場所にあること）、マスターコンピュータで作成しSysprepで一般化したカスタムイメージをキャプチャーしたWIMイメージ、仮想マシンテンプレート用のSysprepで一般化したVHD（X）イメージを更新できます。長期間起動していない仮想マシンのVHD（X）イメージのオフライン更新にも使用できます。

　x64向け「defender-update-kit-x64.zip」またはx86向け「defender-update-kit-x86.zip」をダウンロードしたら、任意のディレクトリにCABファイル（defender-dism-x64.cab、defender-dism-x86.cab）とPowerShellスクリプト「DefenderUpdateWinImage.ps1」を展開します。

　PowerShellウィンドウを管理者として開き、展開先のディレクトリに移動したら、イメージのファイルパスを指定して更新を適用します。例えば、VHD（X）イメージの場合は次のコマンドラインを実行します（画面3）。なお、イメージに既に最新の更新が含まれる場合、「DefenderUpdateWinImage.ps1」は更新パッケージを適用せずにイメージを元の状態にロールバックします。

.\DefenderUpdateWinImage.ps1 -WorkingDirectory ".\TempDir" -Action AddUpdate -ImagePath "<VHD（x）イメージパス>" -Package ".\defender-dism-x64.cab（または.\defender-dism-x86.cab）"

画面3　仮想マシンテンプレートのVHD（X）イメージにMicrosoft Defenderの更新パッケージをオフラインで適用してから仮想マシンを展開すると、展開直後から新しいエンジンと定義で保護される

　WIMイメージの場合は、次のように実行します。WIMイメージに複数のイメージが含まれる場合は「-ImageIndex」パラメーターにインデックス番号を指定します（1つしか含まれない場合は省略可）（画面4）。

.\DefenderUpdateWinImage.ps1 -WorkingDirectory ".\TempDir" -Action AddUpdate -ImagePath "<WIMイメージのパス>" -ImageIndex <インデックス番号> -Package ".\defender-dism-x64.cab（または.\defender-dism-x86.cab）"

画面4　インストールイメージやカスタムイメージのWIMイメージを更新する場合は、必要に応じて「-ImageIndex」パラメーターを追加する（この例の場合は省略可）

　更新パッケージの適用状況を確認するには、次のように実行します。

.\DefenderUpdateWinImage.ps1 -WorkingDirectory ".\TempDir" -Action ShowUpdate -ImagePath "<WIMまたはVHD（x）イメージのパス>"

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2020-2021）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。