背景、目的など
現職場では主なエンドポイントセキュリティとしてウイルスバスターを使用しているのですが、パッケージ版のOfficeからMicrosoft365にてOfficeアプリを使うようになり、セキュリティソフトもMicrosoft365経由で利用できないかということになり、MicrosoftDefenderForBusiness + Intuneによるセキュリティ統制を順次進めているところです。
Windows端末にデフォルトで機能しているMicrosoftDefenderでセキュリティを確保している方は他にもいらっしゃると思いますが、これがちゃんと機能しているかどうか直感的に分からない、なんてことないでしょうか。セキュリティプロバイダのところの表示に「MicrosoftDefenderは有効です」みたいな表示はありますが、「この表示が出てれば安心だね!」というには少々不安だったりします。セキュリティベンダーのように専用のコンソールがあればちゃんと動いてる感が感じられますが、MicrosoftDefenderはWindowsのUIの一部として溶け込んでいるので、MicrosoftDefenderがどう有効なのか念を押して確認するにはどうすればよいか曖昧なままでした。
この記事はMicrosoftDefenderやIntuneが何を以て有効なのかを調査した際のレポートとして投稿させていただいた次第です。
考察対象のWindowsの仕様(スタート→設定→システム→詳細設定で見れるやつ)
- エディション Windows 10 Pro
- バージョン 22H2
- インストール日 2023/01/04
- OS ビルド 19045.2604
- エクスペリエンス Windows Feature Experience Pack 120.2212.4190.0
Get-MpComputerStatus(調査用コマンド)
後に添付するスクショの見栄えを考慮して、以下のワンライナーをPowershellで実行しております。動きとしてはGet-MpComputerStatusの出力結果の一番上にタイムスタンプを表示させて、ログを取得するといった感じのものです。
$temp1 = Get-Date ; $temp2 = (Get-Date -format "yyyyMMdd_hhmmss")+"_mpcom.txt" ; $temp3 = Get-MpComputerStatus ; Write-Output $temp1 $temp3 | tee "$home\downloads\$temp2"
調査開始
設定>更新とセキュリティ>Windowsセキュリティ>ウイルスと脅威の防止>設定の管理を見ていきます。リアルタイム保護 クラウド提供の保護 サンプルの自動送信 改ざん防止をオン/オフした時の状態をGet-MpComputerStatusで見ていきます。
①デフォルトの状態
Windows10のセットアップが終わって、更新プログラムも一通り適用された状態の出力結果です。正直なところこの時点でTrueの項目、Falseの項目があって何が何だかって感じです。。。
②リアルタイム保護 オフ
これだけでいくつもの項目に変化が。。。
RealTimeProtectionEnabledがFalseになっていることがポイントなんでしょうか。
③クラウド提供の保護 オフ
変化なし。
④サンプルの自動送信 オフ
変化なし。。。
⑤改ざん防止 オフ
IsTamperProtectionがFalseになりました。このタンパープロテクションですが、ざっと調べた限りでは「悪質なマルウェアへの感染からマシンを防御できる。」のだそうです。はい。
割と重要な項目だってことなんでしょうか。
⑥PC再起動
ここで試しに一度再起動を行いました。再起動後どうなったかといいますと、リアルタイム保護だけオンに戻されていました。RealTimeProtectionEnabledもTrueになっています。しかしIsTamperProtectionはFalseのままです。てっきり4項目全部オンに戻ると思っていましたが、バグなのか仕様なのか怪しいですね。
⑦再度全部オフ
改めて全部オフにしました。
⑧Intune(AzureAD)登録
4項目全部オフの状態でIntuneに登録しようと思います。といってもAzureADへの参加と同様の操作です。今回は「職場または学校にアクセスする」からAzureADに参加します。何をやったかが分かるだけでいいかと思うので雑に貼ります。
⑨Intune(AzureAD)登録直後
この設定は管理者によって管理されていますの文字が表示されるようになりました。この赤い文字ですが、恐らくIntuneに登録した影響で強力なポリシーが適用されたんだと思います。gpedit.mscからグループポリシーをいじれるんですが、そこをいじっているときにこんな赤い文字が表示されるのを確認しているので、多分、そうです。しかしgpedit.mscを見て回りましたが、特に変化を見つけられませんでした。ここがIntuneの特徴?なんでしょうか。別の検証でMicrosoftDefenderForBusinessだけを登録した際はこのような赤文字は出てきませんでした。
そして4項目のうち改ざん防止以外がオンになりました。IsTamperProtectionもFalseだし、、、不安だなぁ。。。てかこれどうやって戻すんだろう。
⑩全部オンの状態で「管理者によって管理」されている状態
なんやかんやで全部オンにできました。確かPCの再起動とかした気がします。IsTamperProtectionもTrueになってますね。
⑪①と⑩を比較
ここで痛恨のミスをしました。①時点のログを取り損ねていました。。。
ですので、他の状態の近いマシンからとってきたログにて比較を行っております。
タイムスタンプが逆行していますが、左が①、右が⑩のログです。
オン/オフをした影響なのかスキャンした回数や日時が変化しています。特にこれという違いがないのですが、強いてあげるなら下5行の部分でしょうか。
TamperProtectionSourceのパラメータのATPとはAdvanced Threat Protectionのことでしょうか。ちょいちょい見かけるので、勝手にそう思うことにします。
で、これらのパラメータがN/Aなんですが、これはどう解釈すればいいのか。検索の仕方が悪いのかさっぱり出てこない。。。
「クリプトジャッキングマルウェアをブロックする機能」らしいですが、TamperProtectionなどのガードが軒並み有効であればその限りではない、ということでしょうか。そういうことにしておきます(笑)
ウイルスバスター端末と比較
現行でウイルスバスターが入っているマシンでGet-MpComputerStatusを実行しました。もろもろFalseだったり、なんとかモードがNot Runningになっているので、完全にMicrosoftDefenderが無効になっている状態ってことなんでしょう。この状態ならちゃんとウイルスバスターが動いてるんだなって感じがしますね。
ちなみにセキュリティプロバイダーの部分はこんな感じで違いが出ています。
MicrosoftDefenderForBusiness有効確認
結局上記の調査ですがIntuneの確認にしかならない気がします。Intuneに登録すればMicrosoftDefenderForBusinessも自動で適応されるのですが手応えがありません。なのでMicrosoftDefenderForBusinessはどう有効であるのか別途調査しました。MicrosoftDefenderForBusinessを購入されている方はわかると思いますが、MicrosoftDefenderForBusinessを有効にするためのローカル実行用スクリプトが用意されていたりします。このスクリプトをテキストエディタで眺めていて以下のcmdコマンドに変化があることを見つけました。
sc query "SENSE"
REG query "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
REG query "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
sc query "SENSE"はpowershellだとGet-Service "SENSE"で同様のものが確認できます。
MicrosoftDefenderForBusinessが適用された端末でPowershellにて上記コマンドを実行すると以下の出力が得られます。
REG query "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"は表示結果が長いので省略しています。
これをウイルスバスター端末で実行すると以下の通りです。
各端末での出力を比較すると、MicrosoftDefenderForBusinessではSENSEというサービスが動いています。そして指定のレジストリに値が作成されているのが分かります。
このSENSEですが、管理ツール>サービスで編集できるWindows Defender Advanced Threat Protectionサービスのことのようです。(画像はウイルスバスター端末より)
この状態で各端末にてテスト用のアラートコマンドを実行します。
するとウイルスバスターは自身のアプリケーションにて検知の通知が出てきます。
これがMicrosoftDefenderForBusinessだとMicrosoft 365 Defenderにて通知が来るようになります。一応このテストアラート通知がMicrosoftDefenderForBusinessの有効確認でもあるようです。
まとめ
MicrosoftDefenderForBusiness + Intuneのセットアップ後の適用確認について、以下のことが確認できればいいということで一旦落ち着こうと思います。
Intune登録確認
- 「職場または学校にアクセスする」にAzureADに接続済みの表示がある
- 設定>更新とセキュリティ>Windowsセキュリティ>ウイルスと脅威の防止>設定の管理の4項目がこの設定は管理者によって管理されていますと表示され、オン/オフの切り替えができない
MicrosoftDefenderForBusiness有効確認
- Get-MpComputerStatus実行時、以下の項目がTrueである
RealTimeProtectionEnabled:True
IsTamperProtection:True - Get-Service "SENSE"実行時、以下の状態である
(cmdだとsc query "SENSE")
Status:Running - REG query "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"の表示結果の以下の項目が0x1である
OnboardingState:0x1 - REG query "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"の表示結果にOnboadingInfoがある
- テストアラート実行時、Microsoft 365 Defenderにて通知が来る
所感
へー、と思いながら見ていますが、.NET Framework 4.7.1以降である、net471フォルダーにあるコンテンツを使う、などやや敷居が高いように感じました。これを入れればより詳細なIntuneのステータスが分析できそうですが、すべてのPCに入れてまでやるかと言われると少々微妙なところです。今後の課題です。
以上でございます。チェックリスト作成時の参考にしたり、より詳細なナレッジへの踏み台とかになってくれればと思います。
ご拝読ありがとうございました。