Microsoft Defender(Windows セキュリティ)のスキャンを定時実行するには
タスク スケジューラを使うのが一般的です。以下の手順で設定できます。
手順:Microsoft Defender の定時スキャン設定- タスク スケジューラを開く
- Windowsキーを押して「タスク スケジューラ」と検索し、起動します。
- 新しいタスクを作成
- 左ペインで「タスク スケジューラ ライブラリ」を選択。
- 右ペインで「タスクの作成」をクリック。
- 基本情報を設定
- 名前:例「Defender 定期スキャン」
- 「最上位の特権で実行する」にチェック。
- トリガーを設定
- 「トリガー」タブ → 「新規」 → 実行頻度を設定(毎日、毎週など)。
- 実行時間を指定。
- 操作を設定
- 「操作」タブ → 「新規」 → 以下を入力:
- 操作:プログラムの開始
- プログラム/スクリプト: powershell
- 引数の追加: -Command "Start-MpScan -ScanType QuickScan" ※フルスキャンの場合は
-ScanType FullScan - 条件・設定を調整
- 「条件」タブで「AC電源時のみ実行」など必要に応じて設定。
- 「設定」タブで「期限切れタスクをできるだけ早く実行」
などを有効化。 - 保存して完了
- OKを押してタスクを保存。
補足- スキャンタイプ:
QuickScan:短時間で重要な領域をチェック。FullScan:全ディスクをスキャン(時間がかかる)。- 確認方法:
- PowerShellで
Get-MpScanコマンドを使うとスキャン履歴を確認できます。
必要なら、スクリプトを自動化して複数の Defender コマンドを実行する PowerShell ファイルも作れます。
→ PowerShell スクリプト例を作成しましょうか?(定期スキャン+
→ PowerShell スクリプト例を作成しましょうか?(定期スキャン+
#-----------------------------
Q.同スクリプトをシステム管理者権限で不適切に起動・
A.とても良い質問です。セキュリティの観点から、
リスクの有無について- PowerShell コマンド自体(
Start-MpScan)は Microsoft Defender の公式モジュールであり、悪意のある動作はありません。 - しかし、タスク スケジューラで「最上位の特権で実行」設定を有効化した場合、
そのタスクは管理者権限で実行されます。 - もしエンドユーザがこのタスクを編集できる権限を持っている場合
、スクリプトやコマンドを別のものに書き換えることで、 管理者権限で任意のプログラムを実行できるリスクがあります。
リスクが発生する条件- タスクの編集権限がエンドユーザにある
- タスク スケジューラのタスクを変更できる場合、
悪意あるコマンドに差し替え可能。 - 「最上位の特権で実行」設定が有効
- この設定により、タスクは管理者権限で実行されるため、
権限昇格の手段になり得る。
リスク低減策- タスクの所有者を管理者にし、一般ユーザに編集権限を与えない
- 「最上位の特権で実行」を必要な場合のみ設定
- スクリプトを署名し、改ざん検知を導入
- グループポリシーでタスク スケジューラの権限を制御
推奨アプローチ- 定期スキャンは、管理者が作成したタスクをユーザが編集できない
状態で運用する。 - もしくは、ユーザ権限で実行可能なスキャンコマンド(
管理者権限不要)を利用する。 - Defender の
Start-MpScanは通常ユーザ権限でも QuickScan は実行可能。
必要なら、**「
No comments:
Post a Comment