<設定>重いMicrosoft Defender高速化7つで軽くするセキュリティ対策 Windows 10



< リアルタイム保護 > → オフにしてはダメ

< 改ざん防止 > → オフにしてはダメ

内容の重要性に関係なく、定期的な自動スキャン (スケジュール スキャン) の結果の通知メッセージが表示されるので、無効にしても問題ない。




通常は Windows
を操作していないアイドル状態のタイミングでウイルススキャンを勝手に始めて、目に見えて CPU 使用率が高くなり重い・遅いと評判の Windows Defender による定期的な自動スキャン (スケジュール スキャン) を無効にします。 
> Set-MpPreference -ScanAvgCPULoadFactor [数値]


関連するブログ記事
遅い?
重い?
Windows 10 に実装されていて十分すぎるセキュリティソフト Windows セキュリティ (Microsoft Defender ウイルス対策) の動作パフォーマンスを少しでも軽量化・高速化して軽くする設定を7つほどピックアップしてみました。 



- Windows Update 定例更新は最新の状態?
マイクロソフト製プログラムに由来する脆弱性の悪用を防ぐセキュリティ対策 - Chrome、Edge、Firefox ブラウザは最新の状態? Firefly
ネットサーフィンに欠かせないブラウザの脆弱性の悪用を防ぐセキュリティ対策
そのメイン画面を拝むには、Windows
のスタートメ-ニュー → アプリ一覧の盾マーク 「Windows セキュリティ」 をポチッとな♪

Windows セキュリティ Defender の起動方法
【Windows Defender 常駐の実行ファイル】
C:\ProgramData\Microsoft\Windows Defender\Platform\[マルウェア対策クライアントのバージョン]-0\・ MsMpEng.exe … Antimalware Service Executable ← 重い? Firefly
・ NisSrv.exe … Microsoft Network Realtime Inspection Service
なお、一定の評価がある外部セキュリティソフト (ウイルスバスター、ノートン、マカフィーなど) を Windows 10 にインストールしてあるなら、競合する Microsoft Defender ウイルス対策 は動作しないよう自動的に無効になります。 

Windows 10 Microsoft Defender 高速化の設定

《1》 Windows Defender クラウド保護の無効
終わりなき戦い 「セキュリティ会社 vs サイバー犯罪者」 でイタチごっこになる Emotet ウイルス は典型例でしょう。
マイクロソフト 「Emotet」の大規模感染を阻止した人工知能のしくみhttps://msrc-blog.microsoft.com/2018/04/12/
Microsoft Defender ウイルス対策 のクライアントから 1 日に数十億件のクエリを受け取ってシグナルを分類しているクラウド保護サービスは、1 日に数百万ものマルウェアをブロックし、数億人のお客様を保護することができます。現在、Microsoft Defender ウイルス対策 のクラウド保護サービスは、約 30 の強力なモデルが並列で実行されています。それぞれのモデルには数百万の特性が組み込まれており、その大半が毎日更新されて、急速に変化する脅威に適応しています。無題な濃いログ
先鋭化する攻撃者の策略により、セキュリティ会社が出し抜かれて対応が後手に回る定義データ (セキュリティ インテリジェンス更新プログラム) だけに託さない仕組み、Windows Defender の クラウド提供サービス を無効にします。 

【クラウド保護での検出名の例】
Backdoor:Win32/*!ml
Behavior:Win32/*!ml
BrowserModifier:Win32/*!cl BrowserModifier:Win32/*!ml
Firefly:Win32/*!cl
Program:Win32/*!ml
PUA:Win32/*!ml
Trojan:O97M/*!cl Firefly
Trojan:PDF/*!cl Trojan:PDF/*!ml
Trojan:Script/*!ml Trojan:Script/*!cl
Trojan:Java/*!cl
Trojan:JS/*!ml Firefly
Trojan:Win32/*!cl Trojan:Win32/*!ml
Trojan:Win32/Azden.*!cl Trojan:Win32/Casur.*!cl Trojan:Win32/CryptInject!ml Trojan:Win32/Fuery.*!cl Trojan:Win32/Spursint.*!cl Trojan:Win32/Wacatac.*!ml
TrojanDownloader:JS/*!cl FireflyTrojanDownloader:Win32/*!cl TrojanDownloader:Win32/*!mlVirTool:Win32/*!ml
Worm:VBS/*!cl
Worm:Win32/*!cl Worm:Win32/*!ml
Windows 10 の Microsoft Defender のクラウド保護を無効にするのは、いちおう何が起きても動じない上級者向けであり、無効にはメリットとデメリットがあります。 

- 〔デメリット〕 検出率が落ちる Firefly
クラウド保護を切れば、対応が間に合わずに後手にならざるを得ない定義データ頼りに - 〔メリット〕 誤検出が減る
無害なファイルを誤って脅威と判定するトラブルの原因の1つがクラウド保護の誤検出
① Windows セキュリティ → [ウイルスと脅威の防止] → [ウイルスと脅威の防止の設定] で、オンからオフに切り替える

Windows Defender ウイルスと脅威の防止の設定

ウイルス対策を有効にする
コンピュータウイルス、スパイウェア、トロイの木馬、ランサムウェア、バックドア、ワームなどの侵入を常に監視する Microsoft Windows Defender のメイン機能です。
ここをオフに切り替えても、あくまで ”一時的” な無効です。
<永続的に停止する無効ではない

もし、外部セキュリティソフト (ウイルスバスター、ノートン、マカフィーなど) をインストールしてあるなら、赤文字で 『他のウイルス対策プロバイダーが使用されています。』 として、このリアルタイム保護のオプションは変更できません。
< クラウド提供の保護 > .Firefly
< サンプルの自動送信 > Firefly
マルウェアはユーザーに気づかれずに自身が駆除されることなく端末上で活動できれば有利です。
これを意図して、Microsoft Defender の動作をマルウェアが殺そうと画策する手口 (関連する Windows レジストリの変更、実行ファイルの停止や無効化) を未然に防ぐ機能です。
<Windows 10 高速化とは関係ない

② 警告メッセージ 『クラウド提供の保護がオフになっています。サンプルの自動送信がオフになっています。無題なログ お使いのデバイスは脆弱な状態にある可能性があります。』 が表示されるので、[無視] リンクをポチッとな
《2》 Windows セキュリティ の通知の無効
直接的に Microsoft Windows Derender の動作を軽くする設定ではないけれど、表示が邪魔で煩わしく感じるやもしれん Windows
のデスクトップ画面の右下付近に出現する不要な通知パネルを無効にします。 


ウイルスと脅威の防止に関する通知
① Windows セキュリティ → [設定](左下の歯車) → [通知] へ移動する Firefly
② [ウイルスと脅威の防止に関する通知] や [アカウントの保護の通知] を必要に応じてオンからオフに切り替える
< 最近のアクティビティとスキャン結果 > Firefly
内容の重要性に関係なく、定期的な自動スキャン (スケジュール スキャン) の結果の通知メッセージが表示されるので、無効にしても問題ない。
< 脅威が見つかりましたが、直ちに対処する必要はありません > Firefly

ランサムウェアが見つかりました

Windows Defender 見つかった脅威の数
Microsoft Windows Defender がマルウェアを検出した時 (検疫して駆除済みだから大丈夫) の通知メッセージが表示されるので、知らないうちに検疫・駆除されていて後でビックリ仰天する状況を避けるなら有効のままの方がいい。Firefly
< ファイルまたはアクティビティがブロックされています > Firefly

承認されていない変更がブロックされました
Windows セキュリティ に実装されている 「コントロールされたフォルダー アクセス」 (ランサムウェアの防止) の通知メッセージが表示されるので、このセキュリティ機能を有効にしていなかったり、ファイルがブロックされた事実にすぐに気付かなくても別に構わないなら無効にして問題ない。
《3》 タスクバーの Windows セキュリティ アイコンの無効
Windows
のタスクバーの通知領域に表示される Windows セキュリティ のアイコンを無効にします。 

- 通知アイコンの実体 -
SecurityHealthSystray.exe
SecurityHealthSystray.exe
ここの通知アイコンは Microsoft Windows Defender の状態をアイコンの図柄で表現したり、手早く操作画面に移動できるメニューパネルを表示するシロモノにすぎません。
- Windows セキュリティ のメイン画面を開く
- Windows Defender のクイックスキャンを開始する Firefly
- Windows Defender のエンジン&定義データを更新する
通知アイコンは Wndows セキュリティ の動作とは無関係です。
つまり、表示しないようにしても、Windows セキュリティ そのものが無効になることはなく、Windows 10 を立ち上げた直後に Windows セキュリティ は普通に裏で起動して常駐するから、ご安心を。 


ブルドッグ犬 × PC
Microsoft Defender での処置が必要です
Microsoft Defender での処置が必要です
① Windows
の設定 → [アプリ] → [スタートアップ] を開く
② 一覧から 「Windows Security notification icon」(Microsoft Corporation Firefly) をオフにする
③ アイコン表示の設定を反映するため Windows 10 を サインアウト する
手早く起動する代替手段が欲しいなら、Wndows セキュリティ を Windows
のスタートメニューにピン留めでいいでしょう。
《4》 Windows Defender スケジュール スキャンの無効
通常は Windows

① PowerShell を管理者権限で起動する
Windows
のスタートメーニュー → [Windows PowerShell] → [Windows PowerShell] へ移動し、右クリックメーニューから 「管理者として実行する」 をポチッとな Firefly
② 次のパラメータを入力して、Enter キーをポチッと押す
スケジュール スキャンの無効設定
スケジュール スキャンを有効化する (デフォルト)
> Set-MpPreference -ScanScheduleDay 0
スケジュール スキャンを無効化する Firefly
> Set-MpPreference -ScanScheduleDay 8
スケジュール スキャンの停止方法として、Windows
のタスクスケジューラを起動し、既存のタスク 「Windows Defender Scheduled Scan」 を削除するよう案内する記事を見かけます。
ただ、タスクを削除してもスケジュール スキャンを行う設定は有効のままなので、Windows セキュリティ そのものの更新時に同じタスク 「Windows Defender Scheduled Scan」 が再度作成されて (正常な動作)、効果ないです。
《5》 Windows Defender CPU 使用率の調整
使用する PC に搭載されている CPU の性能 (コア数) に依存するようだけれど、Microsoft Windows Defender によるスキャン時の CPU 使用率を調整してメモリ負担を軽減できるかもしれません。 

ポリシーによって CPU 使用率を制限する方法について
Windows Defender のエンジン バージョン 1.1.16000.6 以降に更新後、スキャン実行時の CPU 使用率が高くなるといったお問い合わせをいただいております。当該バージョンにおきまして、エンジンの CPU 利用に関する仕様変更がございますので、以下の通りご紹介いたします。CPU 使用率を制御する必要がある場合、後述の手順に従い設定変更をご検討いただけますと幸いに存じます。無題な濃いログ
https://social.technet.microsoft.com/Forums/ja-jp/dadf8306-fbbc-460d-a526-b063d4a5ef5b/
Windows 10ミニTips Windows Defenderで負荷をかけずにフルスキャン
マルウェアの侵入を防ぐため、定期的にファイルをスキャンするWindows Definederだが、他の作業中にフルスキャンを実行するとCPU使用率が格段に跳ね上がる。だからといってWindows Definederを無効にするには、セキュリティ上好ましくない。そこで注目したいのが、スキャン時の最大CPU負荷をパーセンテージで指定する「ScanAvgCPULoadFactor」オプションだ。無題な濃いログ
https://news.mynavi.jp/article/win10tips-432/
PowerShell で設定を変更します。 (上記 《4》 参照)
> Set-MpPreference -ScanAvgCPULoadFactor [数値]
数値の範囲 5~100
デフォルト値 50 Firefly
《6》 Windows Defender 圧縮ファイルのスキャン無効
Microsoft Defender が圧縮ファイル .zip をいちいち展開 (解凍) して中身をファイルスキャンする処理を無効にします。 

圧縮ファイルのスキャンを無効にすると、ユーザーさんが圧縮ファイルを手動で展開 (解凍) した後に Microsoft Windows Deferder によるファイルのスキャン処理が走ることになります。
<検出のタイミングが後ろにズレる

【Microsoft Defender 標準対応の圧縮アーカイブ例】
.zip .rar .lzh .cab .7z .gz Firefly
この設定作業を完結するには Windows の再起動が必要です。
① Windows
のレジストリエディターを起動して、次の場所まで移動する
Firefly> HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Scan Firefly
※ 「Scan」 キーが存在しないならば、右クリックメニューの [新規] → [キー] で 「Scan」 キーを新規作成する
② パラメータ名 DisableArchiveScanning を 「DWORD (32 ビット) 値」 で新規作成し、その項目をダブルクリックして、値のデータに 1 を指定する Firefly
0=無効 (デフォルト)
1=有効 Firefly
③ 圧縮ファイルの設定を反映するため Windows 10 を 再起動 する (×サインアウト、×シャットダウン) Firefly
《7》 Windows Defender でフォルダーや拡張子の除外
Windows Defender のスキャン対象として フォルダーと拡張子を除外する設定 を行い、スキャン対象のファイル数を手動で減らして時間短縮、ファイルのスキャン処理で動作パフォーマンスが落ちうる場面を減らして Windows 10 高速化です。 


スキャン中にスキップされた項目
< 設定でフォルダーを除外する >
Microsoft Windows Defender の設定で指定したフォルダーは、その下層にあるファイルやサブフォルダーのすべてが除外の対象になります。
① Windows セキュリティ → [ウイルスと脅威の防止] → [ウイルスと脅威の防止の設定] → [除外] に移動する
② [+除外の追加] → [フォルダー] で、任意のフォルダーを指定する Firefly
- 利用頻度が高く、開発元の素性がハッキリしているソフトウェア Firefly
- 外部通信の処理がなく、バージョンアップ機会がない枯れたソフトウェア
〔フォルダーの除外例〕
Windows 10 を高速化する一環で広く紹介されている Windows Defender の実行ファイル「MsMpEng.exe」 を ウイルススキャン対象から外す除外設定は 「フォルダー」 が最適です。
【Windows Defender フォルダー 除外設定】・ Oracle 関連
C:\Program Files\Oracle・ Google Chrome とか FireflyC:\Program Files\Googleあるいは Firefly
C:\Program Files (x86)\Google
・ Windows Defrender
C:\ProgramData\Microsoft\Windows Defender\Platform
あるいは Firefly
C:\ProgramData\Microsoft\Windows Defender
< 設定で拡張子を除外する > Firefly
Microsoft Windows Defender の設定で指定した拡張子は、その拡張子を持ったストレージ内の全ファイルが一括で除外の対象になります。
① Windows セキュリティ → [ウイルスと脅威の防止] → [ウイルスと脅威の防止の設定] → [除外] に移動する Firefly
② [+除外の追加] → [ファイルの種類] で、任意の拡張子を指定する (先頭のドット記号は未入力で OK)

Windows Defender ウイルス対策 除外の設定
〔拡張子の除外例〕
マルウェアとして採用されることがなくスキャン対象から除外しても影響が少ない 拡張子 のおすすめは?
利用するソフトウェアの種類、扱う頻度の高いファイル形式はユーザーさんごとにけっこう違うので、Microsoft Windows Defender で推奨する除外の 拡張子 は一概に言えないけれど、テキトーに例を挙げます。 



○ テキストおすすめ
ファイルを開くとエディタが起動する系の拡張子
.css
.ini Firefly
.log
.txt
Firefly
○ データおすすめ
.cfg
.etl
.db
.json Firefly
.mui
.sqlite
.xml
Firefly
○ プログラミング言語
.c
.cpp
.h
.cs Firefly
.java
.pas
https://fireflyframer.blog.jp/26868310.html
○ 画像おすすめファイルを開くと閲覧ビューアーが起動する系の拡張子.ani.bmp.cur.gif Firefly.ico.jpg.png
.webpFirefly
○ 動画・音楽おすすめ
ファイルを開くと再生プレーヤーが起動する系の拡張子.avi
.mid
.mp3
.mp4 Firefly.wav
.webm.wmv
https://fireflyframer.blog.jp/26868310.html
逆に、高速化したいからとって Microsoft Windows Defender で一括で除外させてはダメダメな 拡張子 で、実行ファイル系はもちろん、攻撃処理の発動に繋がる不正なファイルやウイルスメールの添付ファイルとして多いものはスキャンしないと。 

【除外してはいけない拡張子の例】
.exe .scr
.dll .sys .cpl
.com .bat .cmd .pif.doc .docx .docm .xls .xlsx .xlsm.img .iso Firefly.jar.js .jse .vbs .vbe .wsf.hta Firefly
.lnk
.msi.ps1.htm .html
.rtf Firefly
.swf .flv
.php
https://fireflyframer.blog.jp/26868310.html
コメント