Windows セキュリティ正常性検証ツール

[ネットワーク接続に対してファイアウォールが有効] を使用するように構成した場合、クライアント コンピューターで実行しているファイアウォール ソフトウェアは Windows ファイアウォール ソフトウェアか、Windows セキュリティ センターと互換性のあるファイアウォール ソフトウェアである必要があります。

Windows セキュリティ センターと互換性のないファイアウォール ソフトウェアは、クライアント コンピューターの Windows セキュリティ正常性エージェント (WSHA) では管理や検出ができません。

[ネットワーク接続に対してファイアウォールが有効] を選択した場合、クライアント コンピューターの WSHA は、ファイアウォール ソフトウェアがクライアント コンピューター上で実行されているかどうかを確認し、次の動作を行います。

• クライアント コンピューターでファイアウォール ソフトウェアが実行されていない場合は、ファイアウォール ソフトウェアがインストールされて実行されるまで、クライアント コンピューターは修復ネットワークに限定されます。
  
  
• クライアント コンピューターで実行されている唯一のファイアウォール ソフトウェアが Windows セキュリティ センターと互換性のないファイアウォール ソフトウェアである場合、WSHA は有効なファイアウォールがないことをネットワーク アクセス保護 (NAP) サービスに報告し、クライアント コンピューターは修復ネットワークに限定されます。
  
  

	重要
	[ネットワーク接続に対してファイアウォールが有効] を選択し、クライアント コンピューターで Windows ファイアウォールまたは Windows セキュリティ センターに対応しているファイアウォール ソフトウェアを実行していない場合、クライアント コンピューターはネットワークに接続できません。

[ネットワーク接続に対してファイアウォールが有効] を選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、ファイアウォール ソフトウェアを実行していないクライアント コンピューターはネットワークへの接続を拒否されません。

[ウイルス対策ソフトウェアが有効] を選択した場合、クライアント コンピューターの WSHA は、ウイルス対策ソフトウェアがクライアント コンピューター上で実行されているかどうかを確認します。クライアント コンピューターでウイルス対策ソフトウェアが実行されていない場合は、ウイルス対策ソフトウェアがインストールされて実行されるまで、クライアント コンピューターは修復ネットワークに限定されます。

クライアント コンピューターで実行しているウイルス対策ソフトウェアは、Windows セキュリティ センターと互換性がある必要があります。Windows セキュリティ センターと互換性のないウイルス対策ソフトウェアは、クライアント コンピューターの WSHA では管理や検出ができません。クライアント コンピューターで実行されている唯一のウイルス対策ソフトウェアが Windows セキュリティ センターと互換性のないウイルス対策ソフトウェアである場合、WSHA は有効にされているウイルス対策ソフトウェアがないことを WSHV に報告し、クライアント コンピューターは修復ネットワークに限定されます。

[ウイルス対策が最新の状態] を選択した場合、クライアント コンピューターの WSHA は、ウイルス対策アプリケーションのウイルス対策定義が最新のバージョンで、最新の状態であることを確認します。

ウイルス対策ソフトウェアが実行されていて、ウイルス対策定義が最新のものであることを確認するには、[ウイルス対策ソフトウェアが有効] および [ウイルス対策が最新の状態] の両方を選択する必要があります。

[ウイルス対策ソフトウェアが有効] を選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、ウイルス対策ソフトウェアを実行していないクライアント コンピューターはネットワークへの接続を拒否されません。

[ウイルス対策ソフトウェアが有効] も [ウイルス対策が最新の状態] も選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、ウイルス対策ソフトウェアを実行していないクライアント コンピューター、または古いウイルス対策定義ファイルでウイルス対策ソフトウェアを実行しているクライアント コンピューターは、ネットワークへの接続を拒否されません。

[スパイウェア対策アプリケーションが有効] を選択した場合、クライアント コンピューターの WSHA は、スパイウェア対策ソフトウェアがクライアント コンピューター上で実行されているかどうかを確認します。クライアント コンピューターでスパイウェア対策ソフトウェアが実行されていない場合は、スパイウェア対策ソフトウェアがインストールされて実行されるまで、クライアント コンピューターは修復ネットワークに限定されます。

クライアント コンピューターで実行しているスパイウェア対策ソフトウェアは、Windows Defender であるか、Windows セキュリティ センターと互換性があるスパイウェア対策ソフトウェアである必要があります。

Windows セキュリティ センターと互換性のないスパイウェア対策ソフトウェアは、クライアント コンピューターの WSHA では管理や検出ができません。クライアント コンピューターで実行されている唯一のスパイウェア対策ソフトウェアが Windows セキュリティ センターと互換性のないスパイウェア対策ソフトウェアである場合、WSHA は有効にされているスパイウェア対策ソフトウェアがないことを WSHV に報告し、クライアント コンピューターは修復ネットワークに限定されます。

[スパイウェア対策が最新の状態] を選択した場合、クライアント コンピューターの WSHA は、スパイウェア対策アプリケーションのスパイウェア対策定義が最新のバージョンで、最新の状態であることを確認します。

スパイウェア対策ソフトウェアが実行されていて、スパイウェア対策定義が最新のものであることを確認するには、[スパイウェア対策アプリケーションが有効] および [スパイウェア対策が最新の状態] の両方を選択する必要があります。

[スパイウェア対策アプリケーションが有効] を選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、スパイウェア対策ソフトウェアを実行していないクライアント コンピューターはネットワークへの接続を拒否されません。

[スパイウェア対策アプリケーションが有効] も [スパイウェア対策が最新の状態] も選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、スパイウェア対策ソフトウェアを実行していないクライアント コンピューター、または古いスパイウェア対策定義ファイルでスパイウェア対策ソフトウェアを実行しているクライアント コンピューターは、ネットワークへの接続を拒否されません。

[自動更新を有効にする] を選択した場合、Microsoft Update サービスがクライアント コンピューターで有効にされていないと、Microsoft Update サービスが有効になるまで、WSHA はクライアント コンピューターを修復ネットワークに限定します。

クライアント コンピューターで次の設定のいずれかが選択されると、Microsoft Update サービスは有効になります。

• [更新プログラムを自動的にインストールする (推奨)]
  
  
• [更新プログラムをダウンロードするが、インストールを行うかどうかは選択する]
  
  
• [更新プログラムを確認するが、ダウンロードとインストールを行うかどうかは選択する]
  
  

ネットワーク上のクライアント コンピューターが Windows Update エージェントを実行していない限り、WSHV ポリシーにセキュリティ更新プログラムによる保護を構成しないでください。また、Windows Update エージェントを実行しているクライアント コンピューターは、Windows Server Update Service (WSUS) を実行するサーバーに登録されている必要があります。

	重要
	これらの条件が満たさない場合に WSHV ポリシーにセキュリティ更新プログラムによる保護を構成しても、このポリシーはクライアント コンピューターの WSHA によって強制されず、WSHA はクライアント コンピューターを修復ネットワークに制限し、クライアントはネットワークに接続できません。

クライアント コンピューターが Windows Update エージェントを実行していて WSUS サーバーに登録されている場合は、WSHV ポリシーにセキュリティ更新プログラムによる保護を構成できます。

この場合、[不足しているセキュリティ更新の検疫を強制する] を選択した場合、最新のセキュリティ更新プログラムがインストールされていないと、最新のソフトウェア セキュリティ更新プログラムがインストールされるまで、WSHA はクライアント コンピューターを修復ネットワークに限定します。

セキュリティ更新プログラムによる保護には、Microsoft のセキュリティ応答センター (MSRC) のセキュリティの重要度に一致するいくつかの値を構成できます。これらの値は次のとおりです。

• [緊急のみ]。この値を選択すると、MSRC の重要度が緊急であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
  
  
• [重要およびそれ以上]。これは、既定の設定です。この値を選択すると、MSRC の重要度が重要か重大であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
  
  
• [警告およびそれ以上]。この値を選択すると、MSRC の重要度が標準、重要、重大であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
  
  
• [注意およびそれ以上]。この値を選択すると、MSRC の重要度が低い、標準、重要、重大であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
  
  
• [すべて]。この値を選択すると、MSRC の重要度に関係なく、すべてのセキュリティ更新プログラムがクライアント コンピューターにインストールされている必要があります。クライアント コンピューターに最新の更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
  
  

セキュリティ更新プログラムの重要度を構成したら、クライアントが新しいセキュリティ更新プログラムの有無を WSUS に確認してから次の確認を行うまでに空けておくことができる時間数を指定できます。この最小同期間隔の既定値は、22 時間です。

クライアント コンピューターが NAP 対応ネットワークへの接続を初めて試行したときに、セキュリティ更新プログラムによる保護設定が WSHV ポリシーに構成されていると、WSHA は、クライアント コンピューターがセキュリティ更新プログラムの有無を WSUS サーバーに最後に確認した時間を基に、クライアント コンピューターを修復ネットワークに限定するかどうかを判断します。WSHA はクライアントを修復ネットワークに限定するかどうかを、次のようにして判断します。

• クライアントが更新プログラムを最後に確認してから経過した時間が、WSHV に構成されている次の確認を行うまでに空けておくことができる時間数よりも長かった場合、クライアント コンピューターは修復ネットワークに制限されます。クライアントが更新プログラムの有無を確認し、最新の更新プログラムをダウンロードしてインストールすると、完全なネットワーク アクセスがクライアントに許可されます。
  
  
• クライアントが更新プログラムを最後に確認してから経過した時間が、WSHV に構成されている次の確認を行うまでに空けておくことができる時間数以下であった場合、クライアント コンピューターは修復ネットワークに制限されません。
  
  

	注
	クライアント コンピューターの WSHA は、クライアント コンピューターがネットワークへの接続を試行したときにのみ、この確認を行います。クライアント コンピューターが構成されている最小同期間隔よりも長い時間ネットワークに接続されている場合、WSHA はセキュリティ更新プログラムの確認や更新プログラムのダウンロードを実行せず、クライアント コンピューターを修復ネットワークに制限しません。