Windows セキュリティ正常性検証ツール (WSHV) では、展開の要件に基づいた設定を構成できます。
WSHV の設定
次の WSHV の設定をポリシーに構成できます。
ファイアウォール
[ネットワーク接続に対してファイアウォールが有効] を使用するように構成した場合、クライアント コンピューターで実行しているファイアウォール ソフトウェアは Windows ファイアウォール ソフトウェアか、Windows セキュリティ センターと互換性のあるファイアウォール ソフトウェアである必要があります。
Windows セキュリティ センターと互換性のないファイアウォール ソフトウェアは、クライアント コンピューターの Windows セキュリティ正常性エージェント (WSHA) では管理や検出ができません。
[ネットワーク接続に対してファイアウォールが有効] を選択した場合、クライアント コンピューターの WSHA は、ファイアウォール ソフトウェアがクライアント コンピューター上で実行されているかどうかを確認し、次の動作を行います。
-
クライアント コンピューターでファイアウォール ソフトウェアが実行されていない場合は、ファイアウォール ソフトウェアがインストールされて実行されるまで、クライアント コンピューターは修復ネットワークに限定されます。
-
クライアント コンピューターで実行されている唯一のファイアウォール ソフトウェアが Windows セキュリティ センターと互換性のないファイアウォール ソフトウェアである場合、WSHA は有効なファイアウォールがないことをネットワーク アクセス保護 (NAP) サービスに報告し、クライアント コンピューターは修復ネットワークに限定されます。
重要 | |
[ネットワーク接続に対してファイアウォールが有効] を選択し、クライアント コンピューターで Windows ファイアウォールまたは Windows セキュリティ センターに対応しているファイアウォール ソフトウェアを実行していない場合、クライアント コンピューターはネットワークに接続できません。 |
[ネットワーク接続に対してファイアウォールが有効] を選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、ファイアウォール ソフトウェアを実行していないクライアント コンピューターはネットワークへの接続を拒否されません。
自動修復
[ネットワーク接続に対してファイアウォールが有効] を選択し、NAP 自動修復を有効にして、クライアント コンピューターの WSHA がファイアウォールが有効でないことを通知した場合、WSHV はクライアント コンピューターの WSHA に対して、Windows ファイアウォールを有効にするように指示します。
重要 | |
自動修復が有効であり、クライアント コンピューターが Windows セキュリティ センターと互換性のないファイアウォール ソフトウェアを実行していて、これが WSHA によって検出されない場合、クライアント コンピューターの WSHA がクライアント コンピューターの Windows ファイアウォールを有効にすることにより、このクライアント コンピューターでは 2 種類のファイアウォールが同時に実行されることになります。準拠していないファイアウォールに構成され、Windows ファイアウォールには構成されていない例外があると、クライアント コンピューターの機能が低下することがあります。このため、クライアント コンピューターで 2 種類のファイアウォールを同時に実行することは推奨されません。 |
ウイルス対策
[ウイルス対策ソフトウェアが有効] を選択した場合、クライアント コンピューターの WSHA は、ウイルス対策ソフトウェアがクライアント コンピューター上で実行されているかどうかを確認します。クライアント コンピューターでウイルス対策ソフトウェアが実行されていない場合は、ウイルス対策ソフトウェアがインストールされて実行されるまで、クライアント コンピューターは修復ネットワークに限定されます。
クライアント コンピューターで実行しているウイルス対策ソフトウェアは、Windows セキュリティ センターと互換性がある必要があります。Windows セキュリティ センターと互換性のないウイルス対策ソフトウェアは、クライアント コンピューターの WSHA では管理や検出ができません。クライアント コンピューターで実行されている唯一のウイルス対策ソフトウェアが Windows セキュリティ センターと互換性のないウイルス対策ソフトウェアである場合、WSHA は有効にされているウイルス対策ソフトウェアがないことを WSHV に報告し、クライアント コンピューターは修復ネットワークに限定されます。
[ウイルス対策が最新の状態] を選択した場合、クライアント コンピューターの WSHA は、ウイルス対策アプリケーションのウイルス対策定義が最新のバージョンで、最新の状態であることを確認します。
ウイルス対策ソフトウェアが実行されていて、ウイルス対策定義が最新のものであることを確認するには、[ウイルス対策ソフトウェアが有効] および [ウイルス対策が最新の状態] の両方を選択する必要があります。
[ウイルス対策ソフトウェアが有効] を選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、ウイルス対策ソフトウェアを実行していないクライアント コンピューターはネットワークへの接続を拒否されません。
[ウイルス対策ソフトウェアが有効] も [ウイルス対策が最新の状態] も選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、ウイルス対策ソフトウェアを実行していないクライアント コンピューター、または古いウイルス対策定義ファイルでウイルス対策ソフトウェアを実行しているクライアント コンピューターは、ネットワークへの接続を拒否されません。
スパイウェア対策
[スパイウェア対策アプリケーションが有効] を選択した場合、クライアント コンピューターの WSHA は、スパイウェア対策ソフトウェアがクライアント コンピューター上で実行されているかどうかを確認します。クライアント コンピューターでスパイウェア対策ソフトウェアが実行されていない場合は、スパイウェア対策ソフトウェアがインストールされて実行されるまで、クライアント コンピューターは修復ネットワークに限定されます。
クライアント コンピューターで実行しているスパイウェア対策ソフトウェアは、Windows Defender であるか、Windows セキュリティ センターと互換性があるスパイウェア対策ソフトウェアである必要があります。
Windows セキュリティ センターと互換性のないスパイウェア対策ソフトウェアは、クライアント コンピューターの WSHA では管理や検出ができません。クライアント コンピューターで実行されている唯一のスパイウェア対策ソフトウェアが Windows セキュリティ センターと互換性のないスパイウェア対策ソフトウェアである場合、WSHA は有効にされているスパイウェア対策ソフトウェアがないことを WSHV に報告し、クライアント コンピューターは修復ネットワークに限定されます。
[スパイウェア対策が最新の状態] を選択した場合、クライアント コンピューターの WSHA は、スパイウェア対策アプリケーションのスパイウェア対策定義が最新のバージョンで、最新の状態であることを確認します。
スパイウェア対策ソフトウェアが実行されていて、スパイウェア対策定義が最新のものであることを確認するには、[スパイウェア対策アプリケーションが有効] および [スパイウェア対策が最新の状態] の両方を選択する必要があります。
[スパイウェア対策アプリケーションが有効] を選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、スパイウェア対策ソフトウェアを実行していないクライアント コンピューターはネットワークへの接続を拒否されません。
[スパイウェア対策アプリケーションが有効] も [スパイウェア対策が最新の状態] も選択しなかった場合、クライアント コンピューターの WSHA はチェックを行わず、スパイウェア対策ソフトウェアを実行していないクライアント コンピューター、または古いスパイウェア対策定義ファイルでスパイウェア対策ソフトウェアを実行しているクライアント コンピューターは、ネットワークへの接続を拒否されません。
自動修復
[スパイウェア対策アプリケーションが有効] を選択し、NAP 自動修復を有効にして、クライアント コンピューターの WSHA がスパイウェア対策が有効でないことを通知した場合、WSHV はクライアント コンピューターの WSHA に対し、Windows Defender を有効にするように指示します。
重要 | |
自動修復が有効であり、クライアント コンピューターが Windows セキュリティ センターと互換性のないスパイウェア対策ソフトウェアを実行していて、これが WSHA によって検出されない場合、クライアント コンピューターの WSHA がクライアント コンピューターの Windows Defender を有効にすることにより、このクライアント コンピューターでは 2 種類のスパイウェア対策アプリケーションが同時に実行されることになります。 |
注 | |
NAP クライアント管理の Microsoft 管理コンソール (MMC) スナップインを使用して、自動修復を構成できます。 |
自動更新
[自動更新を有効にする] を選択した場合、Microsoft Update サービスがクライアント コンピューターで有効にされていないと、Microsoft Update サービスが有効になるまで、WSHA はクライアント コンピューターを修復ネットワークに限定します。
クライアント コンピューターで次の設定のいずれかが選択されると、Microsoft Update サービスは有効になります。
-
[更新プログラムを自動的にインストールする (推奨)]
-
[更新プログラムをダウンロードするが、インストールを行うかどうかは選択する]
-
[更新プログラムを確認するが、ダウンロードとインストールを行うかどうかは選択する]
自動修復
[自動更新を有効にする] を選択した場合、NAP 自動修復が有効になります。クライアント コンピューターの WSHA が Microsoft Update サービスが有効にされていないことを報告すると、WSHV はクライアント コンピューターの WSHA に Microsoft Update サービスを有効にし、自動的に更新プログラムをダウンロードしてインストールするよう Microsoft Update サービスを構成するように指示します。
注 | |
NAP クライアント管理の MMC スナップインを使用して、自動修復を構成できます。 |
セキュリティ更新プログラムによる保護
ネットワーク上のクライアント コンピューターが Windows Update エージェントを実行していない限り、WSHV ポリシーにセキュリティ更新プログラムによる保護を構成しないでください。また、Windows Update エージェントを実行しているクライアント コンピューターは、Windows Server Update Service (WSUS) を実行するサーバーに登録されている必要があります。
重要 | |
これらの条件が満たさない場合に WSHV ポリシーにセキュリティ更新プログラムによる保護を構成しても、このポリシーはクライアント コンピューターの WSHA によって強制されず、WSHA はクライアント コンピューターを修復ネットワークに制限し、クライアントはネットワークに接続できません。 |
クライアント コンピューターが Windows Update エージェントを実行していて WSUS サーバーに登録されている場合は、WSHV ポリシーにセキュリティ更新プログラムによる保護を構成できます。
この場合、[不足しているセキュリティ更新の検疫を強制する] を選択した場合、最新のセキュリティ更新プログラムがインストールされていないと、最新のソフトウェア セキュリティ更新プログラムがインストールされるまで、WSHA はクライアント コンピューターを修復ネットワークに限定します。
セキュリティ更新プログラムによる保護には、Microsoft のセキュリティ応答センター (MSRC) のセキュリティの重要度に一致するいくつかの値を構成できます。これらの値は次のとおりです。
-
[緊急のみ]。この値を選択すると、MSRC の重要度が緊急であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
-
[重要およびそれ以上]。これは、既定の設定です。この値を選択すると、MSRC の重要度が重要か重大であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
-
[警告およびそれ以上]。この値を選択すると、MSRC の重要度が標準、重要、重大であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
-
[注意およびそれ以上]。この値を選択すると、MSRC の重要度が低い、標準、重要、重大であるセキュリティ更新プログラムがすべてクライアント コンピューターにインストールされている必要があります。クライアント コンピューターにこれらの更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
-
[すべて]。この値を選択すると、MSRC の重要度に関係なく、すべてのセキュリティ更新プログラムがクライアント コンピューターにインストールされている必要があります。クライアント コンピューターに最新の更新プログラムがインストールされていない場合は、更新プログラムがダウンロードされてインストールされるまで、クライアント コンピューターは修復ネットワークに限定されます。
セキュリティ更新プログラムの重要度を構成したら、クライアントが新しいセキュリティ更新プログラムの有無を WSUS に確認してから次の確認を行うまでに空けておくことができる時間数を指定できます。この最小同期間隔の既定値は、22 時間です。
クライアント コンピューターが NAP 対応ネットワークへの接続を初めて試行したときに、セキュリティ更新プログラムによる保護設定が WSHV ポリシーに構成されていると、WSHA は、クライアント コンピューターがセキュリティ更新プログラムの有無を WSUS サーバーに最後に確認した時間を基に、クライアント コンピューターを修復ネットワークに限定するかどうかを判断します。WSHA はクライアントを修復ネットワークに限定するかどうかを、次のようにして判断します。
-
クライアントが更新プログラムを最後に確認してから経過した時間が、WSHV に構成されている次の確認を行うまでに空けておくことができる時間数よりも長かった場合、クライアント コンピューターは修復ネットワークに制限されます。クライアントが更新プログラムの有無を確認し、最新の更新プログラムをダウンロードしてインストールすると、完全なネットワーク アクセスがクライアントに許可されます。
-
クライアントが更新プログラムを最後に確認してから経過した時間が、WSHV に構成されている次の確認を行うまでに空けておくことができる時間数以下であった場合、クライアント コンピューターは修復ネットワークに制限されません。
注 | |
クライアント コンピューターの WSHA は、クライアント コンピューターがネットワークへの接続を試行したときにのみ、この確認を行います。クライアント コンピューターが構成されている最小同期間隔よりも長い時間ネットワークに接続されている場合、WSHA はセキュリティ更新プログラムの確認や更新プログラムのダウンロードを実行せず、クライアント コンピューターを修復ネットワークに制限しません。 |
自動修復
WSHV ポリシーにセキュリティ更新プログラムによる保護の設定が構成および有効にされた状態で、自動修復が機能するようにするには、次の条件が満たされている必要があります。
-
ネットワーク上のクライアント コンピューターが Windows Update エージェントを実行している。
-
Windows Update エージェントを実行しているクライアント コンピューターが、WSUS サーバーに登録されている。
-
自動修復が構成され、有効にされている。
これらの条件が満たされていない場合、クライアント コンピューターの WSHA は、最新のセキュリティ更新プログラムがないか WSUS サーバーに確認します。WSHA が構成されている MSRC の重要度に一致する最新のセキュリティ更新プログラムが、クライアント コンピューターにインストールされていないことを検出した場合、WSHA は最新のセキュリティ更新プログラムをダウンロードしてインストールします。