Windows 11/10でグループポリシーを使用してネットワーク保護を有効にする方法

📅
🕑 1 分で読む

怪しいウェブサイトが読み込まれる前にブロックするようにWindowsシステムを設定するのは賢明な方法です。特に最近はフィッシングやマルウェアによる接続が巧妙化しているため、なおさらです。Microsoft Defenderネットワーク保護を有効にすると、悪意のあるドメインが外部に接続しにくくなります。複数のシステムを管理している場合は、グループポリシーを使用して設定することで、全員が保護され、途中で誰かが無効にしてしまうことを防ぐことができます。ただし、奇妙な点として、設定後に実際に動作しているかどうかが分かりにくい場合があります。そのため、設定後に確認する必要があります。

Windows 11または10マシンでこの設定を切り替えるための詳細な手順を以下に示します。必ずしも成功するとは限りません。設定が反映されるまでに1、2回の再起動が必要になる場合もありますが、より安心感を得たいのであれば、間違いなく試してみる価値があります。

グループポリシーを使用してネットワーク保護を有効にする方法(Windows 11/10)

ネットワーク保護は、 Microsoft Defender Exploit Guardの一部です。基本的には、送信トラフィックをリアルタイムでスキャンし、悪意のあるサイトやコマンドセンターへの接続を検出します。Microsoft のクラウド脅威インテリジェンスを活用するため、ユーザーに負担をかけることなく、ある程度最新の状態を維持します。グループ ポリシーで構成するとシステム全体に適用されるため、簡単に無効化することはできません。これは、企業環境やセキュリティを重視する家庭環境にとって非常に便利です。

始める前に、Microsoft Defenderウイルス対策が有効になっており、リアルタイム保護がオンになっていることを確認してください。また、クラウド配信型の保護が有効になっているのが理想的です。そうでないと、最新の脅威アップデートを受け取ることができません。

基本的な概要は以下のとおりです。

  • ローカルグループポリシーエディターを開きます
  • 正しい経路へ移動してください
  • ネットワーク保護ポリシーを有効にする
  • ブロックモードに設定してください
  • グループポリシーを適用してから、再起動または更新してください。

それでは、手順を一つずつ見ていきましょう。途中、いくつか役立つヒントもご紹介します。

ローカルグループポリシーエディターを開きます

難しそうに聞こえるかもしれませんが、Windows キーと Rキーを同時に押して、コマンドを入力しgpedit.mscて Enter キーを押すだけです。これでポリシー エディターが開きます。開かない場合は、Windows 10/11 Pro または Enterprise を使用していることを確認してください。Home バージョンには通常、gpedit がデフォルトで含まれていないためです。その場合は、PowerShell で回避策を講じるか、レジストリを編集する必要があるかもしれません(レジストリ編集はスマートな方法ではありませんが、機能します)。

Microsoft Defender Exploit Guard の設定に移動します

開いたら、「コンピューターの構成」を展開し、「管理用テンプレート」、そして「Windows コンポーネント」の順に進みましょう。下にスクロールして「Microsoft Defender ウイルス対策」を見つけ、展開します。その中にある「Microsoft Defender Exploit Guard」を探し、さらに「ネットワーク保護」へと進みます。少し複雑な手順ですが、その価値は十分にあります。ここがまさに魔法が起こる場所です。

危険なウェブサイトへのアクセスを防止するためのポリシーを開く

右側のペインで、 「ユーザーとアプリによる危険な Web サイトへのアクセスを防止する」という設定を探します。ダブルクリックしてオプションを開きます。「未設定」になっている場合は、「有効」をクリックします。有効にすると、新しいオプションが表示されます。これらのオプションを使用すると、保護の厳格さを調整できます。

モードをブロックモードとして設定します

有効化すると、 「ネットワーク保護モード」のドロップダウンメニューが表示されます。 「無効」「監査モード」「ブロックモード」のいずれかを選択できます。本格的な保護には「ブロックモード」を選択してください。悪意のある送信接続を積極的にブロックします。監査モードでは、潜在的な脅威をログに記録しますが、ブロックは行いません。これはテストに役立ちます。通常、ほとんどのユーザーは完全なセキュリティ設定を望むため、「ブロック」を選択してください。

ポリシーを保存して適用する

「適用」をクリックし、次に「OK」をクリックします。これでポリシーが適用されましたが、すぐに有効にならない場合があります。Windows はポリシーを定期的に更新する傾向がありますが、強制的に有効にしたい場合は、管理者としてコマンドプロンプトを開き、次のように入力します。

gpupdate /force

Enterキーを押すと、ポリシーが更新されたことを示す確認メッセージが表示されます。場合によっては再起動を求められることがありますので、指示に従ってください。

保護機能が有効になっていることを確認してください。

動作確認のため、Windows セキュリティを起動します。アプリとブラウザーの制御画面に移動し、ネットワーク保護またはエクスプロイト保護の設定に関する項目が表示されるかどうかを確認します。より技術的な確認をするには、PowerShell を開いて以下のコマンドを実行します。

Get-MpPreference | Select EnableNetworkProtection

「true」または「active」と表示されていれば、設定は正常に完了しています。ほとんどのユーザーにとって、これで悪意のあるウェブサイトからのアクセスが問題を引き起こす前にブロックされるため、十分な効果が得られます。

よくある質問

ネットワーク保護とは一体何でしょうか?

この機能こそが、怪しいドメインへの外部接続を監視し、マルウェアが外部サーバーに接続したり、データが不正に流出したりするのを防ぐのに役立ちます。今日の脅威環境において、非常に重要な機能です。

これはどのブラウザでも実行できますか?

はい。システムレベルの機能なので、どのブラウザやアプリが接続を試みているかに関わらず、ネットワークトラフィックを保護します。

グループポリシーが唯一の方法なのでしょうか?

必ずしもそうとは限りません。PowerShellでも対応できますが、特に複数のデバイスを管理する場合は、グループポリシーの方がより簡潔な方法です。さらに、ユーザーが誤って電源を切ってしまうのを防ぐこともできます。

監査モードとブロックモードの違いは何ですか?

監査モードでは潜在的な脅威が記録されますが、ブロックはされません。テストには適しています。ブロックモードでは脅威が積極的にブロックされます。より安全ですが、誤検知がないことを事前にテストしてください。

パフォーマンスへの影響は?

最小限の処理量です。マイクロソフトのクラウド脅威データを使用しているため、バックグラウンドでの動作は非常に効率的です。

これはWindows Homeでも動作しますか?

公式には、いいえ。PowerShell経由で有効化すれば一部の機能は動作するかもしれませんが、完全な管理機能は通常制限されます。

これで、防御体制を強化しようとしている人の時間を少しでも短縮できれば幸いです。完璧ではありませんが、完全に無防備な状態のままにしておくよりは間違いなく良いでしょう。

まとめ

  • グループポリシーエディターにアクセスするためにgpedit.mscを開きました。
  • コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Microsoft Defender ウイルス対策 > Microsoft Defender Exploit Guard > ネットワーク保護に移動しました
  • 有効にする:ユーザーとアプリが危険なウェブサイトにアクセスできないようにする
  • ネットワーク保護モードをブロックに設定する
  • gpupdate /forceポリシーを更新するには、管理者権限でコマンドプロンプトを実行してください。
  • Windowsセキュリティの設定を確認するか、PowerShellで確認する

まとめ

この設定はそれほど複雑ではありませんが、時々少し手間がかかります。一部のマシンでは、設定を有効にするために再起動が必要な場合や、Windows Homeを使用している場合にgpeditが利用できない場合があります。それでも、悪意のある外部接続の問題を軽減するための確実な対策です。この方法が、大きな手間をかけずにシステムセキュリティを強化するのに役立つことを願っています。