Windows Defender のクライアントのバージョン更新時に記録されるセキュリティ イベント 5038 について

こんにちは。System Center サポート チームです。

 

本日は、弊社マルウェア対策製品である Windows Defender のクライアントのバージョン (プラットフォーム) 更新時に記録されるセキュリティ イベントについてお知らせいたします。

 

現象


Windows Defender のクライアントのバージョン更新時に、セキュリティ イベント ログに失敗の監査が記録されます。

 

ログの名前: Securityソース: Microsoft-Windows-Security-Auditingイベント ID: 5038キーワード: 失敗の監査説明:コードの整合性によって、ファイルのイメージ ハッシュが有効でないと判断されました。このファイルは、無許可の変更によって破損しているか、無効なハッシュがディスク デバイス エラーの可能性を示している場合があります。ファイル名: \Device\HarddiskVolume1\ProgramData\Microsoft\Windows Defender\platform\<Windows Defender のバージョン>\Drivers\WdBoot.sys

 

 

原因


クライアントのバージョン更新時のバージョン確認処理の問題によりこの問題が発生します。

 

 

解決策


本イベントはWindows Defenderのクライアントのバージョン更新時の更新のタイミングのみで発生し、またイベントが記録されることでの影響はございません。

 

イベント ログ5038は、バージョン チェック処理に問題があり WdBoot.sysを最初にイメージ ファイルとしてロードした際に記録されます。初回以降はロード処理は正常に完了し、バージョン情報も正常に取得出来ます。

その為、Windows Defender およびアップデート処理への影響はございません。