Windows Defender のクライアントのバージョン更新時に記録されるセキュリティ イベント 5038 について

こんにちは。System Center サポート チームです。   本日は、弊社マルウェア対策製品である Windows Defender のクライアントのバージョン (プラットフォーム) 更新時に記録されるセキュリティ イベントについてお知らせいたします。   現象 Windows Defender のクライアントのバージョン更新時に、セキュリティ イベント ログに失敗の監査が記録されます。   ログの名前: Security ソース: Microsoft-Windows-Security-Auditing イベント ID: 5038 キーワード: 失敗の監査 説明: コードの整合性によって、ファイルのイメージ ハッシュが有効でないと判断されました。このファイルは、無許可の変更によって破損しているか、無効なハッシュがディスク デバイス エラーの可能性を示している場合があります。 ファイル名: \Device\HarddiskVolume1\ProgramData\Microsoft\Windows Defender\platform\<Windows Defender のバージョン>\Drivers\WdBoot.sys     原因 クライアントのバージョン更新時のバージョン確認処理の問題によりこの問題が発生します。     解決策 本イベントはWindows Defenderのクライアントのバージョン更新時の更新のタイミングのみで発生し、またイベントが記録されることでの影響はございません。   イベント ログ5038は、バージョン チェック処理に問題があり WdBoot.sysを最初にイメージ ファイルとしてロードした際に記録されます。初回以降はロード処理は正常に完了し、バージョン情報も正常に取得出来ます。 その為、Windows…


SCCM CB 自動クライアント アップグレード手順

みなさま、こんにちは。 日本マイクロソフト System Center Configuration Manager サポートの金です。   本日は、System Center Configuration Manager Current Branch (以下、SCCM CB) クライアントをサイトのバージョンアップ後、自動的にアップグレードする手順についてご案内させていただきます。 SCCM CB クライアントのアップグレード方法は、以下のように、複数がございます。 – 自動クライアント アップグレード – クライアント プッシュ インストール – グループ ポリシーによるインストール – ログオン スクリプトによるインストール – 手動インストール – アップグレード インストール   お客様環境の運用方式に従い、お選びいただけますが、その中で、これからご案内する自動クライアント アップグレードは、一番作業の手間が少ない方法となりますので、クライアントのアップグレードの際に、本機能のご利用をご検討いただけますと幸いです。 自動クライアント アップグレードの手順 1. [Configuration Manager コンソール] を開き、以下の画面に移動します。 [管理] – [概要] – [サイトの構成] – [サイト]…


ハイブリッド モバイル デバイス管理から Azure 上の Intune への移行をお願いします

こんにちは。System Center サポート チームです。 System Center Configuration Manager と Microsoft Intune ハイブリッド構成機能の廃止スケジュールについてお伝えします。 2018 年 8 月 14 日付けで、以下の公開情報がリリースされております。   ・Hybrid MDM の公式ドキュメント (英語版) https://docs.microsoft.com/en-us/sccm/mdm/understand/hybrid-mobile-device-management   ・US Intune サポート チームのブログ https://blogs.technet.microsoft.com/intunesupport/2018/08/14/move-from-hybrid-mobile-device-management-to-intune-on-azure/   本ブログ記事では、公式ドキュメントの内容の抄訳をご案内します。   【重要】 2018 年 8 月 14 日時点で、ハイブリッド モバイル デバイス管理機能は廃止対象機能となりました。 1 年以上前に Azure 上の Intune がリリースされて以降、Intune には数百もの顧客の要望に応える機能や、業界最先端のサービスが追加されました。 Azure 上の Intune はより統合された合理的な管理エクスペリエンスを提供することで、企業のモバイル ニーズに応えます。  …


System Center Configuration Manager 1806 製品フィードバック機能スタートのお知らせ

こんにちは。System Center サポートチームです。 本ポストでは、System Center Configuration Manager Current Branch 1806 (以下、SCCM) より新たに製品に対するフィードバック機能が追加されましたのでご紹介いたします。   SCCM をご利用のユーザーの中には、「この機能をもっとこういう風に変更して欲しい」とか、「こんな新しい機能があればもっと使いやすくなるのに」など、日々の運用の中で感じられている製品に対する機能要望や改善要望などフィードバックが沢山あると思います。一方、弊社 SCCM 開発チームもユーザーの声をもっと製品に反映したいという想いを持っており、この度 SCCM 管理コンソールからフィードバックを直接送信いただける機能を追加しました。   フィードバック機能が追加された場所は SCCM 管理コンソールの右上のアイコンとなります。   この場所から、「気に入った機能の報告」「問題点、改善点の報告」「提案の送信」 の3種類が選択できます。   「気に入った機能の報告」は、気に入った機能のフィードバックです。 「問題点、改善点の報告」は、気に入らなかった機能や不具合だと思われる問題に関するフィードバックです。 「気に入った機能の報告」、「問題点、改善点の報告」は、以下のようなフォーマットでフィードバックが可能です。 また、「提案の送信」 はあなたの考えを共有するために UserVoice のウェブサイトにジャンプします。   https://configurationmanager.uservoice.com/forums/300492-ideas   弊社では、本フィードバック機能の追加に先立ち、SCCM を利用するユーザーの機能追加の要望に関して、フィードバックできる Web サイト UserVoice をご用意しておりました。こちらのサイトを通じて、投票数が多かった機能については、既にいくつもの新機能が製品に反映をさせていただいております。引き続きこちらのサイトもご利用いただけます。但し、本サイトは英語での登録となりますので、日本語でのフィードバックの際は SCCM 管理コンソールのフィードバック機能を是非ご活用ください。 – 免責事項 このドキュメントは現状有姿で提供され、 このドキュメントに記載されている情報や見解 (URL 等のインターネット Web サイトに関する情報を含む) は、将来予告なしに変更されることがあります。 お客様は、その使用に関するリスクを負うものとします。


設定画面からDefender を起動する際に、アクセス拒否のポップアップが表示される事象について

みなさま、こんにちは。System Center Support Team です。 Windows Server 2016 にて、設定画面からDefender を起動する際に、アクセス拒否のポップアップが表示される事象についてご紹介します。 例えば、ドメインの Administrator といった管理者権限を有したアカウントでも、設定画面から「Windows Defender を開く」を選択すると、以下のような「アクセス権がない可能性がある」というエラーのポップアップが表示されます。     一方で、Windows Defender を直接デスクトップアプリとして起動すると、同じ msascui.exe を実行しているにもかかわらず正常に起動できます。     この事象に関しましては、対象の msascui.exe へのアクセス権の問題ではないこと及び設定画面 (SystemSettings.exe) から、”Windows Defender を開く” を選択した際に、MSASCui.exe をプロセスとして作成する際に呼び出される NtCreateUserProcess という関数内にて、UAC の影響からアクセス拒否となっていることを確認しております。 したがいまして、NtCreateUserProcess という関数を利用しない場合、つまり、MSASCui.exe を手動にて実行する場合 (デスクトップアプリとして起動するシナリオ) については、エラーなく起動することが可能です。 メッセージについては改善の余地はあるものの、上記の「MSASCui.exe の手動実行(デスクトップアプリとして起動)」を回避策としていただけること、また 、UAC の実装変更に対するインパクトの大きさから、現時点では修正の予定はございません。 ご不便をおかけしますが、当事象に関しては、デスクトップアプリとして起動いただくか、または、UAC の無効にて本事象を回避いただければ幸いでございます。


SCCM から更新プログラムを配信する際の再起動動作について

こんにちは。System Center サポートチームです。 本ポストでは、SCCM から更新プログラム配信時の再起動動作についてご紹介いたします。   SCCM から更新プログラムを展開しているが、SCCM クライアントによって意図せず端末が再起動された、または Windows 10 で 「高速スタートアップ」 を利用していて、端末を停止しても休止状態になり再起動されないため、多数の端末が再起動保留状態のまま更新プログラムの適用が完了しないというお問い合わせをよくいただきます。SCCM で再起動を抑制させる/再起動させる設定のお役立て情報おまとめいたしました。 ご利用環境で上記のようなお困りごとに遭遇されている管理者の方は、是非ご活用いただければと思います。   <再起動を抑制する場合> 展開設定時に [デバイスの再起動] – [サーバー(サーバーOSの場合) or ワークステーション(クライアントOSの場合)] にチェックを入れることで、再起動の抑制をすることが可能です。 上記設定値を入れることで以下のポップアップとなります。   <再起動をさせる場合> 展開設定時に [デバイスの再起動] – [サーバー(サーバーOSの場合) or ワークステーション(クライアントOSの場合)] のチェックを無効にすることで、強制的に再起動させることが可能です。   ・機能更新プログラムのインストール 工程 ソフトウェアセンターにインストール状況が表示。   ・機能更新プログラムのインストール後 再起動通知が発生 再起動までの時間がカウントアップされます。   再起動までの猶予時間が経過すると強制的に再起動します。   ■補足 <再起動までの猶予時間を制御> 再起動されるまでの時間は [管理] – [概要] – [クライアント設定] – [既定のクライアント設定 or…


Windows Defender オフラインご利用時の注意について

こんにちは、日本マイクロソフト セキュリティプロダクト サポート担当の若狭です。 本日は Windows Defender オフライン を USB ブートでご利用いただく際の注意事項についてご案内いたします。 Windows Defender オフラインは、通常のマルウェア検出に加え Windows Defender の実行で対処できない、ルートキット等のマルウェアに対する脅威の検出と対処を行うことができる機能です。 この機能は、Windows 10 の場合には Windows Defender のユーザーインターフェースより、その他の OS の場合には光学ディスクや USB メモリー等にイメージを書き込み、そこからブートしてご利用いただくことができます。 ただし、既知の不具合がございますため、誠にご不便をおかけいたしますが、ご利用に際しては次の注意事項をご確認の上ご利用くださいますようお願いいたします。   ========================== – 注意事項 ========================== USB ブートでご利用いただく際、正常にスキャンを開始することができないことがある、という既知の不具合がございます。 この事象が発生すると、Windows Defender オフラインがブートされている USB ドライブ上のマルウェア定義ファイルを読み込むことができず、以下のような画面が表示されます。 これを回避するためには、事前にスキャン対象のオペレーティングシステムの C ドライブに対して、USB メモリから最新の定義ファイルをコピーします。 定義ファイルは、Windows Defender オフラインが展開された USB メモリのルートフォルダにファイル名 “mpam-*.exe” として保存されています。 この実行ファイルを対象マシンのローカルディスクのルートディレクトリにコピーすることで、Windows Defender オフラインは正常に定義ファイルを見つけることができるようになります。   この対処策を実施いただく場合、USB…


System Center 2012 R2 更新プログラム最新版がリリースされました!!

こんにちは、日本マイクロソフト System Center Support Team の益戸です。 公開が遅くなってしまいましたが、System Center の更新プログラムが先週公開されました。 既に、System Center 2012 R2 については、メインストリームを終了しておりますが、Transport Layer Security (TLS) protocol version 1.2 への対応としてリリースされております。   システム センター 2012 R2 の TLS 1.2 プロトコル サポートの展開ガイド https://support.microsoft.com/ja-jp/kb/4055768   修正プログラムによっては、適用時にデータベースに対して自動的に更新が発生いたします。 その為、修正プログラムの適用に失敗した場合や、修正プログラムに致命的なエラーが発生した場合に備え、可能な限り、適用前にシステムおよび、データベースのバックアップの取得を実施ください。 System Center 製品については、明確にアンインストールを指示する場合を除き、適用した修正プログラムのアンインストール実施後に動作に問題が発生する場合がございます。 本修正プログラムは、Microsoft Update 経由で更新プログラムをダウンロードしてインストールすることができます。また、オフラインの環境では、Microsoft Update Catalog を通じてダウンロードしたパッケージを手動で適用することもできます。詳細な適用手順や、修正内容については、それぞれのリンクをご参照ください。   Description of Update Rollup 14 for Microsoft System Center 2012…

0

System Center 2016 更新プログラム最新版がリリースされました!!

こんにちは、日本マイクロソフト System Center Support Team の益戸です。 公開が遅くなってしまいましたが、System Center の更新プログラムが先週公開されました。   Description of Update Rollup 4 for Microsoft System Center 2016 https://support.microsoft.com/kb/4043305   修正プログラムによっては、適用時にデータベースに対して自動的に更新が発生いたします。 その為、修正プログラムの適用に失敗した場合や、修正プログラムに致命的なエラーが発生した場合に備え、可能な限り、適用前にシステムおよび、データベースのバックアップの取得を実施ください。 System Center 製品については、明確にアンインストールを指示する場合を除き、適用した修正プログラムのアンインストール実施後に動作に問題が発生する場合がございます。   本修正プログラムは、Microsoft Update 経由で更新プログラムをダウンロードしてインストールすることができます。また、オフラインの環境では、Microsoft Update Catalog を通じてダウンロードしたパッケージを手動で適用することもできます。詳細な適用手順や、修正内容については、それぞれのリンクをご参照ください。 TLS 1.2 に対応する修正となりますため、適用をご検討いただくお客様も多いかと思います。適用の際には、事前のバックアップを必ずご取得ください。   ・Orchestrator (KB4047355) https://support.microsoft.com/kb/4047355   ・Service Manager (KB4024038) https://support.microsoft.com/kb/4024038   ・Operations Manager (KB4024941) http://support.microsoft.com/kb/4024941 * 修正プログラム適用後に、レジストリの変更や、SQL の実行、管理パックのインポート等が必要です。 また、アップデートの順番についても指定がございますので、ご注意ください。…

0

Windows Defender Antivirus の自動除外設定について

こんにちは。System Center Support Team の益戸です。 Windows Defender Antivirus についてご紹介いたします。 Windows Defender では、Windows Server 2016 以降より、自動的に有効化した役割に対して、Antivirus の除外設定を自動的に実施するようになりました。これは、Antivirus の機能がたびたびサーバーの機能と競合するため、予め除外することで競合による動作不良を防ぐために追加されました。 具体的に追加された役割に対する除外機能については、以下の公開情報にて更新されております。   Windows Server での Windows Defender AV の除外の構成 https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/configure-server-exclusions-windows-defender-antivirus   上記公開情報には自動除外の対象として以下のパスが記載されておりますが、1) と 2) は Windows Server 2003 以前のクラスターのパス情報であり、Windows Server 2016 クラスターの除外推奨フォルダーはクラスターの役割を追加しても、自動除外されないため手動で除外リストに追加する必要があります。   1) %clusterserviceaccount%\Local Settings\Temp 2) %SystemDrive%\mscs 3) %SystemDrive%\ClusterStorage   また、3) のパスは CSV を使用している環境での除外対象のフォルダーですが、上記のパスが自動で除外される条件は、[ファイル サービスおよび記憶域サービス] 役割の追加であるため、クラスターの機能だけを追加した場合には、自動除外されないため手動で除外リストに追加する必要があります。 <<…

0