はじめに ネクストモードの板です。
過去の記事で、悪意のあるrarファイルを作成し、意図しないコードを実行させたり、マルウェアをダウンロードして実行を行ったりしていましたが、そういえばWindowsDefenderが仕事をしていないな、と気づきました。
一般的に1台のWindowsPCに複数のアンチウイルスやアンチマルウェアを稼働させると競合が発生する(例えばファイルにアクセスした際にリアルタイムスキャンが複数発生しお互いがお互いの挙動をロックする)ためよくないといわれていますが、CrowdStrikeをインストールする際にDefenderを無効かしたこともないため、どのようになっているのか調べてみました。
3つのDefenderモード
Microsoft Defenderには3つのモードがあるようです。
- Normal - 通常の保護が有効化されているモード
- Passive - アンチウイルスソフトウェアのインストール時にWindows Defender Antivirusが稼働しなくなり、Windows Defender Firewallのみが動作する
- Disabled - すべての機能が無効化される
PowerShellで以下のコマンドを実行させることでモードの判定が可能です。
Get-MpComputerStatus | Select AMRunningMode
このあたりの挙動は以下のドキュメントで定義されていました。
https://learn.microsoft.com/ja-jp/defender-endpoint/defender-compatibility?utm_source=chatgpt.com
CrowdStrikeがDefenderを検知しているわけではなく、自発的にPassive Mode に切り替えているようです。ではどのようにDefenderは別のアンチウイルスソフトウェアがWindowsにインストールされたことはしるのでしょうか?
Windows Security Center (WSC)
端末にインストールするアンチウイルスソフトウェアはWSCに自信を登録することになっています。
Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct
でその一覧を見ることができます。
__GENUS : 2
__CLASS : AntiVirusProduct
__SUPERCLASS :
__DYNASTY : AntiVirusProduct
__RELPATH : AntiVirusProduct.instanceGuid="{D68DDC3A-831F-4fae-9E44-DA132C1ACF46}"
__PROPERTY_COUNT : 6
__DERIVATION : {}
__SERVER : IDS-000298
__NAMESPACE : ROOT\SecurityCenter2
__PATH : \\IDS-000298\ROOT\SecurityCenter2:AntiVirusProduct.instanceGuid="{D68DDC3A-831F-4fae-9E44-DA
132C1ACF46}"
displayName : Windows Defender
instanceGuid : {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
pathToSignedProductExe : windowsdefender://
pathToSignedReportingExe : %ProgramFiles%\Windows Defender\MsMpeng.exe
productState : 393472
timestamp : Tue, 18 Mar 2025 06:02:50 GMT
PSComputerName : IDS-000298
ここにDefender以外が登録されるとそれを検知しPassiveモードになるようです。例えばアンチウイルスソフトウェアをアンインストールする際、インストーラーが自動的にWSCからアンインストールするソフトウェアを削除し、またDefenderがNormalモードに戻り有効化されます。
