ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

WindowsServer2016でWindowsDefenderをGPOで無効にする設定

以前の記事で、Windows Server 2016の場合、アンチウイルスソフトをインストールしても、Windows Defenderが無効にならないということをアップしました。


これまでクライアント系にインストールする場合は、アンチウイルスソフトが無効にしてくれていたので、サーバーもそうなるかと思いましたが、同様の動作をしなかったので、調べたらその情報を発見しました。

 

基本は、二つのアンチウイルスソフトを使う事は推奨されないので、市販のアンチウイルスソフトをインストールする場合は、Windows Defenderを無効にしたいのですが、その方法の一つとして、GPOで無効化することができますので、その方法を紹介します。


【Widows Server 2016でWindows Defenderを無効にする方法】

※以下はドメイン参加していないサーバーでの操作を想定しています。ドメイン参加しているサーバーで複数のサーバーに適応する場合は、ADのGPOが便利です。

①スタートメニューから「ファイル名を指定して実行」をクリックし「gpedit.msc」と入力します。
②ローカルグループポリシーエディターが起動します
③左メニューにて、[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]の順にクリックし、右メニューで「EndPoint Protection」をダブルクリックします。
④「Eindpoint Protectionを無効にする」でデフォルトは「未構成」になっていますが、これを「有効」にします。

f:id:merrywhite:20200404173719p:plain



⑤設定が完了したら、コマンドプロンプトを起動し、ポリシーを適用させます。

# gpupdate /force

⑥defenderを起動しようとすると「このアプリはグループポリシーによって無効になっています」と表示されます。

f:id:merrywhite:20200404173734p:plain



WindowsDefenderは無料で使えて便利ですが、動作が重くなりますし、WindowsUpdateが絡んでくるのでちょっと使いにくい印象がありますね。


企業で使う場合は、トレンドマイクロシマンテックなどの製品を使う事が多いと思いますので、製品を購入して利用できる場合は、無効でいいかと思います。


費用がないとか、購入が間に合わなくて一時的に保護したい場合などは、ケースバイケースですが便利かもしれません。GPOで設定できるので、SBC環境などでも一括管理ができていいですね。ドメイン環境でない場合は、ローカルグループポリシーか、レジストリを変更するなどの対処になりそうです。