Microsoft Defenderの停止手順 2つの方法 Windows Server 編

Microsoft

最近は物理サーバーよりもクラウドのサーバーを利用することが多くなってきました。スペック選定は昔よりもシビアです。

オーバースペックはコストに跳ね返ってくるので、ギリ(最適なスペック)で見積もると、今までは出て来なかった不具合が浮かび上がってきます。

Windows Server にウイルス対策ソフトをインストールすると、何故かCPU利用率が非常に高くなってしまいました。

  • ウイルス対策ソフトをインストールするとCPU利用率が高い
  • アンインストールするとCPU利用率が下がる
  • 原因が思い浮かばない

困ったので色々と調査して判明した原因と対策を紹介します。

CPU高負荷は Microsoft Defender(Windows Defender)が原因

WindowsのサーバーOSをインストールした直後で、必要なソフトをインストールしただけ。

しかもウイルス対策ソフトをインストールしたらCPU負荷が異常に高い。CPU利用率100%付近に張り付いたまま。フルスキャンでディスクをサーチしているようすは無い。

原因不明の時は、CPU利用率の高いプロセスを見つけ何のサービスかを特定するところから始まります。

  • MsMpEng.exe
  • Antimalware Service Executable

調査したところ、このプロセスがCPUリソースを消費していることが分かりました。

この情報を元に調査をした結果判明したことは、どちらもも「Microsoft Defender」に関係するものでした。Microsoft Defenderはマイクロソフトが開発したセキュリティ対策ソフトで、最近のOSには標準搭載されているものです。

ここでは、Microsoft Defender の良し悪しを判断はしません。

私はシステム管理者なので複数のサーバーやクライアントPCを管理する必要があります。個別で1台ずつ状況を確認するのは大変です。商用のウイルス対策ソフトを利用して一括管理する必要があります。

Windows Server ウイルス対策ソフトの2重起動

多くのシステム管理者は勘違いしていると思います。私もこの問題が判明するまで知らなかったです。

Windows Server のOSはウイルス対策ソフトが重複起動する

なんやかんやで、クライアントOSのWindows10を触る機会が多いです。PC設定を日々行っているので、Windows10、Windows11の挙動をWindows系OSの動作だと思ってしまいます。

クライアントOS(Windows10,Windows11)の場合、サードパーティ製(トレンドマイクロ、シマンテックなど)のウイルス対策ソフトをインストールすると、標準搭載された Microsoft Defender が自動的に無効化されます。

これで挙動によりウイルス対策ソフトの「重複起動」が防止されます。

しかし、Windows Server (2012,2016,2019など)は、クライアントOS(Windows10,11)とは挙動が異なり、自動的に無効化されません。

ちゃんと、MS公式サイトにアナウンスされています。

Microsoft Defender ウイルス対策は、Microsoft 以外のウイルス対策製品をインストールしても自動的にパッシブ モードに入りません。

理由はともあれ、何も考えずサードパーティ製のウイルス対策ソフトをインストールするとMicrosoft Defenderとインストールしたウイルス対策ソフトが2重で動作します。

  • Microsoft Defender(マイクロソフト製)
  • サードパーティ製のウイルス対策ソフト(トレンドマイクロ、シマンテック等)

2重起動は誤動作の原因になるのでMicrosoft Defender を停止させる手順を行います。

2重起動の確認方法

プロセスが動いているので Microsoft Defenderとサードパーティ製のウイルス対策ソフトでバッティングしていることは直ぐにわかります。

現状の状態確認をしたい場面があるので確認方法を紹介します。

Microsoft Defender が起動中

Microsoft Defenderの状態は「Windowsセキュリティ」の管理画面から確認します。

ウイルスと脅威の防止」の項目に色々と表示されると Microsoft Defender が動作している証拠です。

Microsoft Defender はモジュール群で出来ているので1部のモジュールのみの場合もありますので適宜読替えて判断してください。

Microsoft Defender が停止中

Microsoft Defender の各種サービスが全て停止していると「ウイルスと脅威の防止」項目は何も表示されません。

この画面は、「グループポリシー」でMicrosoft Defender を停止させた画面になります。

Microsoft Defender の停止方法

Microsoft Defender サービスを停止(無効化)できない

システム管理者が一番最初に思いつくサービス停止では、Microsoft Defender を止めることはできません。

  • Microsoft Defender Antivirus Service
  • Microsoft Defender Antivirus Network Inspection Service

Microsoft Defender のサービスを変更できないようになっています。

Microsoft Defenderの状態は「Windowsセキュリティ」の管理画面から設定変更を実施することができるのですが、全てのサービスを止めることはできません。

Microsoft Defender Antivirus Network Inspection Service」サービスを停止できるが「Microsoft Defender Antivirus Service」サービスが止められない。

Windowsセキュリティ」の管理画面では、Microsoft Defenderの一部モジュールしか停止できません。

Microsoft Defender ウイルス対策をアンインストール

Microsoft Defender を停止させる一番分かりやすい方法は、何も考えず Microsoft Defender をアンインストールすることです。

考え方が一番シンプルです。「不要だから削除しちゃえ!」

個々のサーバーで設定を実施するのでサーバー数が少なければお勧めな手順です。

サーバーマネージャー」を利用して「役割と機能の削除」から削除します。「機能」の項目に「Microsoft Defender ウイルス対策」に付いているチェックを外してください。

あとは手順に従って進めていけばアンインストールが実施されます。

グループポリシーで Microsoft Defender 無効化する

大量のサーバーを管理している場合、 Microsoft Defender を停止させる方法はグループポリシーを利用する方法が適しています。

個々のサーバーで設定を行う必要が無く Active Directory に設定を作成すれば対象サーバーに適応できるので作業が劇的に簡素化できます。

システム管理者向けの設定方法になります。

グループポリシーの有効化の手順は下記通りです。

  1. 管理テンプレート取得
  2. グループポリシーの作成・適応
  3. サーバーへの反映

Active Directory でグループポリシーを作成する

グループポリシーの作成は「グループポリシー管理エディター」を利用します。

コンピュータの構成」-「管理用テンプレート」-「Windowsコンポーネント」-「Microsoft Defenderウイルス対策

この場所に Microsoft Defender を有効/無効 にできるパラメーターがあります。名称のとおり「Microsoft Defender ウイルス対策を無効にする」を「有効」にしてください。

Windows Serverにグループポリシーを適応

グループポリシーを作成し適応範囲に正しくサーバーを配置すれば、設定が反映するのを待つだけです。ただし、時間が掛かります。

反映されるのを早めるための手っ取り早い方法は、OSを再起動することです。再起動すればグループポリシーが反映します。

ただ・・・サーバーは簡単に再起動できない場合が多いので、コマンドで反映させる方法もあります。

  • サーバーを再起動させる
  • コマンドを実行する

コマンドプロンプト(管理者)を起動してコマンドを実行してください。

グループポリシー適応コマンド(強制)

> gpupdate /force

グループポリシーの結果確認コマンド

> gpresult /R

グループポリシーが適応されると「ウイルスと脅威の防止」項目で確認することができます。

あとがき

Windows Server に標準インストールされている「Microsoft Defender」はサードパーティ製のウイルス対策ソフトをインストールしても勝手に無効化されません。

この事実を知らない管理者は多くいると思います。私もサーバーOSを何十年も管理していましたが知らなかった。

物理サーバーならCPUリソースに余裕がある場合が多く見過ごされていたのだと思います。クラウド環境では、リソース配分の最適化をおこなうので見過ごされた問題が顕在化してくるのでしょう。

WindowsのサーバーOSを利用する場合、ユーザーが明示的に「Microsoft Defender」無効化を行う必要があります。

コメント