次の方法で共有

制御されたフォルダー アクセスを有効にする

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

フォルダー アクセスの制御 は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダーアクセスの制御は、Windows 10、Windows 11、Windows Server 2019 に含まれています。 制御されたフォルダー アクセスは、Windows Server 2012R2 および 2016 の最新の統合ソリューションの一部としても含まれています。

制御されたフォルダー アクセスを有効にするには、次のいずれかの方法を使用します。

ヒント

データ損失防止 (DLP) を使用している場合、除外は機能しません。 調査するには、次の手順を実行します。

  1. Defender for Endpoint クライアント アナライザーをダウンロードしてインストールします。
  2. 少なくとも 5 分間トレースを実行します。
  3. 結果のMDEClientAnalyzerResult.zip出力ファイルで、EventLogs フォルダーの内容を抽出し、使用可能な.evtx ログ ファイル内のDLP EAのインスタンスを検索します。

前提条件

サポートされるオペレーティング システム

Windows:

  1. https://intune.microsoft.comのMicrosoft Intune管理センターで、[エンドポイント セキュリティ>Manage>Attack surface reduction] に移動します。 または、エンドポイント セキュリティに直接移動するには |攻撃面の縮小 ページでは、 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asrを使用します。

  2. [エンドポイント セキュリティ] の [ ポリシー ] タブ で |[攻撃面の縮小 ] ページで、[ ポリシーの作成] を選択します。

  3. いた [プロファイルの作成 ] ポップアップで、次の設定を構成します。

    • [プラットフォーム]: [Windows] を選択します。
    • プロファイル: [攻撃面の縮小ルール] を選択します。

    [作成] を選択します。

  4. ポリシーの作成ウィザードが開きます。 [ 基本 ] タブで、次の設定を構成します。

    • [名前]: わかりやすい一意のポリシー名を入力します。
    • 説明: 省略可能な説明を入力します。

    [次へ] を選択します。

  5. [ 構成設定 ] タブで、[ フォルダー アクセスの制御を有効にする] セクションまで下にスクロールし、次の設定を構成します。

    • [ 未構成] というボックスで、[ 監査モード] を選択します。

      organizationでどのように動作するかを確認するには、最初に監査モードで制御されたフォルダー アクセスを有効にすることをお勧めします。 後で 、有効などの別のモードに設定できます。

    • フォルダー アクセスの制御保護されたフォルダー: 必要に応じて、保護されているフォルダーを追加します。 これらのフォルダー内のファイルは、信頼されていないアプリケーションによって変更または削除することはできません。 既定のシステム フォルダーは自動的に保護されます。 Windows デバイス上のWindows セキュリティ アプリで既定のシステム フォルダーの一覧を表示できます。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessProtectedFolders」を参照してください。

    • フォルダー アクセス許可アプリケーションの制御: 必要に応じて、保護されたフォルダーにアクセスするために信頼されているアプリケーションを追加します。 Microsoft Defenderウイルス対策によって、信頼されるアプリケーションが自動的に決定されます。 この設定は、より多くのアプリケーションを指定する場合にのみ使用します。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessAllowedApplications」を参照してください。

    [ 構成設定 ] タブが完了したら、[ 次へ] を選択します。

  6. [ スコープ タグ ] タブの [ 既定 ] という名前のスコープ タグは既定で選択されますが、削除して他の既存のスコープ タグを選択できます。 完了したら、[次へ] を選択します。

  7. [ 割り当て ] タブで、ボックス内をクリックし、[ すべてのユーザー] を選択し、もう一度ボックスをクリックして、[ すべてのデバイス] を選択します。 [ターゲットの種類] の値が [両方に含める] であることを確認し、[次へ] を選択します。

  8. [ 確認と作成 ] タブで、設定を確認し、[保存] を選択 します

注:

ワイルドカードはアプリケーションではサポートされますが、フォルダーではサポートされません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

モバイル デバイス管理 (MDM)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

Microsoft 構成マネージャー

  1. Microsoft Configuration Manager で、[資産とコンプライアンス]>[エンドポイントの保護]>[Windows Defender Exploit Guard] に移動します。

  2. [ホーム] > [Exploit Guard ポリシーの作成] を選択します。

  3. 名前と説明を入力し、[ フォルダー アクセスの制御] を選択し、[ 次へ] を選択します。

  4. 変更をブロックするか監査するか、他のアプリを許可するか、他のフォルダーを追加するかを選択し、[ 次へ] を選択します。

    注:

    ワイルドカードはアプリケーションではサポートされていますが、フォルダーではサポートされていません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

  5. 設定を確認し、[ 次へ ] を選択してポリシーを作成します。

  6. ポリシーが作成されたら、[ 閉じる] を選択します

Microsoft Configuration Managerとフォルダー アクセスの制御の詳細については、「フォルダー アクセスの制御ポリシーとオプション」を参照してください。

グループ ポリシー

  1. グループ ポリシー管理デバイスで、グループ ポリシー管理コンソールを開きます。 構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

  3. Exploit Guard >の制御されたフォルダー アクセス> Microsoft Defenderウイルス対策> Microsoft Defender Windows コンポーネントにツリーを展開します。

  4. [ フォルダー アクセスの制御の構成 ] 設定をダブルクリックし、オプションを [有効] に設定します。 [オプション] セクションで、次のいずれかのオプションを指定する必要があります。

    • [有効] - 悪意のあるアプリと疑わしいアプリは、保護されたフォルダー内のファイルに変更を加えることはできません。 通知は Windows イベント ログに表示されます。
    • 無効 (既定値) - フォルダーアクセスの制御機能は機能しません。 すべてのアプリは、保護されたフォルダー内のファイルに変更を加えることができます。
    • 監査モード - 悪意のあるアプリまたは疑わしいアプリが保護されたフォルダー内のファイルに変更を加えようとした場合、変更が許可されます。 ただし、Organizationへの影響を評価できる Windows イベント ログに記録されます。
    • ディスクの変更のみをブロック する - 信頼されていないアプリがディスク セクターに書き込もうとすると、Windows イベント ログに記録されます。 これらのログは、 アプリケーションおよびサービス ログ> Microsoft > Windows > Windows Defender > Operational > ID 1123 にあります。
    • 監査ディスクの変更のみ - 保護されたディスク セクターへの書き込み試行のみが Windows イベント ログに記録されます ([ アプリケーションとサービス ログ>Microsoft>Windows>Windows Defender>Operational>ID 1124)。 保護されたフォルダー内のファイルを変更または削除しようとしても記録されません。

    [グループ ポリシー] オプションが有効で、[監査モード] が選択されていることを示すスクリーンショット。

重要

制御されたフォルダー アクセスを完全に有効にするには、グループ ポリシー オプションを [有効] に設定し、[オプション] ドロップダウン メニューの [ブロック] を選択する必要があります。

PowerShell

  1. スタート メニューに「powershell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] を選択します。

  2. 次のコマンドを実行します。

    Set-MpPreference -EnableControlledFolderAccess Enabled

    監査モードで機能を有効にするには、EnabledではなくAuditModeを指定します。 Disabledを使用して機能をオフにします。

構文とパラメーターの詳細については、「 EnableControlledFolderAccess」を参照してください。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。

  • Last updated on