制御されたフォルダー アクセスを有効にする

フォルダー アクセスの制御 は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダー アクセスの制御は、次のオペレーティング システムで使用できます。

• Windows 10以降に含まれます。
• Windows Server 2019 以降に含まれます。
• 最新の統合Microsoft Defender for Endpoint ソリューションの一部として、Windows Server 2016 および Windows Server 2012 R2 で使用できます。

この記事で説明する次のいずれかの方法を使用して、制御されたフォルダー アクセスを有効にすることができます。

• Microsoft Intune管理センターで制御されたフォルダー アクセスを有効にする
  • モバイル デバイス管理 (MDM)
  • Microsoft Configuration Manager
  • グループ ポリシー
  • PowerShell

ヒント

データ損失防止 (DLP) を使用している場合、除外は機能しません。 調査するには、次の手順を実行します。

1. Defender for Endpoint クライアント アナライザーをダウンロードしてインストールします。
2. 少なくとも 5 分間トレースを実行します。
3. 結果のMDEClientAnalyzerResult.zip出力ファイルで、EventLogs フォルダーの内容を抽出し、使用可能な.evtx ログ ファイル内のDLP EAのインスタンスを検索します。

前提条件

サポートされるオペレーティング システム

• Windows

Microsoft Intune管理センターで制御されたフォルダー アクセスを有効にする

1. https://intune.microsoft.comのMicrosoft Intune管理センターで、[エンドポイント セキュリティ>Manage>Attack surface reduction] に移動します。 または、エンドポイント セキュリティに直接移動するには |攻撃面の縮小 ページでは、 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asrを使用します。

2. [エンドポイント セキュリティ] の [ ポリシー ] タブ で |[攻撃面の縮小 ] ページで、[ ポリシーの作成] を選択します。

3. 開 いた [プロファイルの作成 ] ポップアップで、次の設定を構成します。

   • [プラットフォーム]: [Windows] を選択します。
   • プロファイル: [攻撃面の縮小ルール] を選択します。

   [作成] を選択します。

4. ポリシーの作成ウィザードが開きます。 [ 基本 ] タブで、次の設定を構成します。

   • [名前]: わかりやすい一意のポリシー名を入力します。
   • 説明: 省略可能な説明を入力します。

   [次へ] を選択します。

5. [ 構成設定 ] タブで、[ フォルダー アクセスの制御を有効にする] セクションまで下にスクロールし、次の設定を構成します。

   • [ 未構成] というボックスで、[ 監査モード] を選択します。

     organizationでどのように動作するかを確認するには、最初に監査モードで制御されたフォルダー アクセスを有効にすることをお勧めします。 後で 、有効などの別のモードに設定できます。

   • フォルダー アクセスの制御保護されたフォルダー: 必要に応じて、保護されているフォルダーを追加します。 これらのフォルダー内のファイルは、信頼されていないアプリケーションによって変更または削除することはできません。 既定のシステム フォルダーは自動的に保護されます。 Windows デバイス上のWindows セキュリティ アプリで既定のシステム フォルダーの一覧を表示できます。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessProtectedFolders」を参照してください。

   • フォルダー アクセス許可アプリケーションの制御: 必要に応じて、保護されたフォルダーにアクセスするために信頼されているアプリケーションを追加します。 Microsoft Defenderウイルス対策によって、信頼されるアプリケーションが自動的に決定されます。 この設定は、より多くのアプリケーションを指定する場合にのみ使用します。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessAllowedApplications」を参照してください。

   [ 構成設定 ] タブが完了したら、[ 次へ] を選択します。

6. [ スコープ タグ ] タブの [ 既定 ] という名前のスコープ タグは既定で選択されますが、削除して他の既存のスコープ タグを選択できます。 完了したら、[次へ] を選択します。

7. [ 割り当て ] タブで、ボックス内をクリックし、[ すべてのユーザー] を選択し、もう一度ボックスをクリックして、[ すべてのデバイス] を選択します。 [ターゲットの種類] の値が [両方に含める] であることを確認し、[次へ] を選択します。

8. [ 確認と作成 ] タブで、設定を確認し、[保存] を選択 します。

注:

ワイルドカードはアプリケーションではサポートされますが、フォルダーではサポートされません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

モバイル デバイス管理 (MDM)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

Microsoft 構成マネージャー

1. Microsoft Configuration Manager で、[資産とコンプライアンス]>[エンドポイントの保護]>[Windows Defender Exploit Guard] に移動します。

2. [ホーム] > [Exploit Guard ポリシーの作成] を選択します。

3. 名前と説明を入力し、[ フォルダー アクセスの制御] を選択し、[ 次へ] を選択します。

4. 変更をブロックするか監査するか、他のアプリを許可するか、他のフォルダーを追加するかを選択し、[ 次へ] を選択します。

   注:

   ワイルドカードはアプリケーションではサポートされていますが、フォルダーではサポートされていません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

5. 設定を確認し、[ 次へ ] を選択してポリシーを作成します。

6. ポリシーが作成されたら、[ 閉じる] を選択します。

Microsoft Configuration Managerとフォルダー アクセスの制御の詳細については、「フォルダー アクセスの制御ポリシーとオプション」を参照してください。

グループ ポリシー

1. グループ ポリシー管理デバイスで、グループ ポリシー管理コンソールを開きます。 構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します。

2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. Exploit Guard >の制御されたフォルダー アクセス> Microsoft Defenderウイルス対策> Microsoft Defender Windows コンポーネントにツリーを展開します。

4. [ フォルダー アクセスの制御の構成 ] 設定をダブルクリックし、オプションを [有効] に設定します。 [オプション] セクションで、次のいずれかのオプションを指定する必要があります。

   • [有効] - 悪意のあるアプリと疑わしいアプリは、保護されたフォルダー内のファイルに変更を加えることはできません。 通知は Windows イベント ログに表示されます。
   • 無効 (既定値) - フォルダーアクセスの制御機能は機能しません。 すべてのアプリは、保護されたフォルダー内のファイルに変更を加えることができます。
   • 監査モード - 悪意のあるアプリまたは疑わしいアプリが保護されたフォルダー内のファイルに変更を加えようとした場合、変更が許可されます。 ただし、Organizationへの影響を評価できる Windows イベント ログに記録されます。
   • ディスクの変更のみをブロック する - 信頼されていないアプリがディスク セクターに書き込もうとすると、Windows イベント ログに記録されます。 これらのログは、 アプリケーションおよびサービス ログ> Microsoft > Windows > Windows Defender > Operational > ID 1123 にあります。
   • 監査ディスクの変更のみ - 保護されたディスク セクターへの書き込み試行のみが Windows イベント ログに記録されます ([ アプリケーションとサービス ログ>Microsoft>Windows>Windows Defender>Operational>ID 1124)。 保護されたフォルダー内のファイルを変更または削除しようとしても記録されません。

   

重要

制御されたフォルダー アクセスを完全に有効にするには、グループ ポリシー オプションを [有効] に設定し、[オプション] ドロップダウン メニューの [ブロック] を選択する必要があります。

PowerShell

1. スタート メニューに「powershell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] を選択します。

2. 次のコマンドを実行します。

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   監査モードで機能を有効にするには、EnabledではなくAuditModeを指定します。 Disabledを使用して機能をオフにします。

構文とパラメーターの詳細については、「 EnableControlledFolderAccess」を参照してください。

関連項目

• フォルダーへのアクセス制御で重要なフォルダーを保護する
• 制御されたフォルダー アクセスをカスタマイズする
• Microsoft Defender for Endpoint の評価

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。