制御されたフォルダー アクセスを有効にする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

フォルダー アクセスの制御 は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダーアクセスの制御は、Windows 10、Windows 11、および Windows Server 2019 に含まれています。 制御されたフォルダー アクセスは 、Windows Server 2012R2 および 2016 の最新の統合ソリューションの一部としても含まれています。

制御されたフォルダー アクセスを有効にするには、次のいずれかの方法を使用します。

• Windows セキュリティ アプリ *
• Microsoft Intune
• モバイル デバイス管理 (MDM)
• Microsoft Configuration Manager
• グループ ポリシー
• PowerShell

ヒント

最初は 監査モード を使用して、機能の動作を確認し、組織内の通常のデバイスの使用状況に影響を与えずにイベントを確認できるようにします。

注:

問題のバイナリに対して Microsoft Defender ウイルス対策の除外 (プロセスまたはパス) を追加した場合、制御されたフォルダー アクセスによって信頼され、プロセスまたはパスがブロックされません。 ローカル管理者リストのマージを無効にするグループ ポリシー設定は、制御されたフォルダー アクセス設定をオーバーライドします。 また、制御されたフォルダー アクセスを通じて、ローカル管理者によって設定された保護されたフォルダーと許可されたアプリもオーバーライドされます。 これらのポリシーには、次のようなものがあります:

• Microsoft Defender ウイルス対策 リストのローカル管理者のマージ動作を構成する
• System Center Endpoint Protection ユーザーによる除外とオーバーライドの追加を許可する

ローカル リストのマージを無効にする方法の詳細については、「 ユーザーが Microsoft Defender ウイルス対策ポリシー設定をローカルで変更できないようにするか許可する」を参照してください。

Windows セキュリティ アプリを開きます。

1. タスク バーで盾のアイコンを選択して、Windows セキュリティ アプリを開きます。 スタート メニューで Windows セキュリティを検索することもできます。

2. [ ウイルス & 脅威保護 ] タイル (または左側のメニュー バーのシールド アイコン) を選択し、[ ランサムウェア保護] を選択します。

3. [ フォルダー アクセスの制御] のスイッチを [オン] に設定します。

注:

• この方法は、Windows Server 2012 R2 または Windows Server 2016 では使用できません。 制御されたフォルダー アクセスがグループ ポリシー、PowerShell、または MDM CSP で構成されている場合、デバイスを再起動した後にのみ Windows セキュリティ アプリの状態が変更されます。 これらのツールを使用してこの機能が 監査モード に設定されている場合、Windows セキュリティ アプリは状態を [オフ] と表示します。

• ユーザー プロファイル データを保護する場合、ユーザー プロファイルは既定の Windows インストール ドライブに存在する必要があります。

Microsoft Intune

1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ] を開きます。

2. [攻撃面の縮小>ポリシー] に移動します。

3. [プラットフォーム] を選択し、[Windows 10]、[Windows 11]、[Windows Server] の順に選択し、プロファイルの [攻撃面の縮小規則] >[作成] を選択します。

4. ポリシーに名前を付け、説明を追加します。 [次へ] を選択します。

5. 下にスクロールし、[ フォルダー アクセスの制御を有効にする ] ドロップダウンで、 監査モードなどのオプションを選択します。

   組織で動作する方法を確認するには、最初に監査モードで制御されたフォルダー アクセスを有効にすることをお勧めします。 後で 、有効などの別のモードに設定できます。

6. 必要に応じて、保護するフォルダーを追加するには、[ フォルダー アクセスの制御] [保護されたフォルダー ] の順に選択し、フォルダーを追加します。 これらのフォルダー内のファイルは、信頼されていないアプリケーションによって変更または削除することはできません。 既定のシステム フォルダーは自動的に保護されます。 Windows デバイス上の Windows セキュリティ アプリで既定のシステム フォルダーの一覧を表示できます。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessProtectedFolders」を参照してください。

7. 必要に応じて、信頼する必要があるアプリケーションを追加するには、[ フォルダー アクセス許可アプリケーションの制御 ] を選択し、保護されたフォルダーにアクセスできるアプリを追加します。 Microsoft Defender ウイルス対策は、信頼する必要があるアプリケーションを自動的に決定します。 この設定は、追加のアプリケーションを指定する場合にのみ使用します。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessAllowedApplications」を参照してください。

8. プロファイルの [割り当て] を選択し、[ すべてのユーザー] & [すべてのデバイス] に割り当て、[保存] を選択 します。

9. [ 次へ ] を選択して開いている各ブレードを保存し、[作成] を 選択します。

注:

ワイルドカードはアプリケーションではサポートされますが、フォルダーではサポートされません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

モバイル デバイス管理 (MDM)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

Microsoft 構成マネージャー

1. Microsoft Configuration Manager で、[資産とコンプライアンス]>[エンドポイントの保護]>[Windows Defender Exploit Guard] に移動します。

2. [ホーム] > [Exploit Guard ポリシーの作成] を選択します。

3. 名前と説明を入力し、[ フォルダー アクセスの制御] を選択し、[ 次へ] を選択します。

4. 変更をブロックするか監査するか、他のアプリを許可するか、他のフォルダーを追加するかを選択し、[ 次へ] を選択します。

   注:

   ワイルドカードはアプリケーションではサポートされていますが、フォルダーではサポートされていません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

5. 設定を確認し、[ 次へ ] を選択してポリシーを作成します。

6. ポリシーが作成されたら、[ 閉じる] を選択します。

グループ ポリシー

1. グループ ポリシー管理デバイスで、 グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択 します。

2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. Microsoft Defender ウイルス対策> Microsoft Defender Exploit Guard >制御されたフォルダー アクセス> Windows コンポーネントにツリーを展開します。

4. [ フォルダー アクセスの制御の構成 ] 設定をダブルクリックし、オプションを [有効] に設定します。 [オプション] セクションで、次のいずれかのオプションを指定する必要があります。

   • [有効] - 悪意のあるアプリと疑わしいアプリは、保護されたフォルダー内のファイルに変更を加えることはできません。 通知が Windows イベント ログに表示されます。
   • 無効 (既定値) - フォルダーアクセスの制御機能は機能しません。 すべてのアプリは、保護されたフォルダー内のファイルに変更を加えることができます。
   • 監査モード - 悪意のあるアプリまたは疑わしいアプリが保護されたフォルダー内のファイルを変更しようとすると、変更が許可されます。 ただし、組織への影響を評価できる Windows イベント ログに記録されます。
   • ディスクの変更のみをブロック する - 信頼されていないアプリがディスク セクターに書き込もうとすると、Windows イベント ログに記録されます。 これらのログは、 アプリケーションおよびサービス ログ> Microsoft > Windows > Windows Defender > Operational > ID 1123 にあります。
   • 監査ディスクの変更のみ - 保護されたディスク セクターへの書き込みのみが Windows イベント ログに記録されます ([ アプリケーションとサービス ログ>Microsoft>Windows>Windows Defender>Operational>ID 1124)。 保護されたフォルダー内のファイルを変更または削除しようとしても記録されません。

   

重要

制御されたフォルダー アクセスを完全に有効にするには、[グループ ポリシー] オプションを [有効] に設定し、[オプション] ドロップダウン メニューの [ ブロック ] を選択する必要があります。

PowerShell

1. スタート メニューに「powershell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] を選択します。

2. 次の cmdlet を入力します。

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   監査モードで機能を有効にするには、EnabledではなくAuditModeを指定します。 Disabledを使用して機能をオフにします。

関連項目

• フォルダーへのアクセス制御で重要なフォルダーを保護する
• 制御されたフォルダー アクセスをカスタマイズする
• Microsoft Defender for Endpoint の評価

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。