制御されたフォルダー アクセスを評価する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
フォルダー アクセスの制御 は、疑わしいアプリや悪意のあるアプリによる変更からドキュメントやファイルを保護するのに役立つ機能です。 フォルダーアクセスの制御は、Windows Server 2022、Windows Server 2019、および Windows 10 または Windows 11 を実行しているクライアント デバイスでサポートされています。
これは、ファイルを暗号化して人質を保持しようとする ランサムウェア から保護するのに特に役立ちます。
この記事は、制御されたフォルダー アクセスを評価するのに役立ちます。 組織で機能を直接テストできるように、監査モードを有効にする方法について説明します。
監査モードを使用して影響を測定する
監査モードで制御されたフォルダー アクセスを有効にして、有効にした場合に発生する可能性のある内容のレコードを表示します。 組織での機能のしくみをテストして、基幹業務アプリに影響を与えないことを確認します。 また、一般的に一定期間に発生するファイルの変更に対する疑わしい試行の数を把握することもできます。
監査モードを有効にするには、次の PowerShell コマンドレットを使用します。
Set-MpPreference -EnableControlledFolderAccess AuditMode
注:
フォルダー アクセスの制御が組織内でどのように機能するかを確認するには、管理ツールを使用してネットワーク内のデバイスに展開します。 グループ ポリシー、Intune、モバイル デバイス管理 (MDM)、または Microsoft Configuration Manager を使用して、 制御されたフォルダー アクセスで重要なフォルダーを保護するに関するページで説明されているように、設定を構成して展開することもできます。
ワークフローで共有ネットワーク フォルダーの使用が必要な場合は、フォルダーアクセスの制御を有効にすると、特にファイル共有サーバーへのクエリが多いために、信頼されていないプロセスによって共有ネットワーク フォルダーにアクセスする場合、ネットワーク パフォーマンスが大幅に低下する可能性があります。 特にオフライン ファイルに共有ネットワーク フォルダーを使用している場合は、ファイル サーバーがネットワーク トラフィックの増加に合わせて最適化されていることを確認します。
一部の種類のエンドポイント セキュリティまたは資産管理ソフトウェアは、システム上で開始されるすべてのプロセスにコードを挿入します。 これにより、フォルダーアクセスが Office プログラムなどの既知のアプリケーションを信頼しなくなる可能性があります。 MDEClientAnalyzer ツールの
-cfa
引数を使用して、フォルダー アクセスの検出を制御する理由を確認できます。 影響を受ける場合は、挿入プロセスの ウイルス対策除外 を追加することを検討するか、管理ソフトウェア ベンダーに、すべてのバイナリへの署名について相談してください。
Windows イベント ビューアーで制御されたフォルダー アクセス イベントを確認する
次の制御されたフォルダー アクセス イベントは、Windows イベント ビューアーの [Microsoft/Windows/Windows Defender/Operational] フォルダーに表示されます。
イベント ID | 説明 |
---|---|
5007 |
設定が変更されたときのイベント |
1124 |
監査対象のフォルダー アクセス イベント |
1123 |
ブロックされたフォルダー アクセス イベント |
ヒント
ログを一元的に収集するように Windows イベント転送サブスクリプション を構成できます。
保護されたフォルダーとアプリをカスタマイズする
評価中に、保護されたフォルダーの一覧に追加したり、特定のアプリでファイルの変更を許可したりできます。
グループ ポリシー、PowerShell、MDM 構成サービス プロバイダー (CSP) などの管理ツールを使用して機能を構成するには、「 フォルダー アクセスを制御して重要なフォルダーを保護 する」を参照してください。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。