制御されたフォルダー アクセスを評価する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
フォルダー アクセスの制御 は、疑わしいアプリや悪意のあるアプリによる変更からドキュメントやファイルを保護するのに役立つ機能です。 フォルダーアクセスの制御は、Windows Server 2019、Windows Server 2022、Windows 10、およびWindows 11クライアントでサポートされています。
これは、ファイルを暗号化して人質を保持しようとする ランサムウェア から保護するのに特に役立ちます。
この記事は、制御されたフォルダー アクセスを評価するのに役立ちます。 organizationで機能を直接テストできるように監査モードを有効にする方法について説明します。
監査モードを使用して影響を測定する
監査モードで制御されたフォルダー アクセスを有効にして、有効にした場合に発生する可能性のある内容のレコードを表示します。 organizationで機能がどのように機能するかをテストして、基幹業務アプリに影響を与えないことを確認します。 また、一般的に一定期間に発生するファイルの変更に対する疑わしい試行の数を把握することもできます。
監査モードを有効にするには、次の PowerShell コマンドレットを使用します。
Set-MpPreference -EnableControlledFolderAccess AuditMode
ヒント
organizationでのフォルダー アクセスの制御方法を完全に監査する場合は、管理ツールを使用して、ネットワーク内のデバイスにこの設定を展開する必要があります。 また、グループ ポリシー、Intune、モバイル デバイス管理 (MDM)、または Microsoft Configuration Manager を使用して、メインの制御されたフォルダー アクセスに関するトピックで説明されているように、設定を構成して展開することもできます。
Windows イベント ビューアーで制御されたフォルダー アクセス イベントを確認する
次の制御されたフォルダー アクセス イベントは、Microsoft/Windows/Windows Defender/Operational フォルダーの下の Windows イベント ビューアーに表示されます。
| イベント ID | 説明 |
|---|---|
| 5007 | 設定が変更されたときのイベント |
| 1124 | 監査対象のフォルダー アクセス イベント |
| 1123 | ブロックされたフォルダー アクセス イベント |
ヒント
ログを一元的に収集するように Windows イベント転送サブスクリプション を構成できます。
保護されたフォルダーとアプリをカスタマイズする
評価中に、保護されたフォルダーの一覧に追加したり、特定のアプリでファイルの変更を許可したりできます。
グループ ポリシー、PowerShell、MDM 構成サービス プロバイダー (CSP) などの管理ツールを使用して機能を構成するには、「フォルダー アクセスを制御して重要なフォルダーを保護する」を参照してください。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示