改ざん防止機能を使用してセキュリティ設定を保護する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
- Microsoft Defender for Business
- Microsoft 365 Business Premium
プラットフォーム
- Windows
- macOS
改ざん防止とは
改ざん防止は、Microsoft Defender for Endpointの機能であり、ウイルスや脅威の保護など、特定のセキュリティ設定が無効または変更されないように保護するのに役立ちます。 一部の種類のサイバー攻撃では、悪意のあるアクターがデバイスのセキュリティ機能を無効にしようとします。 セキュリティ機能を無効にすると、不適切なアクターがデータに簡単にアクセスでき、マルウェアをインストールでき、データ、ID、デバイスを悪用できるようになります。 改ざん防止は、これらの種類のアクティビティから保護するのに役立ちます。
改ざん防止は、 標準的な保護攻撃面の縮小ルールを含む改ざん防止機能の一部です。 改ざん防止は、 組み込みの保護の重要な部分です。
改ざん防止が有効になっているとどうなりますか?
改ざん防止が有効になっている場合、これらの改ざん保護された設定は変更できません。
- ウイルスと脅威の保護は引き続き有効です。
- リアルタイム保護はオンのままです。
- 動作の監視はオンのままです。
- IOfficeAntivirus (IOAV) を含むウイルス対策保護は有効のままです。
- クラウド保護は引き続き有効です。
- セキュリティ インテリジェンスの更新が行われます。
- 検出された脅威に対して自動アクションが実行されます。
- 通知は、Windows デバイスのWindows セキュリティ アプリに表示されます。
- アーカイブされたファイルがスキャンされます。
- 除外を変更または追加することはできません
署名のリリース 1.383.1159.0時点では、"ネットワーク ファイルのスキャンを許可する" の既定値に関する混乱により、改ざん防止によってこの設定が既定値にロックされなくなりました。 マネージド環境では、既定値は です enabled。
重要
改ざん防止を有効にすると、改ざん防止された設定を変更できません。 IntuneやConfiguration Managerなど、管理エクスペリエンスの中断を回避するために、改ざん保護された設定に加えられた変更は成功しているように見えるが、実際には改ざん防止によってブロックされる可能性があることに注意してください。 特定のシナリオに応じて、いくつかのオプションを使用できます。
- デバイスに変更を加える必要があり、それらの変更が改ざん防止によってブロックされている場合は、 トラブルシューティング モードを 使用してデバイスの改ざん防止を一時的に無効にすることができます。
- IntuneまたはConfiguration Managerを使用して、デバイスを改ざん防止から除外できます。
改ざん防止では、セキュリティ設定を表示できません。 また、改ざん防止は、Microsoft 以外のウイルス対策アプリがWindows セキュリティ アプリに登録する方法には影響しません。 organizationが Defender for Endpoint を使用している場合、個々のユーザーは改ざん防止の設定を変更できません。そのような場合、セキュリティ チームは改ざん防止を管理します。 詳細については、「改ざん防止操作方法構成または管理する」を参照してください。
どのようなデバイスで改ざん防止を有効にできますか?
改ざん防止は、次のいずれかのバージョンの Windows を実行しているデバイスで使用できます。
- Windows 10 と 11 (エンタープライズ マルチセッションを含む)
- Windows Server 2022、Windows Server 2019、および Windows Server バージョン 1803 以降
- R2 のWindows Server 2016とWindows Server 2012 (最新の統合ソリューションを使用)
改ざん防止は Mac でも利用できますが、Windows の場合とは少し異なります。 詳細については、「 改ざん防止を使用して macOS セキュリティ設定を保護する」を参照してください。
ヒント
組み込みの保護 には、既定で改ざん防止をオンにする機能が含まれています。 詳細については、以下を参照してください:
- 組み込みの保護はランサムウェアから保護するのに役立ちます (記事)
- すべての企業のお客様に対して改ざん防止が有効になります (Tech Community のブログ投稿)
Windows Server 2012 R2、2016、または Windows バージョン 1709、1803、または 1809 での改ざん防止
最新の統合ソリューション (Windows Server 2016、バージョン 1709、1803、または 1809 Windows 10) を使用して Windows Server 2012 R2 を使用している場合、Windows セキュリティ アプリに改ざん防止は表示されません。 代わりに、PowerShell を使用して、改ざん防止が有効かどうかを判断できます。
重要
Windows Server 2016、改ざん防止が有効になっている場合、設定アプリはリアルタイム保護の状態を正確に反映しません。
PowerShell を使用して、改ざん防止とリアルタイム保護が有効になっているかどうかを判断する
Windows PowerShell アプリを開きます。
Get-MpComputerStatus PowerShell コマンドレットを使用します。
結果の一覧で、 または を探
IsTamperProtectedしますRealTimeProtectionEnabled。 ( true の値は、改ざん防止が有効になっていることを意味します)。
改ざん防止を構成または管理操作方法。
次の表に示すように、Microsoft Intuneやその他の方法を使用して、改ざん防止を構成または管理できます。
| メソッド | 可能な操作 |
|---|---|
| Microsoft Defender ポータルを使用します。 | テナント全体で改ざん防止をオン (またはオフ) にします。 「Microsoft Defender XDRを使用してorganizationの改ざん防止を管理する」を参照してください。 このメソッドは、Microsoft IntuneまたはConfiguration Managerで管理される設定をオーバーライドしません。 |
| Microsoft Intune管理センターまたはConfiguration Managerを使用します。 | 改ざん防止をオン (またはオフ)、テナント全体で有効にするか、一部のユーザー/デバイスに改ざん防止を適用します。 特定のデバイスを改ざん防止から除外できます。 「Intuneを使用してorganizationの改ざん防止を管理する」を参照してください。 Intuneのみを使用している場合、またはConfiguration Managerのみ使用している場合は、Microsoft Defenderウイルス対策の除外を改ざんから保護します。 ウイルス対策の除外については、「改ざん防止」を参照してください。 |
| テナントアタッチでConfiguration Managerを使用します。 | 改ざん防止をオン (またはオフ)、テナント全体で有効にするか、一部のユーザー/デバイスに改ざん防止を適用します。 特定のデバイスを改ざん防止から除外できます。 「Configuration Manager バージョン 2006 でテナントアタッチを使用してorganizationの改ざん防止を管理する」を参照してください。 |
| Windows セキュリティ アプリを使用します。 | セキュリティ チームによって管理されていない個々のデバイス (自宅で使用するデバイスなど) で、改ざん防止をオン (またはオフ) にします。 「個々のデバイスで改ざん防止を管理する」を参照してください。 このメソッドは、Microsoft Defender ポータル、Intune、またはConfiguration Managerで設定されている改ざん防止設定をオーバーライドせず、組織が使用することを意図したものではありません。 |
ヒント
グループ ポリシーを使用してウイルス対策設定Microsoft Defender管理している場合は、改ざん防止された設定に加えられた変更は無視されます。 デバイスに変更を加える必要があり、その変更が改ざん防止によってブロックされている場合は、 トラブルシューティング モードを 使用してデバイスの改ざん防止を一時的に無効にします。 トラブルシューティング モードが終了すると、改ざん保護された設定に加えられた変更はすべて、構成済みの状態に戻されます。
Microsoft Defenderウイルス対策の除外を保護する
特定の条件下では、改ざん防止によって、Microsoft Defenderウイルス対策用に定義されている除外を保護できます。 詳細については、「 除外の改ざん防止」を参照してください。
改ざんの試行に関する情報を表示する
通常、改ざんの試行は、より大きなサイバー攻撃が発生したことを示します。 不適切なアクターは、セキュリティ設定を変更して、保持し、検出されないようにします。 organizationのセキュリティ チームの一員である場合は、そのような試行に関する情報を表示し、脅威を軽減するための適切なアクションを実行できます。
改ざんの試行が検出されるたびに、Microsoft Defender ポータル (https://security.microsoft.com) でアラートが発生します。
Microsoft Defender for Endpointのエンドポイント検出と応答と高度なハンティング機能を使用して、セキュリティ運用チームはそのような試行を調査して対処できます。
セキュリティに関する推奨事項を確認する
改ざん防止は、Microsoft Defender 脆弱性の管理機能と統合されます。 セキュリティに関する推奨事項には、 改ざん防止が有効になっていることを確認することが含まれます。 たとえば、 脆弱性管理ダッシュボードでは、 改ざんを検索できます。 結果では、[ 改ざん防止を有効にする ] を選択して詳細を確認し、有効にすることができます。
Microsoft Defender 脆弱性の管理の詳細については、「ダッシュボードの分析情報 - Defender 脆弱性管理」を参照してください。
関連項目
- 組み込みの保護はランサムウェアからの保護に役立ちます
- 改ざん防止に関してよく寄せられる質問
- 改ざん防止に関する問題のトラブルシューティング
- Windows 以外のデバイス上の Defender for Endpoint
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示