フォルダー アクセスを制御して重要なフォルダーを保護するProtect important folders with controlled folder access

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップします。Sign up for a free trial.

フォルダー アクセスの制御とはWhat is controlled folder access?

フォルダー アクセスの制御により、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護できます。Controlled folder access helps protect your valuable data from malicious apps and threats, such as ransomware. フォルダー アクセスの制御により、既知の信頼できるアプリの一覧に対してアプリをチェックすることで、データを保護します。Controlled folder access protects your data by checking apps against a list of known, trusted apps. Windows Server 2019 および Windows 10 クライアントでサポートされている場合、管理フォルダー アクセスは、Windows セキュリティ アプリ、Microsoft Endpoint Configuration Manager、または Intune (管理対象デバイスの場合) を使用して有効にできます。Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App, Microsoft Endpoint Configuration Manager, or Intune (for managed devices).

注意

スクリプト エンジンは信頼されていないので、制御された保護されたフォルダーへのアクセスを許可することはできません。Scripting engines are not trusted and you cannot allow them access to controlled protected folders. たとえば、PowerShell は、証明書とファイルインジケーターで許可されている場合でも、フォルダー アクセスの制御 によって信頼されませんFor example, PowerShell is not trusted by controlled folder access, even if you allow with certificate and file indicators.

フォルダー アクセスの制御は 、Microsoft Defender for Endpointで最適に機能します。これにより、通常のアラート調査シナリオの一環として、フォルダー アクセスの制御イベントとブロックに関する詳細なレポート が提供されますControlled folder access works best with Microsoft Defender for Endpoint, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

ヒント

フォルダー アクセスブロックの制御は、アラート キューにアラートを 生成しないControlled folder access blocks don't generate alerts in the Alerts queue. ただし、高度な検索を使用している間、またはカスタム検出ルールを使用して、デバイスタイムライン ビューでフォルダー アクセス ブロックの制御に関する情報を表示できますHowever, you can view information about controlled folder access blocks in the device timeline view, while using advanced hunting, or with custom detection rules.

フォルダー アクセスの制御方法How does controlled folder access work?

フォルダー アクセスの制御は、信頼できるアプリが保護されたフォルダーにアクセスできるようにすることでのみ機能します。Controlled folder access works by only allowing trusted apps to access protected folders. 保護されたフォルダーは、フォルダー アクセスの制御が構成されている場合に指定されます。Protected folders are specified when controlled folder access is configured. 通常、一般的に使用されるフォルダー (ドキュメント、画像、ダウンロードなど) は、管理フォルダーの一覧に含まれます。Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

フォルダー アクセスの制御は、信頼できるアプリの一覧で機能します。Controlled folder access works with a list of trusted apps. 信頼できるソフトウェアの一覧に含まれるアプリは、期待通り動作します。Apps that are included in the list of trusted software work as expected. リストに含まれていないアプリは、保護されたフォルダー内のファイルに変更を加えません。Apps that are not included in the list are prevented from making any changes to files inside protected folders.

アプリは、その普及率と評判に基づいてリストに追加されます。Apps are added to the list based upon their prevalence and reputation. 組織全体で非常に普及しているアプリで、悪意のあると見なされる動作を一度も表示したことがないアプリは、信頼できると見なされます。Apps that are highly prevalent throughout your organization and that have never displayed any behavior deemed malicious are considered trustworthy. これらのアプリは自動的にリストに追加されます。Those apps are added to the list automatically.

アプリは、Configuration Manager または Intune を使用して、信頼できるリストに手動で追加することもできます。Apps can also be added manually to the trusted list by using Configuration Manager or Intune. アプリのファイル インジケーター の追加 などの追加アクションは、セキュリティ センター コンソールから実行できます。Additional actions, such as adding a file indicator for an app, can be performed from the Security Center Console.

フォルダー アクセスの制御が重要な理由Why controlled folder access is important

フォルダー アクセスの制御は、ドキュメントや情報をランサムウェアから保護する場合に特に役立 ちますControlled folder access is especially useful in helping to protect your documents and information from ransomware. ランサムウェア攻撃では、ファイルが暗号化され、人質に保持される可能性があります。In a ransomware attack, your files can get encrypted and held hostage. フォルダー アクセスを制御すると、アプリが保護されたフォルダー内のファイルに変更を加えたコンピューターに通知が表示されます。With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. 通知は 、会社の詳細 と連絡先情報でカスタマイズできます。You can customize the notification with your company details and contact information. また、ルールを個別に有効にして、機能が監視する手法をカスタマイズすることもできます。You can also enable the rules individually to customize what techniques the feature monitors.

保護 されたフォルダーには、 一般的なシステム フォルダー (ブート セクターを含む) が含まれます。さらにフォルダー を追加できますThe protected folders include common system folders (including boot sectors), and you can add more folders. アプリが 保護されたフォルダー へのアクセス権を与えるのを許可することもできます。You can also allow apps to give them access to the protected folders.

監査モードを 使用して 、フォルダー アクセスが有効になっている場合に組織に与える影響を評価できます。You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. また、テスト グラウンド web サイト Windows Defenderサイト demo.wd.microsoft.com 機能が動作し、動作を確認できます。You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

フォルダー アクセスの制御は、次のバージョンの Windows でサポートされています。Controlled folder access is supported on the following versions of Windows:

Windows システム フォルダーは既定で保護されていますWindows system folders are protected by default

Windows システム フォルダーは、他のいくつかのフォルダーと共に、既定で保護されます。Windows system folders are protected by default, along with several other folders:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

注意

追加のフォルダーを保護として構成できますが、既定で保護されている Windows システム フォルダーは削除できません。You can configure additional folders as protected, but you cannot remove the Windows system folders that are protected by default.

フォルダー アクセスの制御の要件Requirements for controlled folder access

フォルダー アクセスの制御には 、Microsoft Defender ウイルス対策のリアルタイム保護を有効にする必要がありますControlled folder access requires enabling Microsoft Defender Antivirus real-time protection.

Microsoft Defender セキュリティ センターでフォルダー アクセスの制御イベントを確認するReview controlled folder access events in the Microsoft Defender Security Center

Defender for Endpoint は、アラート調査シナリオの一環として、イベントとブロックに関する詳細 なレポートを提供しますDefender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios.

高度な検索を使用して、Microsoft Defender for Endpoint データ を照会できますYou can query Microsoft Defender for Endpoint data by using Advanced hunting. 監査モードを使用している場合は、高度な検索を使用して、フォルダー アクセスの制御設定が有効になっている場合に環境に与える影響を確認できます。If you're using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

クエリ例:Example query:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Windows イベント ビューアーでフォルダー アクセスの制御イベントを確認するReview controlled folder access events in Windows Event Viewer

Windows イベント ログを確認して、コントロールされたフォルダー アクセス ブロック (または監査) アプリで作成されるイベントを確認できます。You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

  1. 評価パッケージ をダウンロードし 、デバイス上 cfa-events.xmlアクセスしやすい 場所にファイルを抽出します。Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.
  2. [ スタート] メニューに 「イベント ビューアー」と入力して、Windows イベント ビューアーを開きます。Type Event viewer in the Start menu to open the Windows Event Viewer.
  3. 左側のパネルの [アクション] で、[ カスタム ビュー のインポート... を選択しますOn the left panel, under Actions, select Import custom view....
  4. 抽出した場所に 移動cfa-events.xml選択 します。Navigate to where you extracted cfa-events.xml and select it. または 、XML を直接コピーしますAlternatively, copy the XML directly.
  5. [OK] をクリックします。Select OK.

次の表に、フォルダー アクセスの制御に関連するイベントを示します。The following table shows events related to controlled folder access:

イベント IDEvent ID 説明Description
50075007 設定が変更された場合のイベントEvent when settings are changed
11241124 監査されたフォルダー アクセス イベントAudited controlled folder access event
11231123 ブロックされたフォルダー アクセス イベントBlocked controlled folder access event

保護されたフォルダーの一覧を表示または変更するView or change the list of protected folders

Windows セキュリティ アプリを使用して、フォルダー アクセスの制御によって保護されているフォルダーの一覧を表示できます。You can use the Windows Security app to view the list of folders that are protected by controlled folder access.

  1. Windows 10 デバイスで、Windows セキュリティ アプリを開きます。On your Windows 10 device, open the Windows Security app.
  2. [ ウイルス対策&を選択しますSelect Virus & threat protection.
  3. [ ランサムウェア保護] で、[ ランサムウェア 保護の管理] を選択しますUnder Ransomware protection, select Manage ransomware protection.
  4. フォルダー アクセスの制御がオフになっている場合は、有効にする必要があります。If controlled folder access is turned off, you'll need to turn it on. 保護 されたフォルダーを選択しますSelect protected folders.
  5. 次のいずれかの手順を実行します。Do one of the following steps:
    • フォルダーを追加するには、[+ 保護 されたフォルダーの追加] を選択しますTo add a folder, select + Add a protected folder.
    • フォルダーを削除するには、フォルダーを選択し、[削除] を 選択しますTo remove a folder, select it, and then select Remove.

注意

Windows システム フォルダーは 既定で保護され、一覧から削除することはできません。Windows system folders are protected by default, and you cannot remove them from the list.

関連項目See also