フォルダーへのアクセス制御で重要なフォルダーを保護する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

フォルダー アクセスの制御とは

フォルダー アクセスの制御により、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護できます。 フォルダー アクセスの制御により、既知の信頼できるアプリの一覧に対してアプリをチェックすることで、データを保護します。 Windows Server 2019、Windows Server 2022、Windows 10、および Windows 11 クライアントでサポートされている場合、Windows セキュリティ アプリを使用してフォルダー アクセスの制御を有効にできます。Microsoft Endpoint Configuration Manager Intune (管理対象デバイスの場合)。

注意

スクリプト エンジンは信頼されていないので、制御された保護されたフォルダーへのアクセスを許可することはできません。 たとえば、PowerShell は、証明書とファイルインジケーターで許可されている場合でも、フォルダー アクセスの制御 によって信頼されません

フォルダー アクセスの制御は 、Microsoft Defender for Endpointで最適に機能します。これにより、通常のアラート調査シナリオの一環として、フォルダー アクセスの制御イベントとブロックに関する詳細なレポート が提供されます

ヒント

フォルダー アクセスブロックの制御は、アラート キューにアラートを 生成しない。 ただし、高度な検索を使用している間、またはカスタム検出ルールを使用して、デバイスタイムライン ビューでフォルダー アクセス ブロックの制御に関する情報を表示できます

フォルダー アクセスの制御方法

フォルダー アクセスの制御は、信頼できるアプリが保護されたフォルダーにアクセスできるようにすることでのみ機能します。 保護されたフォルダーは、フォルダー アクセスの制御が構成されている場合に指定されます。 通常、一般的に使用されるフォルダー (ドキュメント、画像、ダウンロードなど) は、管理フォルダーの一覧に含まれます。

フォルダー アクセスの制御は、信頼できるアプリの一覧で機能します。 信頼できるソフトウェアの一覧に含まれるアプリは、期待通り動作します。 リストに含まれていないアプリは、保護されたフォルダー内のファイルに変更を加えません。

アプリは、その普及率と評判に基づいてリストに追加されます。 組織全体で非常に普及しているアプリで、悪意のあると見なされる動作を一度も表示したことがないアプリは、信頼できると見なされます。 これらのアプリは自動的にリストに追加されます。

アプリは、Configuration Manager または Intune を使用して、信頼できるリストに手動で追加することもできます。 追加のアクションは、ポータルからMicrosoft 365 Defenderできます。

フォルダー アクセスの制御が重要な理由

フォルダー アクセスの制御は、ドキュメントや情報をランサムウェアから保護する場合に特に役立 ちます。 ランサムウェア攻撃では、ファイルが暗号化され、人質に保持される可能性があります。 フォルダー アクセスを制御すると、アプリが保護されたフォルダー内のファイルに変更を加えたコンピューターに通知が表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。 個別のルールを有効にすることで、この機能が監視するテクニックをカスタマイズすることもできます。

保護 されたフォルダーには、 一般的なシステム フォルダー (ブート セクターを含む) が含まれます。さらにフォルダー を追加できます。 アプリが 保護されたフォルダー へのアクセス権を与えるのを許可することもできます。

監査モードを 使用して 、フォルダー アクセスが有効になっている場合に組織に与える影響を評価できます。 また、テスト グラウンド web サイトWindows Defenderサイトdemo.wd.microsoft.com 機能が動作し、動作を確認できます。

フォルダー アクセスの制御は、次のバージョンのフォルダーでサポートWindows。

Windowsシステム フォルダーは既定で保護されています

Windowsシステム フォルダーは、既定で保護され、他のいくつかのフォルダーと共に保護されます。

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

注意

追加のフォルダーを保護として構成できますが、既定で保護Windowsシステム フォルダーを削除することはできません。

フォルダー アクセスの制御の要件

フォルダー アクセスの制御には、リアルタイムMicrosoft Defender ウイルス対策を有効にする必要があります

管理されたフォルダー アクセス イベントを Microsoft 365 Defenderする

Defender for Endpoint は、イベントとブロックに関する詳細なレポートを、イベント ポータルのアラート調査シナリオの一部Microsoft 365 Defenderします。 (「Microsoft Defender for Endpoint in Microsoft 365 Defender」を参照してください。

高度な検索を使用して、Microsoft Defender for Endpoint データ を照会できます。 監査モードを使用している場合は、高度な検索を使用して、フォルダー アクセスの制御設定が有効になっている場合に環境に与える影響を確認できます。

クエリ例:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

イベント ビューアーで管理されたフォルダー アクセス イベントWindows確認する

次のイベント ログWindows確認して、フォルダー アクセス ブロック (または監査) の制御時に作成されるイベントをアプリで確認できます。

  1. 評価パッケージ をダウンロードし 、デバイス上 cfa-events.xmlアクセスしやすい 場所にファイルを抽出します。
  2. [イベント ビューアー] と入力スタート メニューイベント ビューアー Windows開きます。
  3. 左側のパネルの [アクション] で、[ カスタム ビュー のインポート... を選択します
  4. 抽出した場所に 移動cfa-events.xml選択 します。 または 、XML を直接コピーします
  5. [OK] を選択します。

次の表に、フォルダー アクセスの制御に関連するイベントを示します。



イベント ID 説明
5007 設定が変更された場合のイベント
1124 監査されたフォルダー アクセス イベント
1123 ブロックされたフォルダー アクセス イベント

保護されたフォルダーの一覧を表示または変更する

Windows セキュリティアプリを使用して、フォルダー アクセスの制御によって保護されているフォルダーの一覧を表示できます。

  1. 11 Windows 10または Windows 11 デバイスで、アプリを開Windows セキュリティします。
  2. [ウイルスと脅威の防止] を選択します。
  3. [ ランサムウェア保護] で、[ ランサムウェア 保護の管理] を選択します
  4. フォルダー アクセスの制御がオフになっている場合は、有効にする必要があります。 保護 されたフォルダーを選択します
  5. 次のいずれかの手順を実行します。
    • フォルダーを追加するには、[+ 保護 されたフォルダーの追加] を選択します
    • フォルダーを削除するには、フォルダーを選択し、[削除] を 選択します

注意

Windowsシステム フォルダーは既定で保護され、一覧から削除することはできません。