フォルダーへのアクセス制御で重要なフォルダーを保護する

  • [アーティクル]

適用対象:

適用対象

  • Windows

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

フォルダー アクセスの制御とは何ですか?

フォルダー アクセスの制御は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダー アクセスの制御は、既知の信頼できるアプリの一覧に対してアプリをチェックすることで、データを保護します。 Windows Server 2019、Windows Server 2022、Windows 10、およびWindows 11 クライアントでサポートされているフォルダー アクセスの制御は、Windows セキュリティ アプリ、Microsoft エンドポイント Configuration Manager、またはIntune (マネージド デバイスの場合) を使用して有効にすることができます。

注意

スクリプト エンジンは信頼されておらず、制御された保護されたフォルダーへのアクセスを許可することはできません。 たとえば、 証明書とファイルインジケーターを使用して許可する場合でも、PowerShell はフォルダー アクセスの制御によって信頼されません。

フォルダー アクセスの制御はMicrosoft Defender for Endpointに最適です。これにより、通常のアラート調査シナリオの一環として、フォルダー アクセスの制御イベントとブロックに関する詳細なレポートが提供されます。

ヒント

フォルダー アクセス ブロックが制御されている場合、 アラート はアラート キューに生成されません。 ただし、 デバイスのタイムライン ビューで、 高度な捜索カスタム検出ルールを使用して、制御されたフォルダー アクセス ブロックに関する情報を表示できます。

フォルダー アクセスの制御はどのように機能しますか?

フォルダー アクセスの制御は、信頼されたアプリが保護されたフォルダーにアクセスできるようにするだけで機能します。 保護されたフォルダーは、フォルダー アクセスの制御が構成されている場合に指定されます。 通常、ドキュメント、画像、ダウンロードなどに使用されるフォルダーなど、一般的に使用されるフォルダーは、制御されたフォルダーの一覧に含まれます。

フォルダー アクセスの制御は、信頼されたアプリの一覧で機能します。 信頼されたソフトウェアの一覧に含まれるアプリは、期待どおりに動作します。 一覧に含まれていないアプリは、保護されたフォルダー内のファイルに変更を加えることができなくなります。

アプリは、その普及率と評判に基づいて一覧に追加されます。 組織全体で非常に一般的であり、悪意があると見なされる動作を表示したことがないアプリは、信頼できるものと見なされます。 これらのアプリは自動的に一覧に追加されます。

アプリは、Configuration ManagerまたはIntuneを使用して、信頼できるリストに手動で追加することもできます。 追加のアクションは、Microsoft 365 Defender ポータルから実行できます。

フォルダー アクセスの制御が重要な理由

フォルダー アクセスの制御は、 ランサムウェアからドキュメントや情報を保護するのに特に役立ちます。 ランサムウェア攻撃では、ファイルが暗号化され、人質に保持される可能性があります。 フォルダーへのアクセスを制御すると、アプリが保護されたフォルダー内のファイルに変更を加えようとしたコンピューターに通知が表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。 個別のルールを有効にすることで、この機能が監視するテクニックをカスタマイズすることもできます。

保護されたフォルダーには、共通のシステム フォルダー (ブート セクターを含む) が含まれており、さらにフォルダーを追加できます。 また、保護されたフォルダーへのアクセス権を アプリ に付与することもできます。

監査モードを使用して、フォルダー アクセスが有効になっている場合に組織に与える影響を評価できます。

フォルダー アクセスの制御は、次のバージョンの Windows でサポートされています。

Windows システム フォルダーは既定で保護されています

Windows システム フォルダーは、既定で他のいくつかのフォルダーと共に保護されます。

保護されたフォルダーには、共通のシステム フォルダー (ブート セクターを含む) が含まれており、追加のフォルダーを追加できます。 また、保護されたフォルダーへのアクセス権をアプリに付与することもできます。 既定で保護されている Windows システム フォルダーは次のとおりです。

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

既定のフォルダーは、ユーザーのプロファイルの [ この PC] の下に表示されます。

保護された Windows の既定のシステム フォルダー

注意

追加のフォルダーは保護済みとして構成できますが、既定で保護されている Windows システム フォルダーは削除できません。

フォルダー アクセスの制御に関する要件

フォルダー アクセスを制御するには、 Microsoft Defender ウイルス対策のリアルタイム保護を有効にする必要があります。

Microsoft 365 Defender ポータルで制御されたフォルダー アクセス イベントを確認する

Defender for Endpoint は、Microsoft 365 Defender ポータルのアラート調査シナリオの一部として、イベントとブロックに対する詳細なレポートを提供します。Microsoft 365 DefenderのMicrosoft Defender for Endpointを参照してください。

高度な捜索を使用して、Microsoft Defender for Endpoint データに対してクエリを実行できます。 監査モードを使用している場合は、高度な検索を使用して、フォルダー アクセス設定が有効になっている場合に、フォルダー アクセス設定が環境にどのような影響を与えるかを確認できます。

クエリ例:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Windows イベント ビューアーで制御されたフォルダー アクセス イベントを確認する

Windows イベント ログを確認して、フォルダー アクセス ブロックの制御 (または監査) 時にアプリが作成されるイベントを確認できます。

  1. 評価パッケージをダウンロードし、デバイス上の簡単にアクセスできる場所にファイル cfa-events.xml を抽出します。
  2. [スタート] メニューに 「イベント ビューアー」と入力して、Windows イベント ビューアーを開きます。
  3. 左側のパネルの [ アクション] で、[ カスタム ビューのインポート]... を選択します。
  4. cfa-events.xml 抽出した場所に移動し、選択します。 または、 XML を直接コピーします
  5. [OK] を選択します。

次の表は、フォルダー アクセスの制御に関連するイベントを示しています。



イベント ID 説明
5007 設定が変更された場合のイベント
1124 監査されたフォルダー アクセスの制御イベント
1123 ブロックされたフォルダー アクセス イベント

保護されたフォルダーの一覧を表示または変更する

Windows セキュリティ アプリを使用すると、制御されたフォルダー アクセスによって保護されているフォルダーの一覧を表示できます。

  1. Windows 10またはWindows 11デバイスで、Windows セキュリティ アプリを開きます。
  2. [ウイルスと脅威の防止] を選択します。
  3. [ ランサムウェア保護] で、[ ランサムウェア保護の管理] を選択します。
  4. フォルダーアクセスの制御がオフになっている場合は、オンにする必要があります。 保護されたフォルダーを選択します
  5. 次のいずれかの手順を実行します。
    • フォルダーを追加するには、[ + 保護されたフォルダーの追加] を選択します。
    • フォルダーを削除するには、フォルダーを選択し、[削除] を選択 します

注意

Windows システム フォルダー は既定で保護されており、一覧から削除することはできません。