改ざん防止機能を使用してセキュリティ設定を保護する

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows

改ざん防止は、次のいずれかのバージョンの Windows を実行しているデバイスで使用できます。

  • Windows 11
  • Windows 11 Enterprise multi-session
  • Windows 10
  • Windows 10 Enterprise マルチセッション
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server バージョン 1803 以降
  • Windows Server 2016
  • Windows Server 2012 R2

注意

Windows Server 2012 R2 の改ざん保護は、最新の統合ソリューション パッケージを使用してオンボードされたデバイスで使用できます。 詳細については、「Windows サーバーを Microsoft Defender for Endpoint サービスにオンボードする」を参照してください。

概要

サイバー攻撃の種類によっては、悪いアクターがマシンでウイルス対策保護などのセキュリティ機能を無効にしようとします。 悪意のあるアクターは、データへのアクセスを容易にしたり、マルウェアをインストールしたり、データ、ID、デバイスを悪用したりするために、セキュリティ機能を無効にすることを好みます。 改ざん防止は、このようなことが発生するのを防ぐのに役立ちます。 改ざん防止により、悪意のあるアプリは次のようなアクションを実行できなくなります。

  • ウイルスおよび脅威の保護の無効化
  • リアルタイム保護の無効化
  • 動作の監視の無効化
  • IOfficeAntivirus (IOAV) などのウイルス対策保護を無効にする
  • クラウド配信の保護の無効化
  • セキュリティ インテリジェンスの更新プログラムの削除
  • 検出された脅威に対する自動アクションを無効にする
  • Windows セキュリティ アプリでの通知の抑制
  • アーカイブファイルとネットワーク ファイルのスキャンを無効にする

メカニズム

改ざん防止は、基本的に Microsoft Defender ウイルス対策をセキュリティで保護された既定値にロックし、次のようなアプリや方法を使用してセキュリティ設定が変更されないようにします。

  • Windows デバイスのレジストリ エディターで設定を構成する
  • PowerShell コマンドレットを使用した設定の変更
  • グループ ポリシーを使用したセキュリティ設定の編集または削除

改ざん防止では、セキュリティ設定を表示できません。 また、改ざん防止は、Microsoft 以外のウイルス対策アプリがWindows セキュリティ アプリに登録する方法には影響しません。 組織で Windows 10 Enterprise E5 を使用している場合、個々のユーザーは改ざん防止設定を変更できません。そのような場合、改ざん保護はセキュリティ チームによって管理されます。

目的に合ったトピックをクリックしてください

このタスクを実行するには... このセクションを参照してください。..
テナント全体の改ざん保護を管理する

Microsoft 365 Defender ポータルを使用して改ざん防止を有効または無効にする

 Microsoft 365 Defenderを使用して組織の改ざん防止を管理する
組織内の改ざん防止設定を微調整する

改ざん防止を有効または無効にするには、Intune (Microsoft エンドポイント マネージャー) を使用します。 この方法を使用して、一部またはすべてのユーザーの改ざん防止を構成できます。

 Microsoft エンドポイント マネージャーを使用して組織の改ざん防止を管理する
Configuration Managerを使用して組織の改ざん防止をオン (またはオフ) にする Configuration Managerバージョン 2006 でテナントアタッチを使用して組織の改ざん保護を管理する
個々のデバイスの改ざん防止をオン (またはオフ) にする 個々のデバイスで改ざん防止を管理する
デバイスでの改ざんの試行に関する詳細を表示する 改ざんの試行に関する情報を表示する
セキュリティに関する推奨事項を確認する セキュリティに関する推奨事項を確認する
よく寄せられる質問の一覧 (FAQ) を確認する FAQ を参照する

クラウド保護に対する潜在的な依存関係

改ざん防止を有効にするために使用する方法または管理ツールによっては、 クラウド配信保護 に依存している場合があります。クラウド配信保護は、クラウド保護または Microsoft Advanced Protection Service (MAPS) とも呼ばれます。

次の表に、メソッド、ツール、依存関係の詳細を示します。

改ざん防止を有効にする方法 クラウド保護への依存
Microsoft Intune いいえ
テナントアタッチを使用した Microsoft Endpoint Configuration Manager いいえ
Microsoft 365 Defender ポータル (https://security.microsoft.com) 必要

Microsoft 365 Defender ポータルを使用して組織の改ざん防止を管理する

改ざん防止は、Microsoft 365 Defender ポータル (https://security.microsoft.com) を使用して、テナントに対して有効または無効にすることができます。 注意すべき点をいくつか次に示します。

  • 現在、新しいデプロイでは、Microsoft 365 Defender ポータルで改ざん防止を管理するオプションが既定でオンになっています。 既存のデプロイの場合、改ざん保護はオプトインベースで利用できます。 オプトインするには、Microsoft 365 Defender ポータルで、[Settings Endpoints Advanced features Tamper protection] (エンドポイントの>高度な機能 > の改ざん防止****の設定) > を選択します。
  • Microsoft 365 Defender ポータルを使用して改ざん防止を管理する場合は、Intuneまたはテナント接続方法を使用する必要はありません。
  • Microsoft 365 Defender ポータルで改ざん防止を管理すると、テナント全体に設定が適用され、Windows 10、Windows 10 Enterpriseマルチセッション、Windows 11、Windows 11 Enterpriseを実行しているすべてのデバイスに影響します。 マルチセッション、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 または Windows Server 2022。 改ざん防止を微調整するには (一部のデバイスでは改ざん保護をオンにし、他のデバイスでは改ざん防止をオンにするなど)、Microsoft エンドポイント マネージャーまたはテナントアタッチConfiguration Managerを使用します。
  • ハイブリッド環境がある場合、Intuneで構成された改ざん防止設定は、Microsoft 365 Defender ポータルで構成された設定よりも優先されます。

Microsoft 365 Defender ポータルで改ざん防止を管理するための要件

  • グローバル管理者、セキュリティ管理者、セキュリティ操作など、適切な アクセス許可 が割り当てられている必要があります。

  • Windows デバイスは、次のいずれかのバージョンの Windows を実行している必要があります。

    • Windows 11
    • Windows 11 Enterprise multi-session
    • Windows 10
    • Windows 10 Enterprise マルチセッション
    • Windows Server 2022
    • Windows Server 2019
    • Windows Server バージョン 1803 以降
    • Windows Server 2016
    • Windows Server 2012 R2

リリースの詳細については、リリース情報Windows 10参照してください。

注意

Microsoft 365 Defender ポータルを使用して改ざん保護を有効にすると、改ざん防止の有効な状態を制御できるように、クラウド配信の保護が必要になります。
2021 年 11 月の更新プログラム (プラットフォーム バージョン4.18.2111.5) 以降、デバイスに対してクラウド配信保護が有効にされておらず、Microsoft 365 Defender ポータルで改ざん防止が有効になっている場合、改ざん防止と共にそのデバイスに対してクラウド配信保護が自動的に有効になります。

Microsoft 365 Defender ポータルで改ざん防止をオン (またはオフ) にする

Microsoft 365 Defender ポータルで改ざん防止を有効にする

  1. Microsoft 365 Defender ポータル (https://security.microsoft.com) に移動してサインインします。

  2. [設定エンドポイント] を>選択 します

  3. 一般的 > な高度な機能 に移動し、改ざん防止を有効にします。

Microsoft エンドポイント マネージャーを使用して組織の改ざん防止を管理する

組織で Microsoft エンドポイント マネージャー (MEM) を使用している場合は、Microsoft エンドポイント マネージャー管理センター () で組織の改ざん防止をオン (https://endpoint.microsoft.comまたはオフ) にすることができます。 改ざん防止設定を微調整する場合は、Intuneを使用します。 たとえば、一部のデバイスで改ざん防止を有効にする場合は、すべてではなく、Intuneを使用します。

エンドポイント マネージャーで改ざん防止を管理するための要件

Microsoft エンドポイント マネージャーで改ざん防止をオン (またはオフ) にする

Intuneで改ざん防止を有効にする

  1. Microsoft エンドポイント マネージャー管理センターで、エンドポイント セキュリティ > ウイルス対策 に移動し、[+ ポリシーの作成] を選択します。

    • [プラットフォーム] ボックスの一覧 で、Windows 10以降を 選択します。
    • [プロファイル] ボックスの一覧 で、[Windows セキュリティエクスペリエンス] を選択します。

  2. 次の設定を含むプロファイルを作成します。

    • 改ざん防止を有効にして Microsoft Defender が無効にならないようにする: 有効にする

  3. プロファイルを 1 つ以上のグループに割り当てます。

Configuration Managerバージョン 2006 で組織の改ざん保護を管理する

バージョン 2006 のConfiguration Managerを使用している場合は、Windows 10、Windows 10 Enterpriseマルチセッション、Windows 11、Windows 11 Enterpriseマルチセッションで改ざん防止設定を管理できます。テナントアタッチ と呼ばれるメソッドを使用して、R2、Windows Server 2016、Windows Server 2019、Windows Server 2022 をWindows Server 2012します。 テナント接続を使用すると、オンプレミス専用のConfiguration Manager デバイスを Microsoft エンドポイント マネージャー管理センターに同期し、エンドポイント セキュリティ構成ポリシーをオンプレミス コレクション&デバイスに配信できます。

注意

この手順を使用すると、Windows 10、Windows 10 Enterprise マルチセッション、Windows 11、Windows 11 Enterprise マルチセッション、Windows Server 2019、Windows Server 2022 を実行しているデバイスに改ざん防止を拡張できます。 この手順で説明されているリソースの前提条件とその他の情報を確認してください。 最新の統合ソリューション バージョン 2203 を実行する Windows Server 2012 R2 では、Configuration Managerが必要です。

  1. テナントアタッチを設定します。 詳細については、「 はじめに: 管理センターからエンドポイント セキュリティ ポリシーを作成してデプロイする」を参照してください

  2. Microsoft エンドポイント マネージャー管理センターで、エンドポイント セキュリティ > ウイルス対策 に移動し、[+ ポリシーの作成] を選択します。

    • プラットフォーム の一覧で、Windows 10、Windows 11、Windows Server (ConfigMgr) を選択します。
    • プロファイル の一覧で、Windows セキュリティエクスペリエンス (プレビュー) を選択します。

  3. デバイス コレクションにポリシーを展開します。

このメソッドに関するヘルプが必要ですか?

以下のリソースを参照してください。

個々のデバイスで改ざん防止を管理する

注意

改ざん防止は、レジストリを介して Microsoft Defender ウイルス対策の設定を変更しようとする試みをブロックします。 改ざん防止が、これらの設定を変更する Microsoft 以外のセキュリティ製品やエンタープライズ インストール スクリプトに干渉しないようにするには、Windows セキュリティ に移動し、セキュリティ インテリジェンス をバージョン 1.287.60.0 以降に更新します。 ( セキュリティ インテリジェンスの更新プログラムを参照してください。)この更新プログラムを実行すると、改ざん防止によってレジストリ設定が保護され続け、ログはエラーを返さずに変更を試みます。

ホーム ユーザーであるか、セキュリティ チームによって管理されている設定の対象になっていない場合は、Windows セキュリティ アプリを使用して改ざん防止を管理できます。 改ざん防止などのセキュリティ設定を変更するには、デバイスに対する適切な管理者アクセス許可が必要です。

Windows セキュリティ アプリに表示される内容は次のとおりです。

Windows 10 Homeで改ざん防止を有効にする

  1. [スタート] を 選択し、セキュリティの入力を開始 します。 検索結果で [Windows セキュリティ] を選択します。

  2. [ウイルス&脅威対策 のウイルス>&脅威の保護設定] を選択します

  3. [改ざん防止**] を [オン] または [オフ] に** 設定 します

R2、2016、または Windows バージョン 1709、1803、または 1809 Windows Server 2012使用していますか?

最新の統合ソリューション、Windows Server 2016、Windows 10 バージョン 1709、1803、または 1809 を使用して Windows Server 2012 R2 を使用している場合、Windows セキュリティ アプリに 改ざん防止 は表示されません。 代わりに、PowerShell を使用して、改ざん保護が有効になっているかどうかを判断できます。

Windows Server 2016では、改ざん防止が有効になっている場合、設定アプリはリアルタイム保護の状態を正確に反映しません。

PowerShell を使用して、改ざん防止とリアルタイム保護が有効になっているかどうかを判断する

  1. Windows PowerShell アプリを開きます。

  2. Get-MpComputerStatus PowerShell コマンドレットを使用します。

  3. 結果の一覧で、 IsTamperProtected 検索または検索します RealTimeProtectionEnabled。 ( true の値は、改ざん保護が有効になっていることを意味します)。

改ざんの試行に関する情報を表示する

改ざんの試行は、通常、より大きなサイバー攻撃を示しています。 不適切なアクターは、セキュリティ設定を永続化して検出され続ける方法として変更しようとします。 組織のセキュリティ チームの一員である場合は、そのような試行に関する情報を表示し、脅威を軽減するための適切なアクションを実行できます。

改ざんの試行が検出されると、Microsoft 365 Defender ポータル (https://security.microsoft.com) でアラートが発生します。

Microsoft Defender for Endpointでエンドポイントの検出と応答高度な捜索機能を使用して、セキュリティ運用チームはそのような試みを調査して対処できます。

セキュリティに関する推奨事項を確認する

改ざん防止は 、脅威&脆弱性管理機能 と統合されます。 セキュリティに関する推奨事項には、 改ざん防止が有効になっていることを確認することが含まれます。 たとえば、 改ざん を検索できます。 結果で、[ 改ざん防止を有効にする] を選択して詳細を確認し、有効にすることができます。

脅威&脆弱性管理の詳細については、「ダッシュボードの分析情報 - 脅威と脆弱性の管理」を参照してください。

よく寄せられる質問

改ざん防止を構成できる Windows のバージョンはどれですか?

テナント接続で Configuration Manager バージョン 2006 を使用している場合は、改ざん防止を Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022 に拡張できます。 「 テナントのアタッチ: 管理センターからエンドポイント セキュリティウイルス対策ポリシーを作成して展開する (プレビュー)」を参照してください。

改ざん防止は、Windows セキュリティ アプリでの Microsoft 以外のウイルス対策登録に影響しますか?

いいえ。 Microsoft 以外のウイルス対策オファリングは、引き続きWindows セキュリティ アプリケーションに登録されます。

デバイスで Microsoft Defender ウイルス対策がアクティブでない場合はどうなりますか?

Microsoft Defender for Endpointにオンボードされているデバイスでは、Microsoft Defender ウイルス対策がパッシブ モードで実行されます。 このような場合、改ざん保護は引き続きサービスとその機能を保護します。

改ざん防止操作方法オンまたはオフにしますか?

ホーム ユーザーの場合は、「個々の デバイスで改ざん防止を管理する」を参照してください

Microsoft Defender for Endpointを使用している組織の場合は、他のエンドポイント保護機能を管理する方法と同様に、Intuneで改ざん防止を管理できる必要があります。 この記事の次のセクションを参照してください。

Intuneで改ざん防止を構成すると、グループ ポリシーを使用して Microsoft Defender ウイルス対策を管理する方法にどのような影響がありますか?

現在Intuneを使用して改ざん防止を構成および管理している場合は、Intuneを引き続き使用する必要があります。

グループ ポリシーは改ざん防止には適用されません。 グループ ポリシーを使用して Microsoft Defender ウイルス対策設定に加えられた変更は、改ざん防止が有効になっている場合、または改ざん防止がIntuneで構成されている場合は無視されます。

改ざん防止を構成するためにMicrosoft Intuneを使用する場合、組織全体にのみ適用されますか?

Intuneを使用して改ざん防止を柔軟に構成できます。 組織全体を対象にすることも、特定のデバイスとユーザー グループを選択することもできます。

Microsoft Endpoint Configuration Managerで改ざん防止を構成できますか?

テナント接続を使用している場合は、Microsoft Endpoint Configuration Managerを使用できます。 以下のリソースを参照してください。

Windows E3 登録があります。 Intuneで改ざん防止の構成を使用できますか?

現在、Intuneでの改ざん保護の構成は、Microsoft Defender for Endpointをお持ちのお客様のみが使用できます。

私はエンタープライズ顧客です。 ローカル管理者は、デバイスの改ざん保護を変更できますか?

いいえ。 ローカル管理者は、改ざん防止設定を変更または変更できません。

デバイスがMicrosoft Defender for Endpointでオンボードされ、オフボード状態になった場合はどうなりますか?

デバイスがMicrosoft Defender for Endpointからオフボードされている場合は、改ざん防止が有効になります。これは非管理対象デバイスの既定の状態です。

改ざん防止の状態が変更された場合、Microsoft 365 Defender ポータルにアラートが表示されますか?

はい。 アラートは [アラート] に https://security.microsoft.com 表示 されます

セキュリティ運用チームは、次の例のようなハンティング クエリを使用することもできます。

AlertInfo|where Title == "Tamper Protection bypass"

改ざんの試行に関する情報を表示します

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

関連項目