改ざん防止機能を使用してセキュリティ設定を保護する

適用対象:

タンパープロテクションは、次のバージョンのデバイスを実行しているデバイスWindows。

  • Windows 10
  • Windows Server 2019
  • Windows Server 2022
  • Windowsサーバー、バージョン 1803 以降
  • Windows Server 2016
  • Windows Server 2012 R2

概要

一部の種類のサイバー攻撃では、悪いアクターがコンピューターでウイルス対策保護などのセキュリティ機能を無効にしようとします。 悪いアクターは、データに簡単にアクセスしたり、マルウェアをインストールしたり、データ、ID、デバイスを悪用したりするために、セキュリティ機能を無効にしています。 タンパープロテクションは、このような事態が発生するのを防ぐのに役立ちます。

タンパープロテクションを使用すると、悪意のあるアプリは次のようなアクションを実行できます。

  • ウイルスおよび脅威の保護の無効化
  • リアルタイム保護の無効化
  • 動作の監視の無効化
  • ウイルス対策(IOfficeAntivirus (IOAV) など) の無効化
  • クラウド配信の保護の無効化
  • セキュリティ インテリジェンスの更新プログラムの削除

しくみ

タンパープロテクションMicrosoft Defender ウイルス対策セキュリティで保護された既定値にロックされ、次のようなアプリやメソッドを介してセキュリティ設定が変更されるのを防ぐ。

  • デバイスのレジストリ エディターで設定Windowsする
  • PowerShell コマンドレットによる設定の変更
  • グループ ポリシーによるセキュリティ設定の編集または削除

改ざん防止では、セキュリティ設定を表示できない場合があります。 また、改ざん防止は、Microsoft 以外のウイルス対策アプリがアプリに登録する方法Windows セキュリティではありません。 組織が E5 のWindows 10 Enterprise場合、個々のユーザーは改ざん防止の設定を変更できます。このような場合、改ざん防止はセキュリティ チームによって管理されます。

目的に合ったトピックをクリックしてください



このタスクを実行するには... このセクションを参照してください。
テナント全体の改ざん防止を管理する

改ざん防止Microsoft 365 Defenderオンまたはオフにする場合は、ポータルポータルを使用します。

管理者を使用して組織の改ざん防止を管理Microsoft 365 Defender
組織内の改ざん防止設定を微調整する

Intune (Microsoft エンドポイント マネージャー) を使用して、タンパープロテクションのオンとオフを切り替えます。 この方法では、一部またはすべてのユーザーに対して改ざん防止を構成できます。

Intune を使用して組織の改ざん防止を管理する
Configuration Manager を使用して組織の改ざん防止を有効 (または無効にする) Configuration Manager バージョン 2006 でテナント接続を使用して組織の改ざん防止を管理する
個々のデバイスのタンパープロテクションをオン (またはオフ) にする 個々のデバイスで改ざん防止を管理する
デバイスでの改ざんの試みについての詳細を表示する 改ざんの試行に関する情報を表示する
セキュリティに関する推奨事項を確認する セキュリティに関する推奨事項を確認する
よく寄せられる質問 (FAQ) の一覧を確認する FAQ を参照する

タンパープロテクションを有効にするために使用する方法や管理ツールによっては、クラウドによる保護に依存している可能性があります。

次の表に、メソッド、ツール、依存関係の詳細を示します。



タンパープロテクションを有効にする方法 クラウドによる保護への依存 (MAPS)
Microsoft Intune いいえ
Microsoft Endpoint Configuration Manager + テナント接続 いいえ
Microsoft 365 Defender ポータル ( https://security.microsoft.com ) はい

ポータルを使用して組織の改ざん防止をMicrosoft 365 Defenderする

タンパープロテクションは、ポータル () を使用してテナントに対Microsoft 365 Defenderまたはオフにできます https://security.microsoft.com 。 以下に注意点を示します。

  • 現時点では、新しい展開では、Microsoft 365 Defenderでタンパープロテクションを管理するオプションがオンになっています。 既存の展開では、改ざん防止はオプトインベースで利用できます。 オプトインするには、ポータルの [エンドポイントMicrosoft 365 Defender機能の改ざん防止設定 > > > 選択します

  • 改ざん防止を管理Microsoft 365 Defenderポータルを使用する場合は、Intune またはテナント接続方法を使用する必要があります。

  • Microsoft Defender セキュリティ センター でタンパープロテクションを管理すると、この設定はテナント全体に適用され、Windows 10、Windows Server 2012 R2、Windows Server 2016、Windows を実行しているすべてのデバイスに影響を与WindowsServer 2019 または Windows Server 2022。 タンパープロテクションを微調整するには (一部のデバイスではタンパープロテクションをオンにし、他のデバイスではオフにするなど )、Intune または Configuration Manager をテナント接続で 使用します

  • ハイブリッド環境がある場合、Intune で構成されたタンパープロテクション設定は、ポータルで構成された設定よりも優先Microsoft 365 Defenderされます。

ポータルでの改ざん防止の管理Microsoft 365 Defender要件

リリースの詳細については、「リリース情報Windows 10参照してください

タンパープロテクションをオンまたはオフにする (または無効にする) Microsoft 365 Defenderポータル

ポータルで改ざん防止を有効Microsoft 365 Defenderします。

  1. ポータル ( ) にMicrosoft 365 Defenderサインイン https://security.microsoft.com します。

  2. [エンドポイント設定 > を選択します

  3. [全般高度 > 機能] に移動 し、タンパープロテクションを有効にしてください。

Intune を使用して組織の改ざん防止を管理する

組織のセキュリティ チームの一員であり、サブスクリプションにIntuneが含まれる場合は、Microsoft エンドポイント マネージャー 管理センター ( ) で組織の改ざん防止をオン (またはオフ) にできます https://endpoint.microsoft.com 。 タンパープロテクションの設定を微調整する場合は、Intune を使用します。 たとえば、一部のデバイスでタンパープロテクションを有効にするが、すべてではない場合は、Intune を使用します。

Intune でタンパープロテクションを管理するための要件

Intune でタンパープロテクションをオン (またはオフ) にする

Intune で改ざん防止を有効にする。

  1. 管理センターのMicrosoft エンドポイント マネージャーに移動し、サインインします。

  2. [ デバイス > 構成プロファイル] を選択します

  3. 次の設定を含むプロファイルを作成します。

    • プラットフォーム: Windows 10以降
    • プロファイルの種類: エンドポイント保護
    • カテゴリ: Microsoft 365 Defender
    • タンパープロテクション: 有効
  4. プロファイルを 1 つ以上のグループに割り当てる。

バージョン 1709 Windows Server 2016 1803、または 1809 Windowsバージョンを使用していますか?

Windows Server 2016、Windows 10 バージョン 1709、1803、または 1809を使用している場合は、Windows セキュリティ アプリにタンパープロテクションが表示されます。 代わりに、PowerShell を使用して、改ざん防止が有効になっているかどうかを判断できます。

このWindows Server 2016、設定保護が有効になっていると、リアルタイム保護の状態が正確に反映されません。

PowerShell を使用して、タンパープロテクションとリアルタイム保護が有効になっているかどうかを判断する

  1. アプリを開Windows PowerShellします。

  2. Get-MpComputerStatus PowerShell コマンドレットを使用します。

  3. 結果の一覧で、またはを IsTamperProtected 探します RealTimeProtectionEnabled 。 (true の値は 、改 ざん防止が有効になっているという意味です。

Configuration Manager バージョン 2006 で組織の改ざん防止を管理する

Configuration Manager のバージョン2006を使用している場合は、テナント接続というメソッドを使用して、Windows 10、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022 のタンパープロテクション設定を管理できます。 テナント接続を使用すると、オンプレミス専用の Configuration Manager デバイスを Microsoft エンドポイント マネージャー 管理センターに同期し、エンドポイント セキュリティ構成ポリシーを & デバイスのオンプレミス コレクションに配信できます。

注意

この手順を使用すると、改ざん防止を、Windows 10、Windows Server 2019、および Windows Server 2022 を実行するデバイスに拡張できます。 この手順で説明されているリソースの前提条件と他の情報を必ず確認してください。

  1. テナント接続を設定します。 詳細については、「テナント接続Microsoft エンドポイント マネージャー:デバイスの同期とデバイスの操作」を参照してください

  2. 管理センター [でMicrosoft エンドポイント マネージャーエンドポイント セキュリティ ウイルス対策] に移動し、[+ ポリシーの作成 > ] を選択します

    • [プラットフォーム ] ボックスの 一覧で、[Windows 10] Windows (ConfigMgr) を選択します
    • [プロファイル]ボックスの 一覧で、[Windows セキュリティ エクスペリエンス (プレビュー) を選択します
  3. デバイス コレクションにポリシーを展開します。

このメソッドのヘルプが必要ですか?

以下のリソースを参照してください。

個々のデバイスで改ざん防止を管理する

注意

タンパープロテクション ブロックは、レジストリMicrosoft Defender ウイルス対策設定を変更します。

改ざん防止が Microsoft 以外のセキュリティ製品や、これらの設定を変更するエンタープライズ インストール スクリプトを妨げないよう 、Windows セキュリティ に移動し、セキュリティ インテリジェンスをバージョン 1.287.60.0 以降に更新します。 (「セキュリティ インテリジェンスの更新プログラム」を参照してください。

この更新プログラムを作成すると、改ざん防止はレジストリ設定を保護し続け、ログはエラーを返さずに変更を試みる。

ホーム ユーザーである場合、またはセキュリティ チームが管理する設定の対象ではない場合は、Windows セキュリティ アプリを使用して改ざん防止を管理できます。 改ざん防止などのセキュリティ設定を変更するには、デバイスに適切な管理者アクセス許可が必要です。

アプリに表示されるWindows セキュリティします。

タンパープロテクションは、Windows 10 Home。

  1. [スタート ] を選択 し、[セキュリティ] の入力 を開始します。 検索結果で、[検索] を Windows セキュリティ します。

  2. [ ウイルス対策&ウイルス > 対策] を選択&の設定を選択します

  3. タン パープロテクションを On または Off に 設定します

改ざんの試行に関する情報を表示する

改ざんの試みは、通常、より大きなサイバー攻撃を示します。 悪いアクターは、セキュリティ設定を変更して、検出されない状態を維持します。 組織のセキュリティ チームの一員である場合は、そのような試みについての情報を表示し、脅威を軽減するために適切なアクションを実行できます。

改ざんの試行が検出されると、ポータル () でアラートMicrosoft 365 Defenderされます https://security.microsoft.com

Microsoft 365 Defender。

Microsoft Defender for Endpoint のエンドポイント検出および応答機能と高度なハンティング機能を使用して、セキュリティ運用チームはそのような試みを調査し、対処できます。

セキュリティに関する推奨事項を確認する

タンパープロテクションは 、脅威&管理機能と 統合されます。 セキュリティに関する推奨事項には 、改ざん防止が有効になっていることを確認する方法が含まれます。 たとえば、改ざん時に検索 できます。 結果では、[タンパープロテクションを 有効 にする] を選択して詳細を確認し、有効にできます。

改ざん防止を有効にする。

脅威の脆弱性管理の詳細&、「脅威の脆弱性管理」を&を参照Microsoft 365 Defender。

よく寄せられる質問

タンパープロテクションWindows構成できるバージョン

Windows 10OS 170918031809以降とMicrosoft Defender for Endpoint.

Configuration Manager バージョン 2006 をテナント接続で使用している場合、タンパープロテクションを Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022 に拡張できます。 「 テナント接続: 管理センターからエンドポイント セキュリティウイルス対策ポリシーを作成して展開する (プレビュー)」を参照してください。

改ざん防止は、Microsoft 以外のウイルス対策アプリの登録Windows セキュリティしますか?

その必要はありません。 Microsoft 以外のウイルス対策製品は、引き続きアプリケーションにWindows セキュリティされます。

デバイスでMicrosoft Defender ウイルス対策がアクティブではない場合は、どうなるでしょうか。

Microsoft Defender for Endpoint にオンボードされているデバイスには、パッシブ Microsoft Defender ウイルス対策が実行されます。 このような場合、改ざん防止はサービスとその機能を引き続き保護します。

改ざん防止を有効または無効にする方法

ホーム ユーザーの場合は、「個々のデバイスで タンパープロテクションを管理する」を参照してください

Microsoft Defender for Endpointを使用している組織の場合は、他のエンドポイント保護機能を管理する方法と同様に、Intune でタンパープロテクションを管理できる必要があります。 この記事の以下のセクションを参照してください。

Intune でタンパープロテクションを構成すると、グループ ポリシーを使用Microsoft Defender ウイルス対策方法に影響しますか?

グループ ポリシーは、改ざん防止には適用されません。 改ざん防止がオンMicrosoft Defender ウイルス対策設定に加えた変更は無視されます。

改ざん防止をMicrosoft Intuneに使用する場合、組織全体にのみ適用されますか?

Intune でタンパープロテクションを構成する柔軟性があります。 組織全体をターゲットにするか、特定のデバイスとユーザー グループを選択できます。

タンパープロテクションを構成Microsoft Endpoint Configuration Manager?

テナント接続を使用している場合は、テナント接続Microsoft Endpoint Configuration Manager。 以下のリソースを参照してください。

E3 登録Windowsがあります。 Intune でタンパープロテクションの構成を使用できますか?

現在、Intune でタンパープロテクションを構成できるのは 、Microsoft Defender for Endpoint をお持ちのお客様のみです

デバイスでタンパープロテクションが有効になっているときに Intune、Microsoft Endpoint Configuration Manager、および Windows 管理インストルメンテーションで Microsoft Defender for Endpoint の設定を変更すると、どうなるでしょうか。

改ざん防止によって保護されている機能を変更できない。このような変更要求は無視されます。

エンタープライズ顧客です。 ローカル管理者は、デバイスの改ざん防止を変更できますか?

その必要はありません。 ローカル管理者は、改ざん防止の設定を変更または変更できません。

デバイスが Microsoft Defender for Endpoint にオンボードされ、オフボード状態に入った場合は、どうなるでしょうか。

デバイスが Microsoft Defender for Endpoint からオフボードされている場合、タンパープロテクションが有効になります。これは管理されていないデバイスの既定の状態です。

改ざん防止の状態が変更された場合、アラートはポータルにMicrosoft 365 Defenderされますか?

はい。 アラートは [アラート] の下 https://security.microsoft.com表示されます

セキュリティ運用チームは、次の例のような検索クエリも使用できます。

AlertInfo|where Title == "Tamper Protection bypass"

改ざんの試行に関する情報を表示します

関連項目

デバイスを使用Windows PC のセキュリティをEndpoint ProtectionするMicrosoft Intune

Microsoft Defender for Endpoint の概要を確認する

ベストな組み合わせ: Microsoft Defender Antivirus および Microsoft Defender for Endpoint