保護されたセキュリティ設定を保護するProtect security settings with tamper protection

適用対象:Applies to:

  • Windows 10Windows 10

概要Overview

一部の種類のサイバー攻撃では、悪意のあるアクターがコンピューター上のウイルス対策保護などのセキュリティ機能を無効にしようとしています。During some kinds of cyber attacks, bad actors try to disable security features, such as anti-virus protection, on your machines. これにより、データへのアクセスを容易にしたり、マルウェアをインストールしたり、データ、id、デバイスを悪用したりすることができます。They do this to get easier access to your data, to install malware, or to otherwise exploit your data, identity, and devices. 改ざん防止は、このようになるのを防ぐのに役立ちます。Tamper protection helps prevent this from occurring.

悪質なアプリでは、次のような操作を実行できません。With tamper protection, malicious apps are prevented from taking actions such as:

  • ウイルスおよび脅威の保護を無効にするDisabling virus and threat protection
  • リアルタイム保護の無効化Disabling real-time protection
  • 動作監視をオフにするTurning off behavior monitoring
  • ウイルス対策 (IOfficeAntivirus (IOAV) など) を無効にするDisabling antivirus (such as IOfficeAntivirus (IOAV))
  • クラウド配信の保護を無効にするDisabling cloud-delivered protection
  • セキュリティインテリジェンス更新プログラムを削除するRemoving security intelligence updates

動作のしくみHow it works

改ざん防止は、基本的に Microsoft Defender ウイルス対策をロックし、次のようなアプリとメソッドを通じてセキュリティ設定が変更されないようにします。Tamper protection essentially locks Microsoft Defender Antivirus and prevents your security settings from being changed through apps and methods such as:

  • Windows コンピューターのレジストリエディターで設定を構成するConfiguring settings in Registry Editor on your Windows machine
  • PowerShell コマンドレットによる設定の変更Changing settings through PowerShell cmdlets
  • グループポリシーによるセキュリティ設定の編集または削除Editing or removing security settings through group policies

不正保護では、セキュリティ設定を表示することはできません。Tamper protection doesn't prevent you from viewing your security settings. また、不正保護は、サードパーティ製のウイルス対策アプリが Windows セキュリティアプリに登録する方法に影響を与えません。And, tamper protection doesn't affect how third-party antivirus apps register with the Windows Security app. 組織で Windows 10 Enterprise E5 を使用している場合、個々のユーザーは改ざん防止の設定を変更することはできません。これは、セキュリティチームによって管理されます。If your organization is using Windows 10 Enterprise E5, individual users can't change the tamper protection setting; this is managed by your security team.

実行する操作What do you want to do?

  1. 改ざん防止をオンにするTurn tamper protection on

  2. 不正操作に関する情報を表示します。View information about tampering attempts.

  3. セキュリティの推奨事項を確認します。Review your security recommendations.

  4. よく寄せられる質問を参照してください。Browse the frequently asked questions.

個々のコンピューターの改ざん防止をオン (またはオフ) にするTurn tamper protection on (or off) for an individual machine

注意

改ざん防止ブロックは、レジストリを通じて Microsoft Defender ウイルス対策の設定を変更しようとします。Tamper protection blocks attempts to modify Microsoft Defender Antivirus settings through the registry.

改ざん防止がサードパーティ製のセキュリティ製品や、これらの設定を変更するエンタープライズインストールスクリプトに干渉しないようにするため、 Windows セキュリティに進み、セキュリティインテリジェンスをバージョン1.287.60.0 以降に更新してください。To help ensure that tamper protection doesn’t interfere with third-party security products or enterprise installation scripts that modify these settings, go to Windows Security and update Security intelligence to version 1.287.60.0 or later. (「セキュリティインテリジェンスの更新」を参照してください)。(See Security intelligence updates.)

この更新が完了すると、改ざん防止によってレジストリ設定が引き続き保護され、エラーを返すことなく変更を試みることもログに記録されます。Once you’ve made this update, tamper protection will continue to protect your registry settings, and will also log attempts to modify them without returning errors.

ホームユーザーの場合、またはセキュリティチームによって管理される設定の対象ではない場合は、Windows セキュリティアプリを使用して、改ざん防止のオンとオフを切り替えることができます。If you are a home user, or you are not subject to settings managed by a security team, you can use the Windows Security app to turn tamper protection on or off. この操作を行うには、コンピューターの適切な管理者権限が必要です。You must have appropriate admin permissions on your machine to do this.

  1. [スタート] をクリックして、「 Defender」と入力します。Click Start, and start typing Defender. 検索結果で、[ Windows セキュリティ] を選択します。In the search results, select Windows Security.

  2. [ウイルス & 脅威保護 > のウイルス & 脅威保護の設定] を選択します。Select Virus & threat protection > Virus & threat protection settings.

  3. 改ざん防止オンまたはオフに設定します。Set Tamper Protection to On or Off.

    Windows セキュリティアプリでは、次の情報が表示されます。Here's what you see in the Windows Security app:

    Windows 10 Home で改ざん防止が有効になっている

Intune を使用して組織の改ざん防止をオン (またはオフ) にするTurn tamper protection on (or off) for your organization using Intune

組織のセキュリティチームに参加していて、サブスクリプションにIntuneが含まれている場合は、Microsoft 365 デバイス管理ポータル () で、組織の改ざん防止をオン (またはオフ) にすることができ https://aka.ms/intuneportal ます。If you are part of your organization's security team, and your subscription includes Intune, you can turn tamper protection on (or off) for your organization in the Microsoft 365 Device Management portal (https://aka.ms/intuneportal).

注意

Intune で改ざん防止を管理する機能は現在ロールアウトされています。まだインストールしていない場合は、組織がMicrosoft Defender Advanced Threat Protection (MICROSOFT defender ATP) を使用していること、および以下の前提条件を満たしていることを前提としています。The ability to manage tamper protection in Intune is rolling out now; if you don't have it yet, you should very soon, assuming your organization has Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) and that you meet the prerequisites listed below.

次のタスクを実行するには、グローバル管理者、セキュリティ管理者、セキュリティ操作などの適切な権限が必要です。You must have appropriate permissions, such as global admin, security admin, or security operations, to perform the following task.

  1. Intune を使用して改ざん防止を管理するために、組織が次の要件をすべて満たしていることを確認します。Make sure your organization meets all of the following requirements to manage tamper protection using Intune:

  2. Microsoft 365 デバイス管理ポータル () に移動 https://devicemanagement.microsoft.com し、職場または学校のアカウントでサインインします。Go to the Microsoft 365 Device Management portal (https://devicemanagement.microsoft.com) and sign in with your work or school account.

  3. [デバイス構成 > プロファイル] を選びます。Select Device configuration > Profiles.

  4. プロファイルを作成するには、次の手順を実行します。Create a profile as follows:

    • プラットフォーム: Windows 10以降Platform: Windows 10 and later

    • プロファイルの種類: Endpoint protectionProfile type: Endpoint protection

    • カテゴリ: Microsoft Defender セキュリティセンターCategory: Microsoft Defender Security Center

    • 改ざん防止:有効Tamper Protection: Enabled

    Intune を使用して改ざん防止を有効にする

  5. プロファイルを1つまたは複数のグループに割り当てます。Assign the profile to one or more groups.

Windows OS 1709、1803、または1809を使用していますか?Are you using Windows OS 1709, 1803, or 1809?

Windows 10 OS 17091803、または1809を使用している場合、Windows セキュリティアプリの不正な保護は表示されません。If you are using Windows 10 OS 1709, 1803, or 1809, you won't see Tamper Protection in the Windows Security app. この場合、PowerShell を使用して、改ざん防止が有効になっているかどうかを確認できます。In this case, you can use PowerShell to determine whether tamper protection is enabled.

PowerShell を使用して、改ざん防止が有効になっているかどうかを確認するUse PowerShell to determine whether tamper protection is turned on

  1. Windows PowerShell アプリを開きます。Open the Windows PowerShell app.

  2. Get-MpComputerStatus PowerShell コマンドレットを使用します。Use the Get-MpComputerStatus PowerShell cmdlet.

  3. 検索結果の一覧で、を探し IsTamperProtected ます。In the list of results, look for IsTamperProtected. (値がtrueの場合は、改ざん防止が有効であることを意味します)。(A value of true means tamper protection is enabled.)

不正操作に関する情報を表示するView information about tampering attempts

通常、改ざんの試みは大きな cyberattacks を示します。Tampering attempts typically indicate bigger cyberattacks. 不正なアクターセキュリティ設定を変更して、検出されない状態を維持します。Bad actors try to change security settings as a way to persist and stay undetected. 組織のセキュリティチームに参加している場合は、その試みに関する情報を表示して、脅威を軽減するための適切な措置を講じることができます。If you're part of your organization's security team, you can view information about such attempts, and then take appropriate actions to mitigate threats.

改ざん試行が検出されると、 Microsoft Defender セキュリティセンター () でアラートが発生 https://securitycenter.windows.com します。When a tampering attempt is detected, an alert is raised in the Microsoft Defender Security Center (https://securitycenter.windows.com).

Microsoft Defender セキュリティセンター

エンドポイントの検出と応答、および高度な検索機能を利用することで、セキュリティ運用チームは、このような試みを調査して対処することができます。Using endpoint detection and response and advanced hunting capabilities in Microsoft Defender ATP, your security operations team can investigate and address such attempts.

セキュリティの推奨事項を確認するReview your security recommendations

改ざん防止は、脅威 & の脆弱性管理機能と統合されます。Tamper protection integrates with Threat & Vulnerability Management capabilities. セキュリティの推奨事項には、改ざん防止が有効になっていることがあります。Security recommendations include making sure tamper protection is turned on. たとえば、次の図に示すように、改ざん可能な状態で検索することができます。For example, you can search on tamper, as shown in the following image:

セキュリティの推奨事項による改ざん防止の結果

結果として、[改ざん防止を有効にする] を選択して、詳細を確認して有効にすることができます。In the results, you can select Turn on Tamper Protection to learn more and turn it on.

不正保護を有効にする

脅威 & の脆弱性の管理の詳細については、「 Microsoft Defender セキュリティセンターでの脅威 & の脆弱性管理」を参照してください。To learn more about Threat & Vulnerability Management, see Threat & Vulnerability Management in Microsoft Defender Security Center.

よく寄せられる質問Frequently asked questions

改ざん防止を構成する Windows OS のバージョンについて教えてください。To which Windows OS versions is configuring tamper protection is applicable?

Microsoft Defender Advanced Threat Protectionを使用して、WINDOWS 10 OS 170918031809、またはそれ以降ともに共同作業を行います。Windows 10 OS 1709, 1803, 1809, or later together with Microsoft Defender Advanced Threat Protection E5.

サーバーでサポートされている Intune で改ざん防止を構成していますか?Is configuring tamper protection in Intune supported on servers?

なしNo

改ざん防止はサードパーティのウイルス登録に影響を与えますか?Will tamper protection have any impact on third party antivirus registration?

いいえ、そうではありません。No. サードパーティ製のウイルス対策ソリューションは、引き続き Windows セキュリティアプリケーションに登録されます。Third-party antivirus offerings will continue to register with the Windows Security application.

Microsoft Defender ウイルス対策がデバイスでアクティブになっていない場合はどうなりますか?What happens if Microsoft Defender Antivirus is not active on a device?

改ざん防止は、このようなデバイスには影響しません。Tamper protection will not have any impact on such devices.

改ざん防止のオン/オフを切り替えるにはどうすればよいですか?How can I turn tamper protection on/off?

ホームユーザーの場合は、「個々のコンピューターの改ざん防止のオン/オフを切り替える」を参照してください。If you are a home user, see Turn tamper protection on (or off) for an individual machine.

Microsoft DEFENDER ATP E5を使用している組織の場合、他のエンドポイント保護機能を管理する方法と同じように、Intune で改ざん防止を管理することができます。If you are an organization using Microsoft Defender ATP E5, you should be able to manage tamper protection in Intune similar to how you manage other endpoint protection features. Intune を使って組織の改ざん防止をオン (またはオフ) する」を参照してください。See Turn tamper protection on (or off) for your organization using Intune.

Intune での改ざん防止の構成は、グループポリシーを使用して Microsoft Defender ウイルス対策を管理する方法に影響しますか?How does configuring tamper protection in Intune affect how I manage Microsoft Defender Antivirus through my group policy?

通常のグループポリシーは改ざん防止には適用されず、また、改ざん防止がオンの場合は、Microsoft Defender ウイルス対策設定の変更は無視されます。Your regular group policy doesn’t apply to tamper protection, and changes to Microsoft Defender Antivirus settings are ignored when tamper protection is on.

注意

グループポリシー設定には、改ざん防止によって保護されている Microsoft Defender ウイルス対策機能を制御する値が含まれている場合に、グループポリシー (GPO) の処理に遅延が生じることがあります。A small delay in Group Policy (GPO) processing may occur if Group Policy settings include values that control Microsoft Defender Antivirus features protected by tamper protection. 潜在的な遅延を回避するために、セキュリティで保護された Microsoft Defender ウイルス対策の動作を制御する設定を GPO から削除することをお勧めします。また、パスワードによる保護を有効にすることもできます。To avoid any potential delays, we recommend that you remove settings that control Microsoft Defender Antivirus related behavior from GPO and simply allow tamper protection to protect Microsoft Defender Antivirus settings.

Microsoft Defender のウイルス対策設定の例:Sample Microsoft Defender Antivirus settings:
Microsoft Defender ウイルス対策をオフにするTurn off Microsoft Defender Antivirus
コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Defender Computer Configuration\Administrative Templates\Windows Components\Windows Defender
値 DisableAntiSpyware ウェア = 0Value DisableAntiSpyware = 0

リアルタイム保護を無効にするTurn off real-time protection
コンピューターの構成 \ 管理用テンプレート \Windows コンポーネントコンポーネント \microsoft Defender Antivirus\Real-time Protection Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Real-time Protection
値 DisableRealtimeMonitoring = 0Value DisableRealtimeMonitoring = 0

Microsoft Defender ATP E5 では、組織全体を対象とした Intune で改ざん防止を構成していますか?For Microsoft Defender ATP E5, is configuring tamper protection in Intune targeted to the entire organization only?

Intune での改ざん防止の構成は、組織全体、および特定のデバイスやユーザーグループのターゲットとして使用できます。Configuring tamper protection in Intune can be targeted to your entire organization as well as to specific devices and user groups.

Microsoft Endpoint Configuration Manager で改ざん防止を構成することはできますか?Can I configure Tamper Protection in Microsoft Endpoint Configuration Manager?

現時点では、Microsoft Endpoint Configuration Manager を使用した改ざん防止の管理はサポートされていません。Currently we do not have support to manage Tamper Protection through Microsoft Endpoint Configuration Manager.

Windows E3 が登録されています。I have the Windows E3 enrollment. Intune で改ざん防止を構成することはできますか?Can I use configuring tamper protection in Intune?

現時点では、Intune での改ざん防止の構成は、 Microsoft Defender Advanced Threat Protection E5をお持ちのお客様のみが利用できます。Currently, configuring tamper protection in Intune is only available for customers who have Microsoft Defender Advanced Threat Protection E5.

デバイスで改ざん防止が有効になっているときに、Intune、Microsoft Endpoint Configuration Manager、および Windows Management Instrumentation で Microsoft Defender ATP の設定を変更しようとするとどうなりますか?What happens if I try to change Microsoft Defender ATP settings in Intune, Microsoft Endpoint Configuration Manager, and Windows Management Instrumentation when Tamper Protection is enabled on a device?

改ざん防止によって保護されている機能を変更することはできません。このような変更要求は無視されます。You won’t be able to change the features that are protected by tamper protection; such change requests are ignored.

会社のお客様。I’m an enterprise customer. ローカル管理者は、デバイスの改ざん防止を変更できますか?Can local admins change tamper protection on their devices?

いいえ、そうではありません。No. ローカル管理者は、改ざん防止の設定を変更または変更することはできません。Local admins cannot change or modify tamper protection settings.

デバイスが Microsoft Defender ATP で onboarded されている場合、boarded の状態に移行した場合はどうなりますか?What happens if my device is onboarded with Microsoft Defender ATP and then goes into an off-boarded state?

この場合、改ざん防止の状態が変化し、この機能は適用されなくなりました。In this case, tamper protection status changes, and this feature is no longer applied.

Microsoft Defender セキュリティセンターで改ざん防止の状態が変更されるという警告が表示されますか?Will there be an alert about tamper protection status changing in the Microsoft Defender Security Center?

はい、できます。Yes. アラートが https://securitycenter.microsoft.com [通知] の下に表示されます。The alert is shown in https://securitycenter.microsoft.com under Alerts.

さらに、セキュリティ運用チームは、次のような検索クエリを使用できます。In addition, your security operations team can use hunting queries, such as the following:

DeviceAlertEvents | where Title == "Tamper Protection bypass"

不正操作に関する情報を表示します。View information about tampering attempts.

改ざん防止のためのグループポリシー設定がありますか?Will there be a group policy setting for tamper protection?

いいえ、そうではありません。No.

関連記事Related articles

Microsoft Intune の Endpoint Protection を使用して Windows PC を保護するHelp secure Windows PCs with Endpoint Protection for Microsoft Intune

Microsoft Defender ATP E5 の概要Get an overview of Microsoft Defender ATP E5

共同作業の改善: Microsoft Defender ウイルス対策および Microsoft Defender Advanced Threat ProtectionBetter together: Microsoft Defender Antivirus and Microsoft Defender Advanced Threat Protection