保護されたセキュリティ設定を保護する

適用対象:

  • Windows 10

概要

一部の種類のサイバー攻撃では、悪意のあるアクターがコンピューター上のウイルス対策保護などのセキュリティ機能を無効にしようとしています。 これにより、データへのアクセスを容易にしたり、マルウェアをインストールしたり、データ、id、デバイスを悪用したりすることができます。 改ざん防止は、このようになるのを防ぐのに役立ちます。

悪質なアプリでは、次のような操作を実行できません。

  • ウイルスおよび脅威の保護を無効にする
  • リアルタイム保護の無効化
  • 動作監視をオフにする
  • ウイルス対策 (IOfficeAntivirus (IOAV) など) を無効にする
  • クラウド配信の保護を無効にする
  • セキュリティインテリジェンス更新プログラムを削除する

動作のしくみ

改ざん防止は、基本的に Windows Defender ウイルス対策をロックし、次のようなアプリとメソッドを通じてセキュリティ設定が変更されないようにします。

  • Windows コンピューターのレジストリエディターで設定を構成する
  • PowerShell コマンドレットによる設定の変更
  • グループポリシーによるセキュリティ設定の編集または削除
  • などなど。

不正保護では、セキュリティ設定を表示することはできません。 また、不正保護は、サードパーティ製のウイルス対策アプリが Windows セキュリティアプリに登録する方法に影響を与えません。 組織で Windows 10 Enterprise E5 を使用している場合、個々のユーザーは改ざん防止の設定を変更することはできません。これは、セキュリティチームによって管理されます。

実行する操作

Windows セキュリティを使用して、個々のコンピューターの改ざん防止をオン (またはオフ) にする

Intune を使用して組織の改ざん防止をオン (またはオフ) にする

個々のコンピューターの改ざん防止をオン (またはオフ) にする

ホームユーザーの場合、またはセキュリティチームによって管理される設定の対象ではない場合は、Windows セキュリティアプリを使用して、改ざん防止のオンとオフを切り替えることができます。 次のタスクを実行するには、お使いのコンピューターに適切な管理者権限が必要です。

  1. [スタート] をクリックして、「 Defender」と入力します。 検索結果で、[ Windows セキュリティ] を選択します。

  2. [ウイルス & 脅威保護 > のウイルス & 脅威保護の設定] を選択します。

  3. 改ざん防止オンまたはオフに設定します。

注意

改ざん防止ブロックは、レジストリを通じて Windows Defender ウイルス対策の設定を変更しようとします。

改ざん防止がサードパーティ製のセキュリティ製品や、これらの設定を変更するエンタープライズインストールスクリプトに干渉しないようにするため、 Windows セキュリティに進み、セキュリティインテリジェンスをバージョン1.287.60.0 以降に更新してください。 (「セキュリティインテリジェンスの更新」を参照してください)。

この更新が完了すると、改ざん防止によってレジストリ設定が引き続き保護され、エラーを返すことなく変更を試みることもログに記録されます。

Intune を使用して組織の改ざん防止をオン (またはオフ) にする

組織のセキュリティチームに参加している場合は、Microsoft 365 デバイス管理ポータル (Intune) で、組織の改ざん防止をオン (またはオフ) することができます。 (この機能は現在ロールアウト中です。まだお持ちでない場合は、組織がMicrosoft Defender Advanced Threat Protection (MICROSOFT defender ATP) を使用していて、以下の前提条件を満たしていることが前提となります。)

次のタスクを実行するには、グローバル管理者、セキュリティ管理者、セキュリティ操作などの適切な権限が必要です。

  1. 組織が次の要件を満たしていることを確認します。

  2. Microsoft 365 デバイス管理ポータル (https://devicemanagement.microsoft.com) に移動し、職場または学校のアカウントでサインインします。

  3. [デバイス構成 > プロファイル] を選びます。

  4. 次の設定を含むプロファイルを作成します。

    • プラットフォーム: Windows 10 以降
    • Profiletype: Endpoint protection
    • Windows Defender セキュリティセンターの設定> 改ざん防止 >
  5. プロファイルを1つまたは複数のグループに割り当てます。

よく寄せられる質問

改ざん防止を構成する Windows OS のバージョンについて教えてください。

Windows 1903 がリリースされる場合がある

サーバーでサポートされている Intune で改ざん防止を構成していますか?

×

改ざん防止はサードパーティのウイルス登録に影響を与えますか?

いいえ、サードパーティ製のウイルス対策は引き続き Windows セキュリティアプリケーションに登録されます。

Microsoft Defender ウイルス対策がデバイスでアクティブになっていない場合はどうなりますか?

改ざん防止は、このようなデバイスには影響しません。

改ざん防止のオン/オフを切り替えるにはどうすればよいですか?

ホームユーザーの場合は、「個々のコンピューターの改ざん防止のオン/オフを切り替える」を参照してください。

Microsoft DEFENDER ATP E5を使用している組織の場合、他のエンドポイント保護機能を管理する方法と同じように、Intune で改ざん防止を管理することができます。 「 Intune を使って組織の改ざん防止をオン (またはオフ) する」を参照してください。

Intune での改ざん防止の構成は、グループポリシーを使って Windows Defender ウイルス対策を管理する方法に影響しますか?

通常のグループポリシーは、改ざん防止には適用されません。また、改ざん防止がオンの場合は、Windows Defender ウイルス対策設定の変更は無視されます。

Microsoft Defender ATP E5 では、組織全体を対象とした Intune で改ざん防止を構成していますか?

Intune での改ざん防止の構成は、組織全体、および Intune を使用するデバイスとユーザーグループのターゲットにすることができます。

System Center Configuration Manager で改ざん防止を構成することはできますか?

現時点では、System Center Configuration Manager を使用した改ざん防止の管理はサポートされていません。

Windows E3 が登録されています。 Intune で改ざん防止を構成することはできますか?

現時点では、Intune での改ざん防止の構成は、 Microsoft Defender Advanced Threat Protection E5をお持ちのお客様のみが利用できます。

デバイスで改ざん防止が有効になっているときに、Intune、System Center Configuration Manager、Windows Management Instrumentation で Microsoft Defender ATP の設定を変更しようとするとどうなりますか?

改ざん防止によって保護されている機能を変更することはできません。これらの変更要求は無視されます。

会社のお客様。 ローカル管理者は、デバイスの改ざん防止を変更できますか?

いいえ。 ローカル管理者は、改ざん防止の設定を変更または変更することはできません。

デバイスが Microsoft Defender ATP で onboarded されている場合、boarded の状態に移行した場合はどうなりますか?

この場合、改ざん防止の状態が変化し、この機能は適用されなくなりました。

Microsoft Defender セキュリティセンターで改ざん防止の状態が変更されるという警告が表示されますか?

はい、できます。 アラートが [通知] https://securitycenter.microsoft.comの下に表示されます。

さらに、セキュリティ運用チームは、次のような検索クエリを使用できます。

AlertEvents | where Title == "Tamper Protection bypass"

改ざん防止のためのグループポリシー設定がありますか?

いいえ。

関連リソース

Windows 10 Enterprise のセキュリティ

Microsoft Intune の Endpoint Protection を使用して Windows PC を保護する

Microsoft 365 Enterprise の概要 (概要)

Microsoft Defender ATP E5