制御されたフォルダー アクセスをカスタマイズする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

ヒント

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

フォルダー アクセスの制御は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダーアクセスの制御は、Windows Server 2019、Windows Server 2022、Windows 10、およびWindows 11クライアントでサポートされています。

重要

制御されたフォルダー アクセスは、Linux サーバーではサポートされていません。

この記事では、制御されたフォルダー アクセス機能をカスタマイズする方法について説明し、次のセクションを含めます。

• 追加のフォルダーを保護する
• 保護されたフォルダーへのアクセスを許可するアプリを追加する
• 署名済み実行可能ファイルの保護されたフォルダーへのアクセスを許可する
• 通知のカスタマイズ

重要

制御されたフォルダー アクセスは、アプリで悪意のあるアクティビティとして検出されたアクティビティを監視します。 正当なアプリがファイルに変更を加えるのをブロックされる場合があります。 フォルダーアクセスの制御がorganizationの生産性に影響する場合は、この機能を監査モードで実行して影響を完全に評価することを検討してください。

追加のフォルダーを保護する

フォルダーアクセスの制御は、 ドキュメント、 画像、 映画などのフォルダーを含む、多くのシステム フォルダーと既定の場所に適用されます。 保護する他のフォルダーを追加することはできますが、既定の一覧で既定のフォルダーを削除することはできません。

既定の Windows ライブラリにファイルを格納しない場合や、ライブラリの既定の場所を変更した場合に、フォルダーアクセスを制御する他のフォルダーを追加すると便利です。

ネットワーク共有とマップされたドライブを指定することもできます。 環境変数はサポートされています。ただし、ワイルドカードは使用されません。

Windows セキュリティ アプリ、グループ ポリシー、PowerShell コマンドレット、またはモバイル デバイス管理構成サービス プロバイダーを使用して、保護されたフォルダーを追加および削除できます。

Windows セキュリティ アプリを使用して追加のフォルダーを保護する

1. タスク バーでシールド アイコンを選択するか、[スタート] メニューでセキュリティを検索して、Windows セキュリティ アプリを開きます。

2. [ ウイルス & 脅威保護] を選択し、[ ランサムウェア保護 ] セクションまで下にスクロールします。

3. [ ランサムウェア保護の管理 ] を選択して、[ ランサムウェア保護 ] ウィンドウを開きます。

4. [ フォルダー アクセスの制御 ] セクションで、[ 保護されたフォルダー] を選択します。

5. ユーザー Access Control プロンプトで [はい] を選択します。 [ 保護されたフォルダー ] ウィンドウが表示されます。

6. [ 保護されたフォルダーの追加] を選択し、指示に従ってフォルダーを追加します。

グループ ポリシーを使用して追加のフォルダーを保護する

1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開きます。

2. 構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します。

3. [グループ ポリシー管理] エディターで、[コンピューターの構成>ポリシー>] [管理用テンプレート] の順に移動します。

4. ツリーを Windows コンポーネント>に展開しMicrosoft Defenderウイルス対策>Windows Defender Exploit Guard>のフォルダー アクセスを制御します。
   注: 古いバージョンの Windows では、ウイルス対策の代わりに Windows Defender ウイルス対策Microsoft Defender表示される場合があります。

5. [構成済みの保護されたフォルダー] をダブルクリックし、オプションを [有効] に設定します。 [ 表示] を選択し、保護する各フォルダーを指定します。

6. 通常どおり、グループ ポリシー オブジェクトをデプロイします。

PowerShell を使用して追加のフォルダーを保護する

1. [スタート] メニューに「PowerShell」と入力し、[Windows PowerShell] を右クリックし、[管理者として実行] を選択します。

2. 次の PowerShell コマンドレットを、フォルダーのパス (など"c:\apps\") に置き換えて<the folder to be protected>入力します。

   Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
   

3. 保護するフォルダーごとに手順 2 を繰り返します。 保護されているフォルダーは、Windows セキュリティ アプリに表示されます。

   

重要

を使用して Add-MpPreference 、 ではなく Set-MpPreference、一覧にアプリを追加または追加します。 コマンドレットを Set-MpPreference 使用すると、既存のリストが上書きされます。

MDM CSP を使用して追加のフォルダーを保護する

./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

特定のアプリが制御されたフォルダーに変更を加えることを許可する

特定のアプリを常に安全と見なすかどうかを指定し、保護されたフォルダー内のファイルへの書き込みアクセス権を付与できます。 アプリの許可は、特定のアプリが認識し、信頼が制御されたフォルダー アクセス機能によってブロックされている場合に役立ちます。

重要

既定では、Windows は、許可されたリストにわかりやすいと見なされるアプリを追加します。 自動的に追加されるこのようなアプリは、Windows セキュリティ アプリに表示される一覧や、関連付けられている PowerShell コマンドレットを使用して記録されません。 ほとんどのアプリを追加する必要はありません。 アプリがブロックされていて、信頼性を確認できる場合にのみ、アプリを追加します。

アプリを追加するときは、アプリの場所を指定する必要があります。 保護されたフォルダーへのアクセスが許可されるのは、その場所のアプリのみです。 (同じ名前の) アプリが別の場所にある場合、アプリは許可リストに追加されず、制御されたフォルダー アクセスによってブロックされる可能性があります。

許可されているアプリケーションまたはサービスは、制御されたフォルダーの開始後にのみ書き込みアクセス権を持っています。 たとえば、更新サービスは、停止して再起動するまで、許可された後もイベントをトリガーし続けます。

Windows Defender セキュリティ アプリを使用して特定のアプリを許可する

1. [セキュリティ] のスタート メニューを検索して、Windows セキュリティ アプリを開きます。

2. [ ウイルス & 脅威保護 ] タイル (または左側のメニュー バーのシールド アイコン) を選択し、[ ランサムウェア保護の管理] を選択します。

3. [フォルダー アクセスの制御] セクションで、[フォルダー アクセスの制御によるアプリの許可] を選択します

4. [ 許可されたアプリの追加] を 選択し、プロンプトに従ってアプリを追加します。

   

グループ ポリシーを使用して特定のアプリを許可する

1. グループ ポリシー管理デバイスで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します。

2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. ツリーを Windows コンポーネント>に展開しMicrosoft Defenderウイルス対策>Windows Defender Exploit Guard>のフォルダー アクセスを制御します。

4. [ 許可されたアプリケーションの構成 ] 設定をダブルクリックし、オプションを [有効] に設定します。 [表示] を選択します。

5. [値名] で実行可能ファイルへの完全なパスを追加します。 [値] を に設定します0。 たとえば、コマンド プロンプトで 値の名前 を として設定できるようにする場合 C:\Windows\System32\cmd.exeです。 値 は に設定する 0必要があります。

PowerShell を使用して特定のアプリを許可する

1. [スタート] メニューに「PowerShell」と入力し、[Windows PowerShell] を右クリックし、[管理者として実行] を選択します。

2. 次のコマンドレットを入力します。

   Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
   

   たとえば、C:\apps フォルダーにある実行可能 test.exe を追加するには、コマンドレットは次のようになります。

   Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
   

   引き続き を使用 Add-MpPreference -ControlledFolderAccessAllowedApplications して、一覧にアプリを追加します。 このコマンドレットを使用して追加されたアプリは、Windows セキュリティ アプリに表示されます。

   

重要

を使用して Add-MpPreference 、アプリを一覧に追加または追加します。 コマンドレットを Set-MpPreference 使用すると、既存のリストが上書きされます。

MDM CSP を使用して特定のアプリを許可する

./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

署名済み実行可能ファイルの保護されたフォルダーへのアクセスを許可する

Microsoft Defender for Endpoint証明書とファイル インジケーターを使用すると、署名された実行可能ファイルが保護されたフォルダーにアクセスできます。 実装の詳細については、「 証明書に基づくインジケーターの作成」を参照してください。

注:

これは、Powershell を含むスクリプト エンジンには適用されません

通知のカスタマイズ

ルールがトリガーされ、アプリまたはファイルがブロックされたときに通知をカスタマイズする方法の詳細については、「Microsoft Defender for Endpointでアラート通知を構成する」を参照してください。

関連項目

• フォルダーへのアクセス制御で重要なフォルダーを保護する
• 制御されたフォルダー アクセスを有効にする
• 攻撃面の減少ルールを有効にする

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。