フォルダーへのアクセス制御で重要なフォルダーを保護する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender ウイルス対策
適用対象
- Windows
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
フォルダー アクセスの制御とは
フォルダー アクセスの制御は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダー アクセスの制御は、既知の信頼されたアプリの一覧に対してアプリをチェックすることで、データを保護します。 制御されたフォルダー アクセスは、Windows セキュリティ アプリ、Microsoft Endpoint Configuration Manager、またはIntune (マネージド デバイス用) を使用して構成できます。 フォルダーアクセスの制御は、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10、およびWindows 11でサポートされています。
注:
PowerShell などのスクリプト エンジンは、 証明書とファイル インジケーターを使用して "許可" インジケーターを作成した場合でも、制御されたフォルダー アクセスによって信頼されません。 スクリプト エンジンが保護されたフォルダーを変更できるようにする唯一の方法は、許可されたアプリとして追加することです。 「特定のアプリが制御されたフォルダーに変更を加えることを許可する」を参照してください。
フォルダー アクセスの制御は、Microsoft Defender for Endpointに最適です。これにより、通常のアラート調査シナリオの一部として、制御されたフォルダー アクセス イベントとブロックに関する詳細なレポートが提供されます。
ヒント
制御されたフォルダー アクセス ブロックは、 アラート キューにアラートを生成しません。 ただし、高度なハンティングやカスタム検出ルールを使用しながら、制御されたフォルダー アクセス ブロックに関する情報をデバイス タイムライン ビューで表示できます。
フォルダー アクセスの制御のしくみ
フォルダーアクセスの制御は、信頼されたアプリが保護されたフォルダーにアクセスできるようにすることによってのみ機能します。 保護されたフォルダーは、フォルダー アクセスの制御が構成されている場合に指定されます。 通常、ドキュメント、画像、ダウンロードなどに使用されるフォルダーなど、一般的に使用されるフォルダーは、制御されたフォルダーの一覧に含まれます。
フォルダーアクセスの制御は、信頼されたアプリの一覧で機能します。 信頼されたソフトウェアの一覧に含まれているアプリは、期待どおりに動作します。 一覧に含まれていないアプリは、保護されたフォルダー内のファイルに変更を加えるのを防ぎます。
アプリは、普及率と評判に基づいて一覧に追加されます。 organization全体で非常に普及しており、悪意があると見なされる動作を表示したことがないアプリは信頼できると見なされます。 これらのアプリは自動的に一覧に追加されます。
アプリは、Configuration ManagerまたはIntuneを使用して、信頼された一覧に手動で追加することもできます。 追加のアクションは、Microsoft Defender ポータルから実行できます。
フォルダーアクセスの制御が重要な理由
フォルダーアクセスの制御は、ドキュメントや情報を ランサムウェアから保護するのに特に役立ちます。 ランサムウェア攻撃では、ファイルが暗号化され、人質に取られる可能性があります。 フォルダーへのアクセスを制御すると、アプリが保護されたフォルダー内のファイルに変更を加えようとしたコンピューターに通知が表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。 個別のルールを有効にすることで、この機能が監視するテクニックをカスタマイズすることもできます。
保護されたフォルダーには、一般的なシステム フォルダー (ブート セクターを含む) が含まれており、さらにフォルダーを追加できます。 また、アプリが保護されたフォルダーへのアクセス権を アプリ に付与できるようにすることもできます。
監査モードを使用して、制御されたフォルダー アクセスが有効になっている場合にorganizationに与える影響を評価できます。
Windows システム フォルダーは既定で保護されています
Windows システム フォルダーは、他のいくつかのフォルダーと共に既定で保護されています。
保護されたフォルダーには、共通のシステム フォルダー (ブート セクターを含む) が含まれており、追加のフォルダーを追加できます。 また、アプリが保護されたフォルダーへのアクセス権をアプリに付与できるようにすることもできます。 既定で保護されている Windows システム フォルダーは次のとおりです。
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
既定のフォルダーは、次の図に示すように、ユーザーのプロファイルの [ この PC] の下に表示されます。
注:
保護対象として追加のフォルダーを構成することはできますが、既定で保護されている Windows システム フォルダーを削除することはできません。
制御されたフォルダー アクセスの要件
フォルダーアクセスを制御するには、ウイルス対策のリアルタイム保護Microsoft Defender有効にする必要があります。
Microsoft Defender ポータルで制御されたフォルダー アクセス イベントを確認する
Defender for Endpoint では、Microsoft Defender ポータルでのアラート調査シナリオの一部として、イベントとブロックに関する詳細なレポートが提供されます。「Microsoft Defender XDRのMicrosoft Defender for Endpoint」を参照してください。
高度なハンティングを使用して、Microsoft Defender for Endpointデータに対してクエリを実行できます。 監査モードを使用している場合は、高度なハンティングを使用して、制御されたフォルダー アクセス設定が有効になっている場合の環境への影響を確認できます。
クエリ例:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Windows イベント ビューアーで制御されたフォルダー アクセス イベントを確認する
Windows イベント ログを確認して、アプリのフォルダー アクセス ブロック (または監査) を制御したときに作成されるイベントを確認できます。
評価パッケージをダウンロードし、デバイス上の簡単にアクセスできる場所に cfa-events.xml ファイルを抽出します。
[スタート] メニューに「イベント ビューアー」と入力して、Windows イベント ビューアーを開きます。
左側のパネルの [アクション] で、[ カスタム ビューのインポート]を選択します。...
cfa-events.xml 抽出した場所に移動して選択します。 または、 XML を直接コピーします。
[OK] を選択します。
次の表は、フォルダーアクセスの制御に関連するイベントを示しています。
イベント ID | 説明 |
---|---|
5007 |
設定が変更されたときのイベント |
1124 |
監査対象のフォルダー アクセス イベント |
1123 |
ブロックされたフォルダー アクセス イベント |
1127 |
ブロックされたフォルダー アクセス セクターの書き込みブロック イベント |
1128 |
監査されたフォルダー アクセス セクターの書き込みブロック イベント |
保護されたフォルダーの一覧を表示または変更する
Windows セキュリティ アプリを使用して、制御されたフォルダー アクセスによって保護されているフォルダーの一覧を表示できます。
Windows 10またはWindows 11 デバイスで、Windows セキュリティ アプリを開きます。
[ウイルスと脅威の防止] を選択します。
[ ランサムウェア保護] で、[ ランサムウェア保護の管理] を選択します。
フォルダーアクセスの制御がオフになっている場合は、オンにする必要があります。 [保護されたフォルダー] を選択します。
次のいずれかの手順を実行します。
- フォルダーを追加するには、[ + 保護されたフォルダーの追加] を選択します。
- フォルダーを削除するには、フォルダーを選択し、[削除] を選択 します。
重要
ローカル共有パス (ループバック) を保護されたフォルダーとして追加しないでください。 代わりにローカル パスを使用します。 たとえば、
C:\demo
を\\mycomputer\demo
として共有している場合は、保護されているフォルダーの一覧に\\mycomputer\demo
を追加しないでください。 代わりに、C:\demo
を追加します。
Windows システム フォルダー は既定で保護されており、一覧から削除することはできません。 新しいフォルダーを一覧に追加すると、サブフォルダーも保護に含まれます。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。