フォルダー アクセスの制御設定をカスタマイズする

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

重要

制御されたフォルダー アクセスは、Linux サーバーではサポートされていません。

この記事では、制御されたフォルダー アクセス機能をカスタマイズする方法について説明し、次のセクションを含めます。

重要

制御されたフォルダー アクセスは、アプリで悪意のあるアクティビティとして検出されたアクティビティを監視します。 正当なアプリがファイルに変更を加えるのをブロックされる場合があります。 フォルダーアクセスの制御がorganizationの生産性に影響する場合は、この機能を監査モードで実行して影響を完全に評価することを検討してください。

前提条件

サポートされるオペレーティング システム

  • Windows 11
  • Windows 10
  • Windows Server 2019 以降
  • Azure Stack HCI OS バージョン 23H2 以降

追加のフォルダーを保護する

フォルダーアクセスの制御は、 ドキュメント画像映画などのフォルダーを含む、多くのシステム フォルダーと既定の場所に適用されます。 保護する他のフォルダーを追加することはできますが、既定のフォルダーを削除することはできません。

既定の Windows ライブラリにファイルを格納しない場合や、ライブラリの既定の場所を変更した場合に、制御されたフォルダー アクセスに他のフォルダーを追加すると便利です。

ネットワーク共有とマップされたドライブを指定することもできます。 環境変数はサポートされています。ただし、ワイルドカードは使用されません。

Windows セキュリティ アプリ、グループ ポリシー、PowerShell コマンドレット、またはモバイル デバイス管理構成サービス プロバイダーを使用して、保護されたフォルダーを追加および削除できます。

Windows セキュリティ アプリを使用して追加のフォルダーを保護する

  1. タスク バーでシールド アイコンを選択するか、[スタート] メニューでセキュリティを検索して、Windows セキュリティ アプリを開きます。

  2. [ ウイルス & 脅威保護] を選択し、[ ランサムウェア保護 ] セクションまで下にスクロールします。

  3. [ ランサムウェア保護の管理 ] を選択して、[ ランサムウェア保護 ] ウィンドウを開きます。

  4. [ フォルダー アクセスの制御 ] セクションで、[ 保護されたフォルダー] を選択します。

  5. ユーザー Access Control プロンプトで [はい] を選択します。 [ 保護されたフォルダー ] ウィンドウが表示されます。

  6. [ 保護されたフォルダーの追加] を選択し、指示に従ってフォルダーを追加します。

グループ ポリシーを使用して追加のフォルダーを保護する

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開きます。

  2. 構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  3. グループ ポリシー管理エディターで、[コンピューターの構成>Policies>管理用テンプレート] に移動します。

  4. ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>Windows Defender Exploit Guard>Controlled フォルダー アクセスに展開します。
    : 古いバージョンの Windows では、ウイルス対策の代わりに Windows Defender ウイルス対策Microsoft Defender表示される場合があります。

  5. [構成済みの保護されたフォルダー] をダブルクリックし、オプションを [有効] に設定します。 [ 表示] を選択し、保護する各フォルダーを指定します。

  6. 通常どおり、グループ ポリシー オブジェクトをデプロイします。

PowerShell を使用して追加のフォルダーを保護する

  1. [スタート] メニューで「PowerShell」と入力し、[Windows PowerShell] を右クリックし、[管理者として実行] を選択します。

  2. 次の PowerShell コマンドレットを入力し、 <the folder to be protected> をフォルダーのパス ( "c:\apps\" など) に置き換えます。

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"

  3. 保護するフォルダーごとに手順 2 を繰り返します。 保護されているフォルダーは、Windows セキュリティ アプリに表示されます。

    保護されたフォルダーの Add-MpPreference コマンドレットを示す PowerShell ウィンドウのスクリーンショット。

重要

Add-MpPreferenceを使用して、Set-MpPreferenceではなく、アプリを一覧に追加または追加します。 Set-MpPreference コマンドレットを使用すると、既存のリストが上書きされます。

MDM CSP を使用して追加のフォルダーを保護する

./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders 構成サービス プロバイダー (CSP) を使用して、フォルダー アクセス制御機能によって保護する必要がある追加のフォルダーを指定します。

特定のアプリが制御されたフォルダーに変更を加えることを許可する

特定のアプリを常に安全と見なすかどうかを指定し、保護されたフォルダー内のファイルへの書き込みアクセス権を付与できます。 アプリの許可は、特定のアプリが認識し、信頼が制御されたフォルダー アクセス機能によってブロックされている場合に役立ちます。

重要

既定では、Windows は、許可されたリストにわかりやすいと見なされるアプリを追加します。 自動的に追加されたこのようなアプリは、Windows セキュリティ アプリに表示される一覧や、関連付けられている PowerShell コマンドレットを使用して記録されません。 ほとんどのアプリを追加する必要はありません。 アプリがブロックされていて、信頼性を確認できる場合にのみ、アプリを追加します。

アプリを追加するときは、アプリの場所を指定する必要があります。 保護されたフォルダーへのアクセスが許可されるのは、その場所のアプリのみです。 (同じ名前の) アプリが別の場所にある場合、アプリは許可リストに追加されないため、制御されたフォルダー アクセスによってブロックされる可能性があります。

許可されているアプリケーションまたはサービスは、制御されたフォルダーの開始後にのみ書き込みアクセス権を持っています。 たとえば、更新サービスは、停止して再起動するまで、許可された後もイベントをトリガーし続けます。

Windows セキュリティ アプリを使用して特定のアプリを許可する

  1. [セキュリティ] のスタート メニューを検索して、Windows セキュリティ アプリを開きます。

  2. [ ウイルス & 脅威保護 ] タイル (または左側のメニュー バーのシールド アイコン) を選択し、[ ランサムウェア保護の管理] を選択します。

  3. [ フォルダー アクセスの制御 ] セクションで、[フォルダー アクセス の制御によるアプリの許可] を選択します。

  4. [ 許可されたアプリの追加] を 選択し、プロンプトに従ってアプリを追加します。

    Windows セキュリティの [許可されたアプリの追加] ボタンのスクリーンショット。

グループ ポリシーを使用して特定のアプリを許可する

  1. グループ ポリシー管理デバイスで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

  3. ツリーを Windows コンポーネント>Microsoft Defenderウイルス対策>Windows Defender Exploit Guard>Controlled フォルダー アクセスに展開します。

  4. [ 許可されたアプリケーションの構成 ] 設定をダブルクリックし、オプションを [有効] に設定します。 [表示] を選択します。

    a. [値名] で実行可能ファイルへの完全なパスを追加します。 [値] を [0] に設定します。 たとえば、コマンド プロンプトで 値の名前C:\Windows\System32\cmd.exeとして設定できるようにします。 0 に設定する必要があります。

PowerShell を使用して特定のアプリを許可する

  1. [スタート] メニューで「PowerShell」と入力し、[Windows PowerShell] を右クリックし、[管理者として実行] を選択します。

  2. 次のコマンドレットを入力します。

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"

    たとえば、C:\apps フォルダーにある実行可能 test.exe を追加するには、コマンドレットは次のようになります。

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

    引き続き Add-MpPreference -ControlledFolderAccessAllowedApplications を使用して、一覧にアプリを追加します。 このコマンドレットを使用して追加されたアプリは、Windows セキュリティ アプリに表示されます。

    許可されたアプリケーションの Add-MpPreference コマンドレットを示す PowerShell ウィンドウのスクリーンショット。

重要

Add-MpPreferenceを使用して、アプリを一覧に追加または追加します。 Set-MpPreference コマンドレットを使用すると、既存のリストが上書きされます。

MDM CSP を使用して特定のアプリを許可する

./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

署名済み実行可能ファイルの保護されたフォルダーへのアクセスを許可する

Microsoft Defender for Endpoint証明書とファイル インジケーターを使用すると、署名された実行可能ファイルが保護されたフォルダーにアクセスできます。 実装の詳細については、「 証明書に基づくインジケーターの作成」を参照してください。

注:

証明書とファイルのインジケーターは、PowerShell を含むスクリプト エンジンには適用されません。

通知のカスタマイズ

ルールがトリガーされ、アプリまたはファイルがブロックされたときに通知をカスタマイズする方法の詳細については、「Microsoft Defender for Endpointでアラート通知を構成する」を参照してください。

関連コンテンツ

  • Last updated on