Windows 11でフォルダーアクセスの制御を有効または無効にする方法

もしあなたが心配しているなら ランサムウェアとWindows 11のファイルのセキュリティおそらく無効にしている組み込み機能がありますが、大きな違いをもたらす可能性があります。それは「フォルダーアクセスのコントロール」です。魔法のような機能ではなく、バックアップの代わりになるものでもありませんが、保護層をもう一層追加してくれます。権限を調整する必要がある場合は… フォルダとファイルに権限を割り当てるそれは人生をより複雑にする マルウェア 最も重要な文書を暗号化または削除しようとするものです。

この機能は、 Windows 11、Windows 10、およびさまざまなバージョンの Windows Server Microsoft Defenderと統合されています。やや厳格で正当なプログラムまでブロックしてしまうことがあるため、デフォルトでは無効になっていることが多いですが、好みに合わせて調整できます。 デフォルトの場所を変更する、追加のフォルダーを追加し、特定のアプリケーションを許可し、さらには自宅のコンピューターと企業環境の両方でグループ ポリシー、Intune、Configuration Manager、または PowerShell を通じて管理することもできます。

制御されたフォルダー アクセスとは何でしょうか?

制御されたフォルダアクセスは、 ランサムウェアを阻止するために設計されたMicrosoft Defenderウイルス対策 特定の保護された場所にあるファイルを変更または削除しようとするその他の種類のマルウェア。実行中のすべてのアプリケーションをブロックするのではなく、信頼できると判断されたアプリケーションのみがこれらのフォルダに変更を加えることを許可します。

実際には、この保護は 信頼できるアプリケーションのリストと保護されたフォルダのリスト。 ザ apps Windows エコシステムで評判が良く普及率の高いアプリは自動的に許可されますが、不明なアプリケーションや疑わしいアプリケーションは、制御されたパス内のファイルを読み取ることはできますが、変更したり削除したりすることはできません。

この機能を理解することが重要です マルウェアによるデータのコピーや読み取りを防ぐことはできませんブロックされるのは、保護されたファイルの変更、暗号化、または削除です。攻撃者がシステムに侵入できたとしても、情報の窃取は可能ですが、重要な文書を侵害することははるかに困難になります。

コントロールされたフォルダアクセスは、 Microsoft Defender for Endpoint と Microsoft Defender ポータルブロックまたは監査された内容の詳細なレポートを確認できるため、特に企業がセキュリティ インシデントを調査する際に非常に役立ちます。

互換性のあるオペレーティング システムと前提条件

有効化を検討する前に、どのプラットフォームで動作するか確認することをお勧めします。制御されたフォルダアクセスは以下で利用可能です。 Windows 11、Windows 10、およびWindows ServerのさまざまなエディションAzure Stack HCI などの特定の Microsoft システムに加えて、

具体的には、この機能は Microsoft Defender を搭載した Windows 10 および Windows 11 の各エディション ウイルス対策として、サーバー側では Windows Server 2016 以降のバージョン、Windows Server 2012 R2、Windows Server 2019 および後継バージョン、および Azure Stack HCI オペレーティング システム バージョン 23H2 以降でサポートされています。

重要な点は、フォルダへのアクセスが制御されていることです アクティブなウイルス対策が Microsoft Defender の場合にのみ機能します。Defender を無効にするサードパーティ製のウイルス対策ソフトウェアを使用している場合、この機能の設定は Windows セキュリティ アプリから消えるか動作しなくなり、インストールした製品のランサムウェア対策保護に頼ることになります。

管理された環境では、Defenderに加えて、以下が必要です。 Microsoft Intune、Configuration Manager、互換性のあるMDMソリューションなどのツール 複数のデバイスにわたって制御されたフォルダー アクセス ポリシーを一元的に展開および管理できるようになります。

制御されたフォルダーアクセスが内部でどのように機能するか

この機能の動作は2つの柱に基づいています。 保護されているとみなされるフォルダ そして一方で 信頼できると考えられるアプリケーション信頼できないアプリによるこれらのフォルダー内のファイルの書き込み、変更、または削除の試みは、構成されたモードに応じてブロックまたは監査されます。

この機能を有効にすると、Windows はいくつかのものを保護されているものとしてマークします。 非常に一般的なユーザーフォルダこれには、アクティブアカウントとパブリックフォルダの両方にあるドキュメント、画像、ビデオ、音楽、お気に入りなどのファイルが含まれます。さらに、特定のシステムプロファイルパス（システムプロファイル内のドキュメントフォルダなど）とシステムの重要な領域も含まれます。 ブーツ.

許可されたアプリケーションのリストは、 Microsoft エコシステムにおけるソフトウェアの評判と普及度広く使用されているプログラムで、悪意のある動作を一度も示したことがないものは信頼できるとみなされ、自動的に承認されます。あまり知られていないアプリケーション、自作ツール、ポータブル実行ファイルは、手動で承認するまでブロックされる場合があります。

ビジネス組織では、自動リストに加えて、管理者は 特定のソフトウェアを追加または許可する Microsoft Intune、Configuration Manager、グループ ポリシー、または MDM 構成を通じて、企業環境内でブロックするものとブロックしないものを微調整します。

ハードブロックを適用する前に影響を評価するために、 監査モード これにより、アプリケーションは通常通り動作しますが、ブロックされるはずだったイベントがログに記録されます。これにより、厳密なブロックモードへの切り替えによってビジネスプロセスや重要なアプリケーションが中断されるかどうかを詳細に確認できます。

ランサムウェア対策としてなぜそれほど重要なのでしょうか?

ランサムウェア攻撃の標的は 文書を暗号化して身代金を要求する アクセスを復元するには、コントロールされたフォルダーアクセスを行ってください。コントロールされたフォルダーアクセスは、ドキュメント、ピクチャ、ビデオ、またはプロジェクトや個人データを保存しているその他のフォルダーにある、最も重要なファイルが不正なアプリケーションによって変更されるのを防ぐことに重点を置いています。

不明なアプリケーションが保護されたフォルダ内のファイルにアクセスしようとすると、Windowsは ブロックを警告するデバイス上の通知このアラートは、ビジネス環境で内部連絡先情報を使用してカスタマイズできるため、ユーザーは、サポートが必要な場合や誤検知であると思われる場合に、誰に連絡すればよいかを知ることができます。

通常のユーザーフォルダに加えて、システムは以下も保護します。 システムフォルダとブートセクタシステムの起動や重要な Windows コンポーネントを操作しようとするマルウェアの攻撃対象領域を縮小します。

もう一つの利点は、最初の 影響を分析するための監査モードこうすることで、どのプログラムがブロックされたかを確認し、ログを確認して、許可されたフォルダーとアプリケーションのリストを調整してから、厳格なブロックを実行することで、実稼働環境での予期せぬ事態を回避できます。

Windowsでデフォルトで保護されているフォルダ

Windowsはデフォルトで、いくつかの一般的なファイルの場所を保護対象としてマークします。これには以下が含まれます。 ユーザープロファイルフォルダをパブリックフォルダとして追加の設定をしなくても、ほとんどのドキュメント、写真、音楽、ビデオが保護されます。

とりわけ、 c:\ユーザー\ \Documents および c:\Users\Public\Documentsシステムにフォルダーが存在する場合、ピクチャ、ビデオ、ミュージック、お気に入りに相当するパス、および LocalService、NetworkService、systemprofile などのシステム アカウントに相当するパスも提供されます。

これらの場所は、ユーザーのプロフィールに表示され、 ファイルエクスプローラーの「このPC」したがって、これらは通常、Windows の内部フォルダー構造についてあまり考えずに日常的に使用するものになります。

注意を払うことが重要です デフォルトで保護されているフォルダはリストから削除できません他の場所に独自のフォルダーを追加することもできますが、工場出荷時に作成されたフォルダーは常に保護された状態となり、重要な領域で誤って防御を無効にするリスクを最小限に抑えます。

Windowsセキュリティからフォルダーアクセスの制御を有効にする方法

ほとんどの家庭ユーザーや多くの中小企業にとって、この機能を有効にする最も簡単な方法は システムに含まれるWindowsセキュリティアプリケーション追加のものをインストールする必要はありません。いくつかのオプションを変更するだけです。

まず、スタートメニューを開き、次のように入力します。 「Windows セキュリティ」または「Windows セキュリティ」 アプリケーションを起動します。メインパネルで「ウイルスと脅威の防止」セクションに移動します。ここに、Defenderのマルウェア関連オプションがあります。

その画面内で、以下のセクションが見つかるまで下にスクロールします。 「ランサムウェアからの保護」 「ランサムウェア対策の管理」をクリックします。サードパーティ製のウイルス対策ソフトをご利用の場合は、ここにその製品への参照が表示されることがあります。 この機能は使用できません そのウイルス対策がアクティブな間。

ランサムウェア保護画面には、 「フォルダへのアクセス制御」これをアクティブ化し、システムにユーザー アカウント制御 (UAC) の警告が表示された場合は、それを承認して管理者権限で変更を適用します。

有効にすると、いくつかの追加オプションが表示されます。 履歴をブロック、保護されたフォルダ 制御されたフォルダアクセスを通じてアプリケーションを許可する機能も備えています。必要に応じて設定を微調整できます。

制御されたフォルダーアクセスの構成と調整

関数が実行されると、ほとんどの場合、 日常生活で何か異常なことに気づかないただし、使用しているアプリケーションが保護されたフォルダーに書き込もうとし、信頼できるリストに登録されていない場合は、警告が表示されることがあります。

通知を受け取った場合は、いつでもWindowsセキュリティに戻って入力できます。 ウイルス対策と脅威からの保護 > ランサムウェア対策の管理そこから、ブロック、フォルダー、許可されたアプリの設定に直接アクセスできます。

のセクション 「ブロック履歴」ではすべてのブロックのリストが表示されます レポートには、インシデントの詳細（停止されたファイルまたは実行ファイル、停止された日時、アクセスしようとした保護されたフォルダ、重大度（低、中、高、重大））が表示されます。信頼できるプログラムであることが確実な場合は、そのプログラムを選択し、「デバイスで許可」を選択してブロックを解除できます。

「保護されたフォルダ」セクションでは、現在フォルダアクセス制御によって保護されているすべてのパスが表示されます。そこから以下の操作が可能です。 新しいフォルダを追加したり、追加したフォルダを削除したりしますただし、ドキュメントやピクチャなどのデフォルトの Windows フォルダーは、リストから削除できません。

いつでも、この機能が邪魔すぎると感じたら、 制御されたフォルダーアクセススイッチを再度無効にする 同じ画面から。変更は即座に反映され、有効化前の状態に戻りますが、ランサムウェアに対する防御力は失われます。

保護されたフォルダを追加または削除する

誰もがWindows標準のライブラリにドキュメントを保存するわけではありません。普段Windowsで作業している場合、 他のドライブ、プロジェクトフォルダ、またはカスタムパスフォルダーへの制御されたアクセスの保護の範囲内にそれらを含めることに興味があります。

Windowsセキュリティアプリを使用すると、プロセスは非常に簡単です。ランサムウェア保護セクションで、 「保護されたフォルダ」を選択し、UAC通知に同意します 表示される場合は、現在保護されているフォルダーのリストと「保護されたフォルダーを追加」ボタンが表示されます。

そのボタンを押すとブラウザウィンドウが開き、 追加したいフォルダを選択してくださいパス（例えば、別のドライブ上のフォルダ、プロジェクトの作業ディレクトリ、あるいはマッピングされたネットワークドライブなど）を選択し、確定します。この時点から、信頼されていないアプリによるフォルダの変更試行はすべてブロックまたは監査されます。

後で特定のフォルダを保護したくない場合は、 リストから選択して「削除」を押します削除できるのは、追加したフォルダーのみです。Windows によって既定で保護されているフォルダーは、重要な領域が気付かないうちに保護されていない状態になることを避けるため、削除できません。

ローカルユニットに加えて、 ネットワーク共有とマップされたドライブワイルドカードはサポートされていませんが、パス内で環境変数を使用することは可能です。これにより、より複雑な環境や自動設定スクリプトを用いた場所のセキュリティ保護において、高い柔軟性が得られます。

ブロックされた信頼できるアプリを許可する

この機能を有効にすると、特に以下のような場合に、正当なアプリケーションが影響を受けることがよくあります。 データはドキュメント、画像、または保護されたフォルダーに保存されます。PC ゲーム、あま​​り知られていないオフィス ツール、または古いプログラムでは、入力しようとするとフリーズが発生することがあります。

このような場合、Windowsセキュリティ自体がオプションを提供しています。 「制御されたフォルダーアクセスを通じてアプリケーションを許可する」ランサムウェア保護パネルからこのセクションに移動し、「許可されたアプリケーションの追加」をクリックします。

リストからアプリケーションを追加することができます 「最近ブロックされたアプリ」 (何かがすでにブロックされていて、それを許可したい場合に非常に便利です)、またはすべてのアプリケーションを参照して、保護されたフォルダーに書き込む必要があることがわかっている特定のプログラムを予測し、信頼できるプログラムとしてマークします。

アプリケーションを追加するときは、 実行ファイルへの正確なパスを指定する特定の場所のみが許可されます。プログラムが同じ名前の別のパスに存在する場合、許可リストに自動的に追加されず、制御されたフォルダー アクセスによってブロックされる可能性があります。

アプリやサービスを許可した後でも、 進行中のプロセスはイベントを生成し続ける可能性がある 停止して再起動するまで、例外は発生しません。つまり、新しい例外を完全に有効にするには、アプリケーション（またはサービス自体）を再起動する必要がある場合があります。

高度なエンタープライズ管理: Intune、Configuration Manager、グループ ポリシー

企業環境では、チームごとに手動で設定を変更することは一般的ではありませんが、 集中化されたポリシーを定義する 制御された方法で展開されます。制御されたフォルダーアクセスは、さまざまなMicrosoftデバイス管理ツールと統合されています。

たとえばMicrosoft Intuneを使用すると、 攻撃対象領域削減指令 Windows 10、Windows 11、Windows Server 向け。プロファイルには、フォルダーへのアクセス制御を有効にするための特定のオプションがあり、「有効」、「無効」、「監査モード」、「ディスクの変更のみをブロック」、「ディスクの変更のみを監査」などのモードを選択できます。

Intuneの同じ指示から、 保護されたフォルダを追加する （デバイス上のWindowsセキュリティアプリと同期）また、これらのフォルダーへの書き込み権限を常に付与する信頼できるアプリも指定できます。これは、Defenderの自動レピュテーションベースの検出を補完するものです。

組織でMicrosoft Configuration Managerを使用している場合は、次のポリシーも展開できます。 Windows Defenderの エクスプロイトガード「資産とコンプライアンス > エンドポイント保護 > Windows Defender Exploit Guard」から脆弱性保護ポリシーが作成され、制御されたフォルダー アクセス オプションが選択され、変更をブロックするか、監査のみを行うか、他のアプリを許可するか、他のフォルダーを追加するかを選択します。

一方、この機能は、グループ ポリシー オブジェクト (GPO) を使用して非常に細かく管理できます。 グループポリシー管理エディター[コンピューターの構成] > [管理用テンプレート] では、Microsoft Defender ウイルス対策とその Exploit Guard セクションに対応する Windows コンポーネントにアクセスできます。ここには、フォルダーへの制御されたアクセスに関連するいくつかのポリシーがあります。

これらのポリシーには次のものが含まれます。 「フォルダへのアクセス制御を構成する」では、モード (有効、無効、監査モード、ディスクの変更のみをブロック、ディスクの変更のみを監査) を設定できるほか、「保護されたフォルダーを構成する」または「許可されたアプリケーションを構成する」のエントリも設定できます。ここで、フォルダーと実行可能ファイルのパスと指定された値を入力すると、許可済みとしてマークされます。

PowerShellとMDM CSPを使用して構成を自動化する

管理者や上級ユーザーにとって、PowerShellは非常に簡単な方法を提供します。 フォルダへのアクセス制御を有効化、無効化、または調整する Microsoft Defender コマンドレットを使用します。これは、展開スクリプト、自動化、またはバッチでの変更の適用に特に便利です。

まず、昇格した権限でPowerShellウィンドウを開きます: スタートメニューの「PowerShell」を右クリックし、「管理者として実行」を選択します。。中に入ると、次のことができます。 機能をアクティブにする コマンドレットを使用する:

例： Set-MpPreference -EnableControlledFolderAccess Enabled

実際に何かをブロックせずに動作を評価したい場合は、 監査モード Enabled を AuditMode に置き換え、完全に無効にしたい場合は、同じパラメータで Disabled を指定するだけです。これにより、必要に応じてモードを素早く切り替えることができます。

PowerShellから追加のフォルダを保護するには、コマンドレットがあります。 追加-MpPreference -ControlledFolderAccessProtectedFoldersに、保護するフォルダーのパスを渡します。例:

例： Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

同様に、コマンドレットを使用して特定のアプリケーションを許可することもできます。 追加-MpPreference -ControlledFolderAccessAllowedApplications実行ファイルへのフルパスを指定します。例えば、c:\appsにあるtest.exeというプログラムを承認したい場合は、次のように指定します。

例： Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

管理シナリオでは 携帯電話 （MDM）では、設定はさまざまな方法で公開されます 構成サービスプロバイダー（CSP）保護されたフォルダーの場合は Defender/GuardedFoldersList、許可されたアプリケーションの場合は Defender/ControlledFolderAccessAllowedApplications などがあり、これらのポリシーを互換性のある MDM ソリューションに集中的に統合できます。

イベントログとインシデント監視

チームで何が起こっているかを完全に理解するには、 フォルダへの制御されたアクセスによって生成されるイベント アクションをブロックまたは監査する場合。これは、Microsoft Defender ポータルからでも、Windows イベント ビューアーから直接でも実行できます。

エンドポイントにMicrosoft Defenderを使用している企業では、Microsoft Defenderポータルで イベントと閉塞の詳細なレポート コントロールされたフォルダーアクセスに関連する機能は、通常のアラート調査シナリオに統合されています。高度な検索（高度なハンティング）を実行して、すべてのデバイスにわたるパターンを分析することもできます。

たとえば、 DeviceEventsクエリ 典型的な例は次のようになります。

例： DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

個人チームでは、 WindowsイベントビューアMicrosoftは、制御されたフォルダアクセスイベントのみを集中的に表示するためにインポートできるカスタムビュー（cfa-events.xmlファイル）を提供しています。このビューは、イベント5007（構成変更）、イベント1123および1124（制御されたフォルダアクセスのブロックまたは監査）、イベント1127/1128（保護されたディスクセクターへの書き込みのブロックまたは監査）などのエントリを収集します。

ブロックが発生すると、ユーザーには通常、 不正な変更がブロックされたことを示すシステム内の通知たとえば、「制御されたフォルダー アクセスにより、C:\…\ApplicationName… によるメモリへの変更がブロックされました」のようなメッセージがあり、保護履歴には「保護されたメモリ アクセスがブロックされました」などのイベントが日時とともに反映されます。

フォルダアクセスの制御は非常に強力なツールとなり、 ランサムウェアやその他の脅威を深刻に阻止する 監査モード、許可されたフォルダとアプリケーションのリスト、管理ツールとの統合など、柔軟性を保ちながら、ファイルを破壊しようとするマルウェアを阻止します。適切に設定し、定期的なバックアップと最新のウイルス対策ソフトウェアと組み合わせることで、Windows 11が提供する、最も重要なドキュメントを安全に保つための最高の機能の一つとなります。