「許可されていない変更のブロック」通知を停止するように制御されたフォルダーアクセスを構成する方法

Windows 10 Fall Creators Updateには、Windows Defender Exploit Guardの一部であるControlled folder accessという名前の有益なセキュリティ機能が追加されています許可されていない変更がブロックされた通知に気づいたかもしれません。 Windows Defenderの制御されたフォルダーアクセス機能は、これらの通知の背後にあるものです。 フォルダーアクセスの制御により、ランサムウェアなどの悪意のあるプログラムから貴重なデータを保護できます。

この記事では、CFAを構成し、プログラムの実行時に許可されていない変更がブロックされた通知を防ぐ方法について説明します。

Windows Defender Exploit Guardは、Windows 10の新しいホスト侵入防止機能のセットであり、コンピューターにインストールされているアプリの攻撃面を管理および軽減できます。

Windows 10のフォルダーアクセスの制御とは何ですか?

フォルダーアクセスの制御はWindows 10のランサムウェア対策機能であり、コンピューター上のドキュメント、ファイル、メモリ領域を不審なアプリや悪意のあるアプリ(特にランサムウェア)による変更から保護します。 フォルダーアクセスの制御は、Windows Server 2019およびWindows 10でサポートされています。

フォルダーアクセスの制御により、正当なアプリが保護されたフォルダー(デスクトップ、ドキュメントフォルダーなど)への書き込みをブロックし、 許可されていない変更がブロックされたという通知が表示されることがあります。 特定のアプリケーションを許可したり、「保護された」フォルダーのリストにカスタムフォルダーを追加したりできるように、制御されたフォルダーアクセスを構成します。

ファイルを暗号化して人質にしたランサムウェアからドキュメントや情報を保護するのに特に役立ちます。

制御されたフォルダアクセスの使用方法

前提条件: Windows Defender AVのリアルタイム保護を有効にして、フォルダーアクセスの制御機能を有効にする必要があります。

制御されたフォルダアクセスの有効化

制御されたフォルダアクセスを有効にするには、次の手順を実行します。

  1. 通知領域のDefender盾アイコンをダブルクリックして、Windows Defenderセキュリティセンターを開きます。
  2. [ウイルスと脅威からの保護]をクリックします
  3. [ウイルスと脅威対策の設定]をクリックします

    Windows Defenderで制御されたフォルダアクセスを有効にする
  4. 「フォルダアクセスの制御」設定を有効にします。 確認/同意を取得するために、UACダイアログがポップアップします。

これ以降、制御されたフォルダーアクセスは、保護されたフォルダー内のファイルに対してアプリが行う変更を監視します。

追加のフォルダーの場所の保護を有効にする

デフォルトでは、これらのフォルダーは保護されており、これらのフォルダーの保護を解除する方法はありません。

 ユーザーシェルフォルダー:ドキュメント、画像、ビデオ、音楽、お気に入り、デスクトップパブリックシェルフォルダー:ドキュメント、画像、ビデオ、デスクトップ 

フォルダーアクセスの制御—保護されたフォルダー

ただし、一部のユーザーは自分のファイルを個人用シェルフォルダーまたはライブラリに保存することを好まない場合があります。 彼らはネットワーク共有や他の場所にドキュメントを持っているかもしれません。 その場合、Windows Defenderセキュリティセンターで[ 保護されたフォルダー ]リンクをクリックし、[ 保護されたフォルダーの追加]ボタンをクリックして、Windows Defenderの保護下にフォルダーの場所を追加できます。 ネットワーク共有とマップされたドライブを入力することもできます。

制御されたフォルダーアクセス用のアプリを追加(ホワイトリスト)

Windows Defenderの制御されたフォルダーアクセスは、保護されたフォルダー内のファイルへの(「友好的でない」アプリによる)書き込みアクセスをブロックします。 アプリがこれらのファイルに変更を加えようとし、アプリが機能によってブラックリストに登録されている場合、その試みに関する通知が届きます。

保護されたフォルダーを追加のフォルダーパスで補完できるのと同じように、それらのフォルダーへのアクセスを許可するアプリを追加(ホワイトリスト)することもできます。

ブロックされたメモ帳++

私の場合、制御されたフォルダアクセスにより、サードパーティのテキストエディタプログラムNotepad ++がデスクトップに保存されないようにブロックしていました。

D:\ Tools \ NPP \ notepad ++。exeは、フォルダーアクセスの制御によって%desktopdirectory%\を変更できないようにブロックされています。

また、ブロックされたイベントのイベントログエントリ( Event ID: 1123 )が生成されます。

アプリケーションとサービスログMicrosoftWindowsWindows DefenderOperationalの下に表示されます

フォルダーアクセスの制御–イベントログエントリ
イベントID説明文
5007設定変更時のイベント
1124年監査された制御フォルダーアクセスイベント
1123ブロックされた制御フォルダーアクセスイベント
1127「メモリへの変更」イベントをブロックしましたか?
CFAイベントID:1127に関する公式情報はありません。「メモリに変更を加える」イベントのブロックに関連している可能性があります。 私のシステムで興味深いエントリを見つけました。
 ログ名:Microsoft-Windows-Windows Defender / Operationalソース:Microsoft-Windows-Windows Defender日付:イベントID:1127タスクカテゴリ:なしレベル:警告キーワード:ユーザー:SYSTEMコンピューター:DESKTOP-JKJ4G5Q説明:制御されたフォルダーアクセスがブロックされましたC: \ Program Files \ JAM Software \ TreeSize \ TreeSize.exeがメモリに変更を加えないようにします。 検出時間:2019-04-21T17:17:09.462Zユーザー:DESKTOP-JKJ4G5Q \ rameshパス:\ Device \ HarddiskVolume2プロセス名:C:\ Program Files \ JAM Software \ TreeSize \ TreeSize.exeシグネチャバージョン:1.291.2409.0エンジンバージョン:1.1.15800.1製品バージョン:4.18.1903.4 

最近の25個のブロックされたアプリのリストを取得するには、コマンドプロンプトウィンドウを開いて、次のコマンドラインを実行します。

 wevtutil qe "Microsoft-Windows-Windows Defender / Operational" / q: "* [System [(EventID = 1123)]]" / c:15 / f:text / rd:true | findstr / i "プロセス名:" 

また、この記事の最後にあるPowerShellスクリプトを参照して、リストビューグリッドウィンドウに項目を一覧表示し、シングルクリックで選択した項目をホワイトリストに登録してください。

アクションセンターに表示される、 許可されていない変更がブロックされた通知のリストを次に示します。

ブロックされたアプリに関するアクションセンター通知

Notepad ++は広く使用され、信頼されているプログラムであるため、アプリをすぐに許可しました。 アプリを許可するには、Windows Defenderセキュリティセンターの[ 制御されたフォルダーアクセスによるアプリの許可]オプションクリックします。 次に、許可するアプリを見つけて追加します。

フォルダーアクセスの制御—アプリの許可

最近ブロックされたアプリを許可する

制御されたフォルダアクセスでは、最近ブロックされたアプリを許可することもできます。 ブロックされているアプリのリストを表示するには、[ 許可されたアプリを追加 ]ボタンをクリックし、[ 最近ブロックされたアプリ ]をクリックします

最近ブロックされたアプリのリストが表示されます。 リストからアプリを選択してクリックし、許可リストに追加できます。 これを行うには、アプリエントリの近くにある+グリフアイコンまたはボタンをクリックする必要があります。

$config[ads_text6] not found

ここでは、例としてPowerShell.exeプロセスをホワイトリストに登録しました。

信頼できるアプリのみを許可するようにしてください。 脆弱性のあるコンピューターで暗号化マルウェアがPowerShellコマンドまたはスクリプトをサイレント実行する可能性があるため、PowerShell.exeの許可は細心の注意を払って行う必要があります。

PowerShellを使用して制御されたフォルダーアクセスを管理する

PowerShellのSet-MpPreferenceコマンドレットは多くのパラメーターをサポートしているため、スクリプトを介してすべてのWindows Defender設定を適用できます。 このコマンドレットでサポートされているパラメーターの完全なリストについては、このMicrosoftページを確認してください。

PowerShellを使用して制御されたフォルダーアクセスを有効にする

管理者としてpowershell.exeを起動します。 これを行うには、[スタート]メニューに「 powershellし、[Windows PowerShell]を右クリックして、[管理者として実行]をクリックします。

次のコマンドレットを入力します。

 Set-MpPreference -EnableControlledFolderAccess有効 

PowerShellコマンドレットを使用して制御されたフォルダーアクセスを管理する

無効にするには、次のコマンドを使用します。

 Set-MpPreference -EnableControlledFolderAccess無効 

PowerShellを使用して追加のフォルダーを保護する

 Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\ apps" 

PowerShellを使用して特定のアプリ(Notepad ++)を許可する

 Add-MpPreference -ControlledFolderAccessAllowedApplications "d:\ tools \ npp \ notepad ++。exe" 

ブロックされたすべてのアプリに、PowerShellを使用して(インタラクティブに)制御されたフォルダーアクセスを許可する

Redditor / u / gschizasは、Windows Defenderの制御されたフォルダーアクセスによってブロックされたアプリのリストを収集するために、イベントログ(「ブロックされた制御されたフォルダーアクセス」イベントであるID: 1123エントリ)を解析するきちんとした小さなPowerShellスクリプトを考案しました。 スクリプトは、リストからすべてまたは選択したプログラムをホワイトリストに登録することを提案します。

スクリプトの使い方は?

  • 管理者としてPowerShellを開きます。
  • gschizas GitHubページにアクセス
  • コードのすべての行を選択し、クリップボードにコピーします。
  • PowerShellウィンドウに切り替えて内容を貼り付け、Enterキーを押します

    制御フォルダーアプリを通じてすべてのアプリを許可する– PowerShellスクリプト

    ブロックされたアプリのリストが表示され、イベントログに記録されます。

    ホワイトリストに登録するアプリを選択してください
  • ホワイトリストに登録するアプリを選択して、[OK]をクリックします。 プログラムを複数選択するには、Ctrlボタンを押して、対応するエントリをクリックします。
  • OKをクリックします。

    これにより、制御されたフォルダーアクセスを介したアプリの一括アクセスが可能になります。

    制御フォルダーアプリの「許可」リストに追加されたアプリ

エンタープライズ環境では、制御されたフォルダアクセスは以下を使用して管理できます。

  • 1. Windows Defender Security Centerアプリ
  • 2.グループポリシー
  • 3. PowerShell

トラブルシューティング:制御されたフォルダーアクセスオプションがないか、淡色表示されているか、アクセスできない

[スタート]から[制御されたフォルダアクセス]ページを開こうとすると、次のエラーメッセージが表示されることがあります。

利用できないページ

IT管​​理者はこのアプリの一部の領域へのアクセスを制限しており、アクセスしようとしたアイテムは利用できません。 詳細については、ITヘルプデスクにお問い合わせください。

上記のエラーの原因がコンピューターに有効なグループポリシーの制限にあるのかどうか疑問に思われるかもしれません。 必ずしもそうであるとは限りません。

このエラーは、コンピューターでサードパーティのウイルス対策ソリューションを使用している場合に発生します。これにより、組み込みのWindows Defenderが無効になります。 前述のように、 制御されたフォルダアクセス機能は、Windows Defenderのリアルタイム保護に完全に依存しています。 Windows Defenderがオフになっている場合、制御されたフォルダアクセスは機能しません。 したがって、使用しているWindows 10のビルドに応じて、ページにアクセスできないかグレー表示されたままになります。

私の場合、Malwarebytes Premiumをインストールした後にエラーが発生しました。 Windows Defenderに取って代わりました。

注: Malwarebytesプレミアムユーザーの場合でも、Malwarebytesプレミアムと一緒にWindows Defenderを有効にして使用できます。

これを行うには、Malwarebytes Premium→設定→アプリケーション→ WindowsアクションセンターでMalwarebytesを登録しないを有効にします

このオプションにより、Malwarebytes PremiumはWindows Defenderをオフにせず、Defenderと一緒に実行されます。 したがって、制御されたフォルダアクセス機能も機能します。 Malwarebytesプログラムのステータスはアクションセンターに表示されません。

デスクトップショートカットを使用したフォルダーアクセスの制御を有効または無効にする

状況によっては、プログラムが各プログラムをホワイトリストに登録しなくても、保護されたフォルダーにプログラムが書き込みできるように、制御されたフォルダーアクセスを一時的に無効にする必要があります。 たとえば、ShareXプログラムをホワイトリストに登録している場合でも、ビデオキャプチャおよび処理ツールFFMpeg.exeがControlled Folder Accessでホワイトリストに登録されていないため、画面キャプチャが機能しない可能性があります。 また、外部プログラムを永久に許可したくない場合もあります。

この目的で、2つのデスクトップショートカットを作成して、制御されたフォルダアクセスをすばやく有効/無効にすることができます。

  1. デスクトップを右クリックし、[新規]、[ショートカット]の順にクリックします
  2. [アイテムの場所を入力してください]テキストボックスに、次のコマンドを入力します。
     powershell.exe -command "&{Set-MpPreference -EnableControlledFolderAccess Enabled}" 

  3. ショートカットに「Enable Controlled Folder Access」という名前を付けます。

    クイックヒント:コマンドの実行時にPowerShellウィンドウを表示したくない場合は、ショートカットの[プロパティ]タブで最小化して実行するように設定できます。 もちろん、これらのショートカットを機能させるには、PowerShell.exeをホワイトリストに登録する必要があります。 ホワイトリストに登録する場合、PowerShellの実行可能パスはC:\Windows\system32\WindowsPowerShell\v1.0\powershell.exeです。

  4. 同様に、次のターゲットで別のショートカットを作成します。
     powershell.exe -command "&{Set-MpPreference -EnableControlledFolderAccess Disabled}" 

    「制御されたフォルダアクセスを無効にする」という名前を付け、オプションで、必要に応じて両方のアイテムのショートカットアイコンを変更します。

管理者として実行

ショートカット/コマンドは、(管理者として)昇格して実行する必要があります。 したがって、各ショートカットを右クリックし、[プロパティ]をクリックします。 「詳細」をクリックし、「 管理者として実行 」チェックボックスを有効にして、「OK」、「OK」をクリックします。

他のショートカットについても同じ手順を繰り返します。

おわりに

Windows Defenderは、ほぼすべてのWindows 10ビルドで新しいセキュリティ機能を備えています。 いくつか例を挙げれば、Windows Defenderオフラインスキャナー、限定定期スキャン、「一目でわかるブロック」のクラウド保護と自動サンプル送信、アドウェアまたはPUA / PUP保護機能、およびアプリケーションガードです。

$config[ads_text6] not found

また、Fall Creators Updateで導入された制御フォルダーアクセスは、ランサムウェアなどの脅威からシステムを保護するためのもう1つの価値ある機能です。

関連記事

  • Windows 10でファイルをデスクトップに保存できず、エラー「ファイルが見つかりません」

関連記事