Windows 11/10 でグループポリシーと PowerShell を使用してフォルダーアクセスの制御を構成する

フォルダーアクセスの制御は、Microsoft Defender Exploit Guard、Microsoft Defender ウイルス対策のコンポーネント。その主な目的は、データとファイルの不正な暗号化を防ぎ、ファイルの不正な変更を防ぐことでランサムウェア攻撃を阻止することです。このガイドでは、次の手順を説明します。グループポリシーと PowerShell を介して制御されたフォルダーアクセスを構成するWindows 11/10の場合。

この機能は Windows 11/10 ではオプションですが、この機能を有効にすると、保護されたフォルダー内のファイルに変更を加えようとする実行可能ファイル、スクリプト、および DLL を追跡できます。アプリまたはファイルが悪意のあるものである場合、または認識されない場合、この機能はその試みをリアルタイムでブロックし、不審なアクティビティの通知を受け取ります。

グループポリシーを使用して制御されたフォルダーアクセスを構成する

グループポリシーを使用してフォルダーアクセスの制御を構成するには、まず次のことを行う必要があります。この機能を有効にする。完了したら、次の構成に進むことができます。

ローカルグループポリシーエディターを使用して、保護する新しい場所を追加します。

フォルダーアクセスの制御が有効になっている場合、基本フォルダーがデフォルトで追加されます。別の場所にあるデータを保護する必要がある場合は、保護されたフォルダーを構成する新しいフォルダーを追加するポリシー。

その方法は次のとおりです。

プレスWindowsキー+R「実行」ダイアログを呼び出すには
[ファイル名を指定して実行]ダイアログボックスに次のように入力します。gpedit.mscEnter キーを押して、グループポリシーエディターを開く。
ローカルグループポリシーエディター内で、左側のペインを使用して以下のパスに移動します。

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

ダブルクリックして、保護されたフォルダーを構成する右側のペインでポリシーをクリックして、そのプロパティを編集します。
を選択します。有効ラジオボタン。
の下でオプションセクションで、見せるボタン。
フォルダーのパスを入力して、保護する場所を指定します (例:F:\MyData) で値の名前フィールドと追加0で価値分野。さらに場所を追加するには、この手順を繰り返します。
をクリックします。わかりましたボタン。
をクリックします。適用するボタン。
をクリックします。わかりましたボタン。

新しいフォルダが、制御されたフォルダアクセスの保護リストに追加されます。変更を元に戻すには、上記の手順に従いますが、未構成または無効オプション。

ローカルグループポリシーエディターを使用したフォルダーアクセスの制御でアプリをホワイトリストに登録する

ローカルグループポリシーエディターを開きます。
ローカルグループポリシーエディター内で、左側のペインを使用して以下のパスに移動します。

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

ダブルクリックして、許可されたアプリケーションを構成する右側のペインでポリシーをクリックして、そのプロパティを編集します。
を選択します。有効ラジオボタン。
の下でオプションセクションで、見せるボタン。
アプリの .exe ファイルの場所を指定します (例:C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) で許可したい値の名前フィールドに追加して0で価値分野。さらに場所を追加するには、この手順を繰り返します。
をクリックします。わかりましたボタン。
をクリックします。適用するボタン。
をクリックします。わかりましたボタン。

これで、フォルダーアクセスの制御がオンになっている場合、指定されたアプリはブロックされなくなり、保護されたファイルやフォルダーに変更を加えることができるようになります。変更を元に戻すには、上記の手順に従いますが、未構成または無効オプション。

Windows 11/10 Home ユーザーの場合は、次のことができます。ローカルグループポリシーエディターを追加機能を使用してから、上記の手順を実行するか、以下の PowerShell メソッドを実行できます。

PowerShell を使用して制御されたフォルダーアクセスを構成する

グループポリシーを使用してフォルダーアクセスの制御を構成するには、まずこの機能を有効にする必要があります。完了したら、次の構成に進むことができます。

PowerShell を使用して保護のための新しい場所を追加する

Windows キー + X を押して、パワーユーザーメニューを開く。
タップあキーボードでPowerShellを起動する管理者/昇格モード。
PowerShell コンソールで、以下のコマンドを入力して Enter キーを押します。

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

コマンドでは、F:\folder\path\to\add許可するアプリの場所と実行可能ファイルの実際のパスを含むプレースホルダー。たとえば、コマンドは次のようになります。

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

フォルダーを削除するには、以下のコマンドを入力して Enter キーを押します。

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

PowerShell を使用したフォルダーアクセスの制御でアプリをホワイトリストに登録する

PowerShell を管理者/昇格モードで起動します。
PowerShell コンソールで、以下のコマンドを入力して Enter キーを押します。

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

コマンドでは、F:\path\to\app\app.exe許可するアプリの場所と実行可能ファイルの実際のパスを含むプレースホルダー。たとえば、コマンドは次のようになります。

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

上記のコマンドは、許可されたアプリのリストに Chrome を追加し、フォルダーアクセスの制御が有効になっている場合、アプリの実行とファイルへの変更が許可されます。

アプリを削除するには、以下のコマンドを入力して Enter キーを押します。

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Windows 11/10 でグループポリシーと PowerShell を使用してフォルダーアクセスの制御を構成する方法は以上です。

読む：Windows のコンテキストメニューにフォルダーアクセス制御コマンドを追加する

Windows 11 でフォルダーアクセスの制御を有効にするにはどうすればよいですか?

かなり簡単にできますよWindows 11 で制御されたフォルダーアクセスを有効にするWindows セキュリティアプリから。同じことを行うには、次のように開きますWindows セキュリティスタートから、に移動しますウイルスと脅威の保護 > ランサムウェア保護の管理、そして有効にしますフォルダーアクセスの制御。