制御されたフォルダアクセスは、 ^{(Controlled folder access)}MicrosoftDefenderAntivirusの一部であるMicrosoftDefenderExploitGuardで利用できる侵入防止機能です。これは主にランサムウェアがデータ/ファイルを暗号化するのを防ぐように設計されていますが、他の悪意のあるアプリケーションからの不要な変更からファイルを保護します。この投稿では、Windows11/10でグループポリシーとPowerShellを使用して制御フォルダーアクセスを構成する方法を紹介します。^{(configure Controlled Folder Access using Group Policy & PowerShell)}

この機能はWindows10では^{(Windows 10)}オプションですが、有効にすると、保護されたフォルダー内のファイルに変更を加えようとする実行可能ファイル、スクリプト、およびDLLを追跡できます。^(DLLs)アプリまたはファイルが悪意のあるものであるか認識されていない場合、この機能はリアルタイムで試行をブロックし、疑わしいアクティビティの通知を受け取ります。

グループポリシー^{(Group Policy)}を使用して制御されたフォルダーアクセスを構成する^{(Folder Access)}

グループポリシー^{(Group Policy)}を使用して制御フォルダーアクセス^{(Controlled Folder Access)}を構成するには、最初にこの機能を有効にする必要があります。完了したら、次の設定に進むことができます。

ローカルグループポリシーエディター^{(Local Group Policy Editor)}を使用して保護するための新しい場所を追加する

制御されたフォルダアクセスが有効になっている場合、基本フォルダはデフォルトで追加されます。別の場所にあるデータを保護する必要がある場合は、保護フォルダーの構成^{(Configure protected folders)}ポリシーを使用して新しいフォルダーを追加できます。

方法は次のとおりです。

• Windows key + Rを押して、[実行]ダイアログを呼び出します
• [ファイル名を指定して実行]ダイアログボックスgpedit.mscで、Enterキーを押して、グループポリシーエディターを開き^{(open Group Policy Editor)}ます。
• ローカルグループポリシーエディター^{(Local Group Policy Editor)}内で、左側のウィンドウを使用して以下のパスに移動します。

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• 右側のペインで[保護フォルダー^{(Configure protected folders)}の構成]ポリシーをダブルクリックして、 そのプロパティを編集します。
• [有効^(Enabled)]ラジオボタンを選択し ます。
• [オプション^(Options)]セクションで、[表示^(Show) ]ボタンをクリックします。
• [値の名前^{(Value name)}]フィールドにフォルダのパス（例：; F:MyData）を入力し、[値]フィールドに^(Value)0を追加して、保護する場所を指定します。この手順を繰り返して、さらに場所を追加します。
• [  OK  ]ボタンをクリックします。
• [ 適用^(Apply) ]ボタンをクリックします。
• [  OK  ]ボタンをクリックします。

これで、新しいフォルダが制御^(Controlled)されたフォルダアクセスの保護リストに追加されます。変更を元に戻すには、上記の手順に従いますが、[ 未構成^{(Not Configured)}]または[無効^(Disabled)]オプションを選択します。

ローカルグループポリシーエディターを使用して、^{(Local Group Policy Editor)}制御^(Controlled)されたフォルダーアクセスでアプリをホワイトリストに登録する

• ローカルグループポリシーエディターを開きます。
• ローカルグループポリシーエディター^{(Local Group Policy Editor)}内で、左側のウィンドウを使用して以下のパスに移動します。

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

•  右側のペインで[許可されたアプリケーション^{(Configure allowed applications)}の構成]ポリシーをダブルクリックして、そのプロパティを編集します。
• [有効^(Enabled)]ラジオボタンを選択し ます。
• [オプション^(Options)]セクションで、[表示^(Show) ]ボタンをクリックします。
• 許可するアプリの.exe^(.exe)ファイルの場所（例：; C:Program Files (x86)GoogleChromeApplicationchrome.exe）を[値の名前^{(Value name)}]フィールドに指定し、[値]フィールドに^(Value)0を追加します。この手順を繰り返して、さらに場所を追加します。
• [  OK  ]ボタンをクリックします。
• [ 適用^(Apply) ]ボタンをクリックします。
• [  OK  ]ボタンをクリックします。

これで、制御されたフォルダーアクセスがオンになっているときに、指定されたアプリがブロックされず、保護されたファイルとフォルダーに変更を加えることができるようになります。変更を元に戻すには、上記の手順に従いますが、[ 未構成^{(Not Configured)}]または[無効^(Disabled)]オプションを選択します。

Windows 11/10 Homeユーザーの場合、ローカルグループポリシーエディター^{(add Local Group Policy Editor)}機能を追加してから、上記の手順を実行するか、以下のPowerShellメソッドを実行できます。

PowerShellを使用して制御フォルダーアクセスを構成する^{(Folder Access)}

グループポリシー^{(Group Policy)}を使用して制御フォルダーアクセス^{(Controlled Folder Access)}を構成するには、最初にこの機能を有効にする必要があります。完了したら、次の設定に進むことができます。

^(Add)PowerShellを使用して保護するための新しい場所を追加する

• Windowsキー+Xを押して、パワーユーザーメニューを開きます^{(open Power User Menu)}。
• キーボードのA^{( A)}をタップして、 PowerShellを管理/昇格モードで起動します。
• PowerShellコンソールで、以下のコマンドを入力し、Enterキー^(Enter)を押します。

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

コマンドで、許可するアプリの場所と実行可能ファイルの実際のパスをプレースホルダーに置き換えF:olderpath oaddます。したがって、たとえば、コマンドは次のようになります。

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• フォルダを削除するには、以下のコマンドを入力してEnterキー^(Enter)を押します。

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

PowerShellを使用して^(PowerShell)制御^(Controlled)されたフォルダーアクセスでアプリをホワイトリストに登録する

• 管理者/昇格モードでPowerShellを起動します。
• PowerShellコンソールで、以下のコマンドを入力し、Enterキー^(Enter)を押します。

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

コマンドで、許可するアプリの場所と実行可能ファイルの実際のパスをプレースホルダーに置き換えF:path oappapp.exe ます。したがって、たとえば、コマンドは次のようになります。

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

上記のコマンドにより、許可されたアプリのリストにChromeが追加され、フォルダーアクセスの制御が有効になっている場合、アプリの実行とファイルへの変更が許可されます。^(Controlled)

• アプリを削除するには、以下のコマンドを入力してEnterキー^(Enter)を押します。

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

これで、Windows 11/10グループポリシー^{(Group Policy)}とPowerShellを使用して制御フォルダーアクセス^{(Controlled Folder Access)}を構成する方法は終わりです。

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Folder Redirection Group Policy SCCMを使用するときは適用されません

• Group Policyを使用してstandalone browserとしてInternet Explorer 11を無効にします

• Group Policy EditorをWindows 10 Home Editionに追加する方法

• 取り外し可能Media SourceからProgramsのPrevent installation

• Windows Updatesの場合はDelivery Optimization Cache Driveを変更してください

• Windows 10のImport or Export Group Policy settingsの方法

• Group Policy or Registryを使用してZoom autoアップデートを有効または無効にします

• Edge browserでAudio Sandboxを有効にする方法

• Windows 10の場合はGroup Policy Settings Reference Guide

• ページが表示されないページは、IT administratorに限定された場所にアクセスできます

• ユーザーがDiagnostic DataのDiagnostic Dataを削除するのを防ぐ方法

• Windows 10でローカルGroup Policy Editorを開くとエラーが発生しました

• Desktop Background Group PolicyがWindows 10には適用されません

• Windows 11/10でLayered Group Policyを適用する方法

• EdgeでEdgeを使用してRegistry or Group Policyを使用して無効にします

• Windows 10でPicture Password Sign-In optionを無効にする方法

• Windows 10コンピュータに適用さGroup Policyを確認する方法

• 無効：この種のファイルを開くことができる新しいアプリがあります

• Computer policyは正常に更新できませんでした

• Windows 10のGroup Policyを使ってNetwork Driveをマッピングする方法