グループポリシーとPowerShellを使用して制御されたフォルダーアクセスを構成する

制御されたフォルダアクセスは、 (Controlled folder access)MicrosoftDefenderAntivirusの一部であるMicrosoftDefenderExploitGuardで利用できる侵入防止機能です。これは主にランサムウェアがデータ/ファイルを暗号化するのを防ぐように設計されていますが、他の悪意のあるアプリケーションからの不要な変更からファイルを保護します。この投稿では、Windows11/10でグループポリシーとPowerShellを使用して制御フォルダーアクセスを構成する方法を紹介します。(configure Controlled Folder Access using Group Policy & PowerShell)

この機能はWindows10では(Windows 10)オプションですが、有効にすると、保護されたフォルダー内のファイルに変更を加えようとする実行可能ファイル、スクリプト、およびDLLを追跡できます。(DLLs)アプリまたはファイルが悪意のあるものであるか認識されていない場合、この機能はリアルタイムで試行をブロックし、疑わしいアクティビティの通知を受け取ります。

グループポリシー(Group Policy)を使用して制御されたフォルダーアクセスを構成する(Folder Access)

グループポリシー(Group Policy)を使用して制御フォルダーアクセス(Controlled Folder Access)を構成するには、最初にこの機能を有効にする必要があります。完了したら、次の設定に進むことができます。

ローカルグループポリシーエディター(Local Group Policy Editor)を使用して保護するための新しい場所を追加する

制御されたフォルダアクセス-保護のために新しい場所を追加します

制御されたフォルダアクセスが有効になっている場合、基本フォルダはデフォルトで追加されます。別の場所にあるデータを保護する必要がある場合は、保護フォルダーの構成(Configure protected folders)ポリシーを使用して新しいフォルダーを追加できます。

方法は次のとおりです。

  • Windows key + Rを押して、[実行]ダイアログを呼び出します
  • [ファイル名を指定して実行]ダイアログボックスgpedit.mscで、Enterキーを押して、グループポリシーエディターを開き(open Group Policy Editor)ます。
  • ローカルグループポリシーエディター(Local Group Policy Editor)内で、左側のウィンドウを使用して以下のパスに移動します。
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
  • 右側のペインで[保護フォルダー(Configure protected folders)の構成]ポリシーをダブルクリックして、 そのプロパティを編集します。
  • [有効(Enabled)]ラジオボタンを選択し ます。
  • [オプション(Options)]セクションで、[表示(Show) ]ボタンをクリックします。
  • [値の名前(Value name)]フィールドにフォルダのパス(例:; F:MyData)を入力し、[値]フィールドに(Value)0を追加して、保護する場所を指定します。この手順を繰り返して、さらに場所を追加します。
  • OK  ]ボタンをクリックします。
  • 適用(Apply) ]ボタンをクリックします。
  • OK  ]ボタンをクリックします。

これで、新しいフォルダが制御(Controlled)されたフォルダアクセスの保護リストに追加されます。変更を元に戻すには、上記の手順に従いますが、[ 未構成(Not Configured)]または[無効(Disabled)]オプションを選択します。

ローカルグループポリシーエディターを使用して、(Local Group Policy Editor)制御(Controlled)されたフォルダーアクセスでアプリをホワイトリストに登録する

制御されたフォルダーアクセス-ホワイトリストアプリ

  • ローカルグループポリシーエディターを開きます。
  • ローカルグループポリシーエディター(Local Group Policy Editor)内で、左側のウィンドウを使用して以下のパスに移動します。
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
  •  右側のペインで[許可されたアプリケーション(Configure allowed applications)の構成]ポリシーをダブルクリックして、そのプロパティを編集します。
  • [有効(Enabled)]ラジオボタンを選択し ます。
  • [オプション(Options)]セクションで、[表示(Show) ]ボタンをクリックします。
  • 許可するアプリの.exe(.exe)ファイルの場所(例:; C:Program Files (x86)GoogleChromeApplicationchrome.exe)を[値の名前(Value name)]フィールドに指定し、[値]フィールドに(Value)0を追加します。この手順を繰り返して、さらに場所を追加します。
  • OK  ]ボタンをクリックします。
  • 適用(Apply) ]ボタンをクリックします。
  • OK  ]ボタンをクリックします。

これで、制御されたフォルダーアクセスがオンになっているときに、指定されたアプリがブロックされず、保護されたファイルとフォルダーに変更を加えることができるようになります。変更を元に戻すには、上記の手順に従いますが、[ 未構成(Not Configured)]または[無効(Disabled)]オプションを選択します。

Windows 11/10 Homeユーザーの場合、ローカルグループポリシーエディター(add Local Group Policy Editor)機能を追加してから、上記の手順を実行するか、以下のPowerShellメソッドを実行できます。

PowerShellを使用して制御フォルダーアクセスを構成する(Folder Access)

グループポリシー(Group Policy)を使用して制御フォルダーアクセス(Controlled Folder Access)を構成するには、最初にこの機能を有効にする必要があります。完了したら、次の設定に進むことができます。

(Add)PowerShellを使用して保護するための新しい場所を追加する

  • Windowsキー+Xを押して、パワーユーザーメニューを開きます(open Power User Menu)
  • キーボードのA( A)をタップして、 PowerShellを管理/昇格モードで起動します。
  • PowerShellコンソールで、以下のコマンドを入力し、Enterキー(Enter)を押します。
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

コマンドで、許可するアプリの場所と実行可能ファイルの実際のパスをプレースホルダーに置き換えF: olderpath oaddます。したがって、たとえば、コマンドは次のようになります。

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"
  • フォルダを削除するには、以下のコマンドを入力してEnterキー(Enter)を押します。
Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

PowerShellを使用して(PowerShell)制御(Controlled)されたフォルダーアクセスでアプリをホワイトリストに登録する

  • 管理者/昇格モードでPowerShellを起動します。
  • PowerShellコンソールで、以下のコマンドを入力し、Enterキー(Enter)を押します。
Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

コマンドで、許可するアプリの場所と実行可能ファイルの実際のパスをプレースホルダーに置き換えF:path oappapp.exe ます。したがって、たとえば、コマンドは次のようになります。

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

上記のコマンドにより、許可されたアプリのリストにChromeが追加され、フォルダーアクセスの制御が有効になっている場合、アプリの実行とファイルへの変更が許可されます。(Controlled)

  • アプリを削除するには、以下のコマンドを入力してEnterキー(Enter)を押します。
Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

これで、Windows 11/10グループポリシー(Group Policy)PowerShellを使用して制御フォルダーアクセス(Controlled Folder Access)を構成する方法は終わりです。



About the author

こんにちは潜在的な雇用主!私は、この分野で 7 年以上の経験を持つ、経験豊富なソフトウェア エンジニアです。私は、Windows 7 アプリケーションの設計と開発の方法を知っており、プロフィールにさまざまなクールな Web サイトの推奨事項があります。私のスキルと経験は、優れたプロジェクト管理スキル、プログラミング知識、および Web 開発経験を備えた有能な人材を探している企業に最適です。



Related posts