「Windows 10ミニTips」は各回の作成時点で最新のWindows 10環境を使用しています。

フォルダーアクセスのコントロール機能で保護する

Windows 10 バージョン1709では、脆弱性を緩和するEMET(Enhanced Mitigation Experience Toolkit)の開発を終了し、Windows Defender Exploitation Guardへ統合したが、その一環として新たな機能が加わった。それが「コントロールされたフォルダーアクセス」である。

「コントロールされたフォルダーアクセス」は、ファイルシステムを暗号化してユーザーに身代金を要求するランサムウェアなど、マルウェアによるファイルやフォルダーの変更を抑止する機能だ。既定では無効になっており、以下の手順で有効化する。

検索ボックスに「Windows Defender」と入力し、検索結果の「Windows Defenderセキュリティセンター」をクリック/タップ

「ウイルスと脅威の防止」→「ウイルスの脅威の防止の設定」と順にクリック/タップ

「コントロールされたフォルダーアクセス」をクリック/タップして、スイッチをオンに切り替える

この状態で各ユーザー、およびパブリックユーザーの「デスクトップ」「ドキュメント」「ビデオ」「ピクチャー」「ミュージック」、そして各ユーザーの「お気に入り」フォルダーが保護対象となる。「保護されたフォルダーを追加する」を使えば、任意のフォルダーを保護対象に加えることも可能だ。

「保護されているフォルダー」をクリック/タップすると、対象フォルダーの確認や追加が行える

動作を確認してみよう。例えばコマンドプロンプト上でファイル名を変更すると、Windows Defenderセキュリティセンターによる警告通知が現れ、ファイル操作に失敗する。エクスプローラーなどWindows 10の標準アプリケーションは抑止対象外となり、ファイルやフォルダーの操作は可能だ。

コマンドプロンプト上でファイル名の変更を試みると、操作失敗と共に警告通知が現れる

許可リストにアプリを追加する

このように安全性が高まる「コントロールされたフォルダーアクセス」だが、保護状態を維持したまま、任意のアプリケーションによる操作を有効したいシナリオも想定される。その場合は、「許可されたアプリを追加する」からアプリケーションの実行ファイルを追加すればよい。

先の画面で「アプリをコントロールされたフォルダーアクセスで許可する」をクリック/タップし、「許可されたアプリを追加する」をクリック/タップ

今回の例ではコマンドプロンプトを追加するため、「%SystemRoot%\System32\cmd.exe」を選択して、「開く」ボタンをクリック/タップ

追加したアプリケーションは一覧に追加される。不用になった場合はクリック/タップで選択すると現れる「削除」ボタンで取り除けばよい

ただしこの設定は、新たに起動したアプリケーションに対して適用する仕組みだ。先の手順で起動したコマンドプロンプトで再びファイル名操作を行ってもアクセス拒否となることを確認したため、常駐型アプリケーションを許可リストに追加する場合は、1度終了させてから起動し直すことをおすすめする。

新たにコマンドプロンプトを起動して同じ操作を行うこと、今度はアクセス拒否とならない

阿久津良和(Cactus)