手順 4. デバイスを保護する

ランサムウェア攻撃の最初のアクセス部分からデバイス (エンドポイント) を保護するために:

• Intuneを、デバイスのモバイル デバイス管理 (MDM) およびモバイル アプリケーション管理 (MAM) プロバイダーとして展開し、組織所有のデバイスを登録します。
• ユーザー アカウントの資格情報を検証し、デバイスの正常性とコンプライアンスの要件を適用するために、共通 ID およびデバイス アクセス ポリシーを実装します。
• Microsoft Defender for EndpointとMicrosoft Defender XDRでネットワーク保護を有効にします。
• Microsoft Defender SmartScreen のサイトとダウンロードのチェック と アプリとファイルのチェックを設定して、ブロックまたは警告します。
• ダウンロードしたファイルと添付ファイルのMicrosoft Defender ウイルス対策スキャンを有効にします。
• Microsoft Defender for EndpointとMicrosoft Defender XDRでリモート デスクトップのセキュリティ レベルを TLS に設定します。

Windows 11 または 10 デバイス

Windows 11 または 10 デバイスからの攻撃の横移動部分から保護するためには:

• Microsoft Defender ファイアウォールを有効にします。
• Microsoft Defender ウイルス対策の定義を更新します。

攻撃の影響を軽減するには:

• 攻撃面の減少ルールとランサムウェアに対する高度な保護を使用します。

セキュリティ防御を回避する攻撃者から保護するには:

• Microsoft Defender ウイルス対策でクラウドによる保護をオンのままにします。
• Microsoft Defender ウイルス対策 リアルタイム動作監視をオンのままにします。
• リアルタイム保護を有効にします。
• Microsoft Defender for Endpoint で改ざん防止を有効にして、セキュリティ設定に対する悪意のある変更を防ぎます。

攻撃の一環としてコードを実行する攻撃者から保護するには:

• Microsoft Defender ウイルス対策をオンにします。
• Office マクロからの Win32 API 呼び出しをブロックします。
• Excel 4.0 マクロを必要とするすべてのレガシ ブックを、更新された VBA マクロ形式に移行します。
• 署名されていないマクロの使用を無効にします。 ビジネス ニーズを持つすべての内部マクロが署名されていることを確認し、信頼できる場所を活用して、不明なマクロが環境内で実行されないようにします。
• マルウェア対策スキャン インターフェイス (AMSI) によるランタイム マクロ スキャンがオンになっていることを確認して、悪意のある XLM マクロまたは VBA マクロを停止します。 この機能 (既定で有効) は、マクロのランタイム スキャン スコープのグループ ポリシー設定が [すべてのファイルに対して有効にする]または [低信頼ファイルに対して有効にする]に設定されている場合は、オンになっています。 最新のグループ ポリシー テンプレート ファイルを取得します。

ユーザーへの影響と変更管理

これらの保護を実装するときは、次の変更管理を実行します。

• 一般的なゼロ トラスト ID とデバイスのアクセス ポリシーは、非準拠デバイスを持つユーザーへのアクセスを拒否できます。
• ファイルをダウンロードしようとすると、ダウンロード前にユーザーに警告が表示されたり、ブロックされたりする可能性があります。
• 一部の Office、Excel 4.0、XLM、または VBA マクロは実行されなくなる可能性があります。

最終的な構成

手順 1 から 4 のテナントのランサムウェア保護を次に示します。

次の手順

手順 5 に進み、Microsoft 365 テナントで 情報を保護します。