Exploit Guard ポリシーの作成と展開Create and deploy an Exploit Guard policy

適用対象:Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Windows Defender Exploit Guard の 4 つすべてのコンポーネントを管理する Configuration Manager ポリシーを構成し、展開できます。You can configure and deploy Configuration Manager policies that manage all four components of Windows Defender Exploit Guard. コンポーネントには、次が含まれます。These components include:

  • 攻撃の回避Attack Surface Reduction
  • フォルダー アクセスの制御Controlled folder access
  • 悪用に対する保護Exploit protection
  • ネットワーク保護Network protection

Exploit Guard ポリシーのコンプライアンス データは、Configuration Manager コンソールを使用して展開できます。Compliance data for Exploit Guard policy deployment is available from within the Configuration Manager console.

注意

Configuration Manager では、このオプション機能は既定で無効です。Configuration Manager doesn't enable this optional feature by default. この機能は、使用する前に有効にする必要があります。You must enable this feature before using it. 詳細については、「Enable optional features from updates」 (更新プログラムのオプション機能の有効化) を参照してください。For more information, see Enable optional features from updates.

[前提条件]Prerequisites

マネージド デバイスでは、Windows 10 1709 Fall Creators Update 以降を実行し、構成するコンポーネントと規則に応じて次の要件を満たす必要があります。Managed devices must run Windows 10 1709 Fall Creators Update or later and satisfy the following requirements depending on the components and rules configured:

Exploit Guard コンポーネントExploit Guard component 追加の前提条件Additional prerequisites
攻撃の回避Attack Surface Reduction デバイスで Microsoft Defender ATP による常時保護が有効になっている必要があります。Devices must have Microsoft Defender ATP always-on protection enabled.
フォルダー アクセスの制御Controlled folder access デバイスで Microsoft Defender ATP による常時保護が有効になっている必要があります。Devices must have Microsoft Defender ATP always-on protection enabled.
悪用に対する保護Exploit protection なしNone
ネットワーク保護Network protection デバイスで Microsoft Defender ATP による常時保護が有効になっている必要があります。Devices must have Microsoft Defender ATP always-on protection enabled.

Exploit Guard ポリシーを作成するCreate an Exploit Guard policy

  1. Configuration Manager コンソールで、 [資産とコンプライアンス] > [Endpoint Protection] の順に移動し、 [Windows Defender Exploit Guard] をクリックします。In the Configuration Manager console, go to Assets and compliance > Endpoint Protection, and then click Windows Defender Exploit Guard.

  2. [ホーム] タブの [作成] グループで、[Create Exploit Policy](Exploit Policy の作成) をクリックします。On the Home tab, in the Create group, click Create Exploit Policy.

  3. 構成項目の作成ウィザード[全般] ページで、構成項目の名前と、必要に応じて説明を入力します。On the General page of the Create Configuration Item Wizard, specify a name, and optional description for the configuration item.

  4. 次に、このポリシーで管理する Exploit Guard コンポーネントを選択します。Next, select the Exploit Guard components you want to manage with this policy. 選択したコンポーネントごとに、追加の詳細を構成できます。For each component you select, you can then configure additional details.

    • 攻撃の回避: ブロックまたは監査する Office に関連する脅威、スクリプトに関連する脅威、メールに関連する脅威について構成します。Attack Surface Reduction: Configure the Office threat, scripting threats, and email threats you want to block or audit. この規則から特定のファイルまたはフォルダーを除外することもできます。You can also exclude specific files or folders from this rule.
    • フォルダー アクセスの制御: ブロックと監査を構成し、このポリシーをバイパスできるアプリを追加します。Controlled folder access: Configure blocking or auditing, and then add Apps that can bypass this policy. 既定では保護されない追加のフォルダーを指定することもできます。You can also specify additional folders that are not protected by default.
    • 悪用に対する保護: システム プロセスとアプリの悪用を緩和するための設定が記述された XML ファイルを指定します。Exploit protection: Specify an XML file that contains settings for mitigating exploits of system processes and apps. これらの設定は、Windows 10 デバイス上の Windows Defender Security Center アプリからエクスポートできます。You can export these settings from the Windows Defender Security Center app on a Windows 10 device.
    • ネットワーク保護: 疑わしいドメインへのアクセスをブロックまたは監査するネットワーク保護を設定します。Network protection: Set network protection to block or audit access to suspicious domains.
  5. ポリシーを作成するウィザードを完了します。このポリシーはあとでデバイスに展開できます。Complete the wizard to create the policy, which you can later deploy to devices.

    警告

    悪用に対する保護の XML ファイルをコンピューター間で転送する場合は、安全性を維持する必要があります。The XML file for exploit protection should be kept secure when transferring it between machines. インポート後にファイルを削除するか、またはセキュリティで保護された場所に保管する必要があります。The file should be deleted after import or kept in a secure location.

Exploit Guard ポリシーを展開するDeploy an Exploit Guard policy

Exploit Guard ポリシーを作成したら、Deploy Exploit Guard Policy ウィザードを使用してポリシーを展開します。After you create Exploit Guard policies, use the Deploy Exploit Guard Policy wizard to deploy them. そのためには、Configuration Manager コンソールで、 [資産とコンプライアンス] > [Endpoint Protection] の順に移動し、 [Deploy Exploit Guard Policy](Exploit Guard ポリシーの展開) をクリックします。To do so, open the Configuration Manager console to Assets and compliance > Endpoint Protection, and then click Deploy Exploit Guard Policy.

重要

攻撃面の減少やフォルダー アクセスの制御などの Exploit Guard ポリシーを展開した後は、展開を削除しても、Exploit Guard の設定はクライアントから削除されません。Once you deploy an Exploit Guard policy, such as Attack Surface Reduction or Controlled folder access, the Exploit Guard settings will not removed from the clients if you remove the deployment. クライアントの Exploit Guard の展開を削除すると、クライアントの ExploitGuardHandler.log に Delete not supported が記録されます。Delete not supported is recorded in the client's ExploitGuardHandler.log 9if you remove the client's Exploit Guard deployment.

Windows Defender Exploit Guard ポリシーの設定Windows Defender Exploit Guard policy settings

攻撃の回避のポリシーとオプションAttack Surface Reduction policies and options

攻撃の回避は、Office、スクリプト、およびメール ベースのマルウェアによって使用されるベクトルを停止するインテリジェントな規則を使用してアプリケーションへの攻撃を軽減できます。Attack Surface Reduction can reduce the attack surface of your applications with intelligent rules that stop the vectors used by Office, script, and mail-based malware. 攻撃の回避およびそのために使用されるイベント ID の詳細を参照してください。Learn more about Attack Surface Reduction and the Event IDs used for it.

  • 攻撃の回避規則から除外されたファイルとフォルダー: [設定] をクリックし、除外するファイルまたはフォルダーを指定します。Files and Folders to exclude from Attack Surface Reduction rules - Click on Set and specify any files or folders to exclude.

  • 電子メールの脅威:Email Threats:

    • 電子メール クライアントと Web メールからの実行可能なコンテンツをブロックする。Block executable content from email client and webmail.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
  • Office の脅威:Office Threats:

    • Office アプリケーションによる子プロセスの作成をブロックする。Block Office application from creating child processes.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
    • Office アプリケーションによる実行可能なコンテンツの作成をブロックする。Block Office applications from creating executable content.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
    • Office アプリケーションによる他のプロセスへのコード挿入をブロックする。Block Office applications from injecting code into other processes.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
    • Office マクロからの Win32 API 呼び出しをブロックする。Block Win32 API calls from Office macros.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
  • スクリプトの脅威:Scripting Threats:

    • JavaScript または VBScript による、ダウンロードされた実行可能なコンテンツの起動をブロックする。Block JavaScript or VBScript from launching downloaded executable content.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
    • 難読化された可能性のあるスクリプトの実行をブロックする。Block execution of potentially obfuscated scripts.
      • 未構成Not Configured
      • ブロックBlock
      • AuditAudit
  • ランサムウェアの脅威: (Configuration Manager バージョン 1802 以降)Ransomware threats: (starting in Configuration Manager version 1802)

    • ランサムウェアに対して高度な保護を使います。Use advanced protection against ransomware.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
  • オペレーティング システムの脅威: (Configuration Manager バージョン 1802 以降)Operating system threats: (starting in Configuration Manager version 1802)

    • Windows ローカル セキュリティ機関サブシステムからの資格情報の盗難をブロックします。Block credential stealing from the Windows local security authority subsystem.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
    • 普及、経過時間、または信頼されたリストの条件を満たしていない実行可能ファイルの実行をブロックします。Block executable files from running unless they meet a prevalence, age, or trusted list criteria.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit
  • 外部デバイスの脅威: (Configuration Manager バージョン 1802 以降)External device threats: (starting in Configuration Manager version 1802)

    • USB から実行された信頼されていない署名なしのプロセスをブロックします。Block untrusted and unsigned processes that run from USB.
      • 未構成Not configured
      • ブロックするBlock
      • AuditAudit

フォルダー アクセスの制御のポリシーとオプションControlled folder access policies and options

重要なシステム フォルダー内のファイルを、ファイル暗号化、ランサムウェア、マルウェアを含む悪意のある疑わしいアプリによって行われる変更から保護します。Helps protect files in key system folders from changes made by malicious and suspicious apps, including file-encrypting ransomware malware. 詳細については、「フォルダー アクセスの制御」およびそれが使用するイベント ID を参照してください。For more information, see Controlled folder access and the Event IDs it uses.

  • フォルダー アクセスの制御の構成Configure Controlled folder access:
    • ブロックBlock
    • ディスク セクターのみをブロックする (Configuration Manager バージョン 1802 以降)Block disk sectors only (starting in Configuration Manager version 1802)
      • ブート セクターに対してだけフォルダー アクセスの制御を有効にし、特定のフォルダーまたは既定の保護されたフォルダーの保護を有効にしないことができます。Allows Controlled folder access to be enabled for boot sectors only and does not enable the protection of specific folders or the default protected folders.
    • AuditAudit
    • ディスク セクターのみを監査する (Configuration Manager バージョン 1802 以降)Audit disk sectors only (starting in Configuration Manager version 1802)
      • ブート セクターに対してだけフォルダー アクセスの制御を有効にし、特定のフォルダーまたは既定の保護されたフォルダーの保護を有効にしないことができます。Allows Controlled folder access to be enabled for boot sectors only and does not enable the protection of specific folders or the default protected folders.
    • 無効Disabled
  • Allow apps through Controlled folder access (アプリをコントロールされたフォルダー アクセスで許可する): [設定] をクリックし、アプリを指定します。Allow apps through Controlled folder access -Click on Set and specify apps.
  • 保護される追加のフォルダー: [設定] をクリックして、追加の保護されているフォルダーを指定します。Additional protected folders -Click on Set and specify additional protected folders.

悪用に対する保護ポリシーExploit protection policies

組織で使用するオペレーティング システム プロセスとアプリに悪用軽減テクニックを適用します。Applies exploit mitigation techniques to operating system processes and apps your organization uses. これらの設定は、Windows 10 デバイス上の Windows Defender Security Center アプリからエクスポートできます。These settings can be exported from the Windows Defender Security Center app on Windows 10 devices. 詳細については、「悪用に対する保護」を参照してください。For more information, see Exploit protection.

  • Exploit protection XML (Exploit protection XML):****[参照] をクリックし、インポートする XML ファイルを指定します。Exploit protection XML: -Click on Browse and specify the XML file to import.

    警告

    悪用に対する保護の XML ファイルをコンピューター間で転送する場合は、安全性を維持する必要があります。The XML file for exploit protection should be kept secure when transferring it between machines. インポート後にファイルを削除するか、またはセキュリティで保護された場所に保管する必要があります。The file should be deleted after import or kept in a secure location.

ネットワーク保護ポリシーNetwork protection policy

デバイスでインターネット ベースの攻撃からの攻撃対象領域を最小限に抑えることができます。Helps minimize the attack surface on devices from internet-based attacks. サービスは、フィッシング詐欺、悪用、および悪意のあるコンテンツをホストする可能性がある疑わしいドメインへのアクセスを制限します。The service restricts access to suspicious domains that might host phishing scams, exploits, and malicious content. 詳細については、「ネットワーク保護」を参照してください。For more information, see Network protection.

  • ネットワーク保護の構成:Configure Network protection:
    • ブロックBlock
    • AuditAudit
    • 無効Disabled