参照デバイスに基づく、Device Guard のコード整合性ポリシーの作成
Device Guard によるアプリの保護を実装するには、コード整合性のポリシーを作成する必要があります。 コード整合性ポリシーで、どのアプリが信頼できると見なされ、保護されたデバイスでの実行を許可されるかが決定されます。
参照デバイスに基づく、Device Guard のコード整合性ポリシーの作成
コード整合性ポリシーを作成するには、最初に、保護されているデバイス上で実行する署名付きアプリケーションを含む参照イメージを作成する必要があります。 アプリケーションに署名する方法については、「Device Guard で保護されているデバイスでのアプリの実行」をご覧ください。
注 コード整合性ポリシーを作成する前に、参照デバイスがウイルスやマルウェアに感染していないことを確認します。
.gif "Mt243445.wedge(ja-jp,VS.85).gif")
参照デバイスに基づいて、Device Guard のコード整合性ポリシーを作成するには
参照デバイスで、管理者として Windows PowerShell を起動します。
PowerShell で、次のように入力して変数を初期化します。
$CIPolicyPath=$env:userprofile+"\Desktop\" $InitialCIPolicy=$CIPolicyPath+"InitialScan.xml" $CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"インストールされているアプリケーションをデバイスでスキャンし、次のように入力して、新しいコード整合性ポリシーを作成します。
New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txtここで、<RuleLevel> は、次のいずれかのオプションに設定できます。
規則のレベル 説明 Hash
検出された各アプリの個々のハッシュ値を指定します。 アプリが更新されるたびにハッシュ値は変更されるため、ポリシーを更新する必要があります。
FileName
現在はサポートされていません。
SignedVersion
現在はサポートされていません。
Publisher
このレベルは、PCA 証明書と、リーフ証明書の共通名 (CN) の組み合わせです。 複数の企業 (VeriSign など) が PCA 証明書を使用してアプリに署名するときに、この規則のレベルでは、PCA 証明書を信頼することができます。ただし、リーフ証明書に名前がある会社についてのみです。
FilePublisher
現在はサポートされていません。
LeafCertificate
個々の署名証明書レベルで、信頼できる署名者を追加します。 アプリが更新されると、ハッシュ値が変更されますが、署名証明書は変わりません。 ポリシーを更新する必要があるのは、アプリの署名証明書が変更された場合のみです。
注 リーフ証明書では、有効期間が PCA 証明書より大幅に短くなっています。 証明書の有効期限が切れた場合は、ポリシーを更新する必要があります。PcaCertificate
署名者に提供された証明書チェーン内の最上位の証明書を追加します。 これは通常、ルート証明書の 1 つ下の証明書です。スキャンでは、オンラインにしたり、ローカルのルート ストアをチェックしたりして提示された署名より上のものは何も検証されないためです。
RootCertificate
現在はサポートされていません。
WHQL
現在はサポートされていません。
WHQLPublisher
現在はサポートされていません。
WHQLFilePublisher
現在はサポートされていません。
次のように入力して、コード整合性ポリシーをバイナリ形式に変換します。
ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin
この手順を完了したら、Device Guard ポリシー バイナリ ファイル (DeviceGuardPolicy.bin) と元の xml ファイル (InitialScan.xml) がデスクトップで使用できるようになります。
注 このコード整合性ポリシーを別のポリシーと結合したり、ポリシーの規則のオプションを更新したりする必要がある場合は、InitialScan.xml のコピーを作成して使うことをお勧めします。