監査イベントを使用して WDAC ポリシー 規則を作成する

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注

Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

監査モードでアプリケーション制御を実行すると、WDAC ポリシーには存在しないが含める必要があるアプリケーション、バイナリ、スクリプトを検出できます。

WDAC ポリシーが監査モードで実行されている間、実行されているが拒否されたバイナリは 、Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational イベント ログに記録されます。 スクリプトと MSI は、 Applications and Services Logs\Microsoft\Windows\AppLocker\MSI および Script イベント ログに記録されます。 これらのイベントを使用して、元の基本ポリシーとマージしたり、許可されている場合は別の補足ポリシーとして展開したりできる新しい WDAC ポリシーを生成できます。

監査イベントを使用してアプリを許可する WDAC ポリシーを作成するプロセスの概要

注

このプロセスを使用するには、WDAC 監査モード ポリシーを既にデプロイしている必要があります。 まだデプロイしていない場合は、「アプリケーション制御ポリシー Windows Defender展開する」を参照してください。

監査イベントから WDAC ルールを作成する方法を理解するには、WDAC 監査モード ポリシーを使用してデバイスで次の手順を実行します。

1. WDAC ポリシーでは許可されず、許可するアプリケーションをインストールして実行します。

2. CodeIntegrity - Operational and AppLocker - MSI イベント ログとスクリプト イベント ログを確認して、図 1 に示すようなイベントがアプリケーションに関連して生成されていることを確認します。 表示されるイベントの種類については、「 Application Control イベントについて」を参照してください。

   図 1。 展開される WDAC ポリシーの例外

3. 管理者特権の PowerShell セッションで、次のコマンドを実行して、このプロシージャで使用される変数を初期化します。 この手順は、「フル マネージド デバイスの WDAC ポリシーを作成する」で導入された Lamna_FullyManagedClients_Audit.xml ポリシーに基づいており、EventsPolicy.xmlという新しいポリシー を生成します。

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"
   

4. New-CIPolicy を使用して、ログに記録された監査イベントから新しい WDAC ポリシーを生成します。 この例では、 FilePublisher ファイル ルール レベルと ハッシュ フォールバック レベルを使用します。 警告メッセージは、EventsPolicyWarnings.txtテキスト ファイル に リダイレクトされます。

   New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings
   

   注

   監査イベントからポリシーを作成する場合は、信頼の基準として選んだファイル規則のレベルを慎重に検討する必要があります。 前の例では、必要以上に具体的な Hash のフォールバック レベルで FilePublisher ルール レベルを使用しています。 上記のコマンドは、さまざまな -Level オプションと -Fallback オプションを使用して再実行して、ニーズを満たすことができます。 WDAC ルール レベルの詳細については、「 WDAC ポリシールールとファイルルールについて」を参照してください。

5. デスクトップに表示される WDAC ポリシー ファイル EventsPolicy.xml を見つけて確認します。 許可するアプリケーション、バイナリ、スクリプトのファイルと署名者の規則のみが含まれていることを確認します。 ポリシー XML を手動で編集するか、WDAC ポリシー ウィザード ツールを使用してルールを削除できます (「ウィザードを使用 した既存の基本および補足 WDAC ポリシーの編集」を参照してください)。

6. デスクトップに表示されるテキスト ファイル EventsPolicyWarnings.txt を見つけて確認します。 このファイルには、WDAC が指定したルール レベルまたはフォールバック ルール レベルでルールを作成できなかったファイルに対する警告が含まれます。

   注

   New-CIPolicy は、ディスク上にまだ存在するファイルのルールのみを作成します。 システムに存在しなくなったファイルには、それらを許可するルールが作成されません。 ただし、イベント ログには、ポリシー XML を手動で編集してルールを追加することで、これらのファイルを許可するのに十分な情報が必要です。 既存のルールをテンプレートとして使用し、 %windir%\schemas\CodeIntegrity\cipolicy.xsd にある WDAC ポリシー スキーマ定義に対して結果を確認できます。

7. EventsPolicy.xml を基本ポリシー Lamna_FullyManagedClients_Audit.xml にマージするか、補足ポリシーに変換します。

   ポリシーのマージについては、「マージ Windows Defender アプリケーション制御ポリシー」を参照し、補足ポリシーについては、「複数のWindows Defenderアプリケーション制御ポリシーを使用する」を参照してください。

8. 基本または補足ポリシーをバイナリに変換し、お好みの方法でデプロイします。