WDAC ポリシー規則とファイル規則についてUnderstand WDAC policy rules and file rules

適用対象:Applies to:

  • Windows 10Windows 10
  • Windows Server 2016 以上Windows Server 2016 and above

Windows Defenderアプリケーション制御 (WDAC) は、ドライバーまたはアプリケーションが信頼され、実行できるかどうかを指定するポリシーを使用して、Windows 10 を実行しているコンピューターを制御します。Windows Defender Application Control (WDAC) provides control over a computer running Windows 10 by using policies that specify whether a driver or application is trusted and can be run. ポリシーには、** 監査モードやユーザー モード コード整合性 (UMCI) が WDAC ポリシーで有効になっているかどうかなどのオプションを制御するポリシー ルールと、アプリケーションを識別および信頼するレベルを指定するファイル ルール (またはファイル ルールレベル) が含まれます。A policy includes policy rules that control options such as audit mode or whether user mode code integrity (UMCI) is enabled in a WDAC policy, and file rules (or file rule levels) that specify the level at which applications will be identified and trusted.

Windows Defender Application Control のポリシー規則Windows Defender Application Control policy rules

既存の WDAC ポリシー XML のポリシー ルール オプションを変更するには 、Set-RuleOption を使用しますTo modify the policy rule options of an existing WDAC policy XML, use Set-RuleOption. 次の例は、このコマンドレットを使用して既存の WDAC ポリシーのルール オプションを追加および削除する方法を示しています。The following examples show how to use this cmdlet to add and remove a rule option on an existing WDAC policy:

  • -UserPEs (ユーザー モード) オプションを指定して作成された WDAC ポリシーで UMCI が有効であることを確認するには、次のコマンドを実行して、既存のポリシーに規則オプション 0 を追加します。To ensure that UMCI is enabled for a WDAC policy that was created with the -UserPEs (user mode) option, add rule option 0 to an existing policy by running the following command:

    Set-RuleOption -FilePath <Path to policy XML> -Option 0

    -UserPEs オプションを指定しないで作成されたポリシーでは、ユーザー モードの実行可能ファイル、つまりアプリケーションは空であることに注意してください。Note that a policy that was created without the -UserPEs option is empty of user mode executables, that is, applications. そのようなポリシーに対して UMCI (オプション 0) を有効にしてアプリケーションを実行しようとすると、Windows Defender Application Control はそのアプリケーションがリストにない (アプリケーションが空である) として応答します。If you enable UMCI (Option 0) for such a policy and then attempt to run an application, Windows Defender Application Control will see that the application is not on its list (which is empty of applications), and respond. 監査モードでは、応答によりイベントがログに記録され、実施モードでは、応答によりアプリケーションがブロックされます。In audit mode, the response is logging an event, and in enforced mode, the response is blocking the application. ユーザー モードの実行可能ファイル (アプリケーション) を含むポリシーを作成するには、New-CIPolicy を実行するときに -UserPEs オプションを指定します。To create a policy that includes user mode executables (applications), when you run New-CIPolicy, include the -UserPEs option.

  • 既にある WDAC ポリシーで UMCI を無効にするには、次のコマンドを実行して、規則のオプション 0 を削除します。To disable UMCI on an existing WDAC policy, delete rule option 0 by running the following command:

    Set-RuleOption -FilePath <Path to policy XML> -Option 0 -Delete

1 つの WDAC ポリシー内に複数の規則のオプションを設定できます。You can set several rule options within a WDAC policy. 表 1 に、各ルール オプションについて説明します。Table 1 describes each rule option.

注意

新しい WDAC ポリシーを適用する前にテストできるので、最初は Enabled:Audit モード を使用することをお勧めします。We recommend that you use Enabled:Audit Mode initially because it allows you to test new WDAC policies before you enforce them. 監査モードでは、アプリケーションはブロックされません。代わりにポリシーは、ポリシー外のアプリケーションが開始されるたびにイベントをログに記録します。With audit mode, no application is blocked—instead the policy logs an event whenever an application outside the policy is started. これらのアプリケーションを許可するには、イベント ログからポリシー情報をキャプチャし、その情報を既存のポリシーにマージできます。To allow these applications, you can capture the policy information from the event log, and then merge that information into the existing policy. Enabled:Audit Mode が削除されると、ポリシーは強制モードで実行されます。When the Enabled:Audit Mode is deleted, the policy runs in enforced mode.

表 1.Table 1. Windows Defender Application Control のポリシー - ポリシー規則オプションWindows Defender Application Control policy - policy rule options

規則のオプションRule option 説明Description
0 有効: UMCI0 Enabled:UMCI WDAC ポリシーでは、カーネル モードとユーザー モードの両方のバイナリを制限します。WDAC policies restrict both kernel-mode and user-mode binaries. 既定では、カーネル モードのバイナリだけが制限されます。By default, only kernel-mode binaries are restricted. この規則のオプションを有効にすると、ユーザー モードの実行可能ファイルとスクリプトが検証されます。Enabling this rule option validates user mode executables and scripts.
1 有効: ブート メニューの保護1 Enabled:Boot Menu Protection このオプションは、現在サポートされていません。This option is not currently supported.
2 必須: WHQL2 Required:WHQL 既定では、Windows Hardware Quality Labs (WHQL) の署名がないレガシ ドライバーの実行が許可されます。By default, legacy drivers that are not Windows Hardware Quality Labs (WHQL) signed are allowed to execute. この規則を有効にすると、実行されるすべてのドライバーは WHQL によって署名されている必要があり、レガシ ドライバーのサポートが削除されます。Enabling this rule requires that every executed driver is WHQL signed and removes legacy driver support. 今後、Windows 10 と互換性のある新しいドライバーはすべて、WHQL によって認定されている必要があります。Going forward, every new Windows 10–compatible driver must be WHQL certified.
3 有効: 監査モード (既定)3 Enabled:Audit Mode (Default) WDAC ポリシーの対象外であるバイナリの実行を有効にします。ただし、各実行は CodeIntegrity イベント ログに記録されます。このログを利用して、既にあるポリシーを実施する前に、それらのポリシーを更新することができます。Enables the execution of binaries outside of the WDAC policy but logs each occurrence in the CodeIntegrity event log, which can be used to update the existing policy before enforcement. WDAC ポリシーの実施を開始するには、このオプションを削除します。To begin enforcing a WDAC policy, delete this option.
4 無効: Insider Preview ビルドの署名4 Disabled:Flight Signing 有効にすると、WDAC ポリシーでは、Insider Preview ビルドのルート署名がされたバイナリを信頼しません。If enabled, WDAC policies will not trust flightroot-signed binaries. これは、Insider Preview ビルドとしてパッケージ化されたビルドではなく、リリース版のバイナリのみを実行する組織のシナリオで使われます。This would be used in the scenario in which organizations only want to run released binaries, not flighted builds.
5 有効: 既定のポリシーの継承5 Enabled:Inherit Default Policy このオプションは将来の使用のために予約され、現在は無効です。This option is reserved for future use and currently has no effect.
6 有効: 署名されていないシステム整合性ポリシー (既定)6 Enabled:Unsigned System Integrity Policy (Default) ポリシーを署名されていない状態にしておくことができます。Allows the policy to remain unsigned. このオプションを使わない場合、ポリシーは署名されている必要があります。また、将来ポリシーを変更できるようにするために、UpdatePolicySigners がポリシーに追加されている必要がありますWhen this option is removed, the policy must be signed and have UpdatePolicySigners added to the policy to enable future policy modifications.
7 許可: デバッグ ポリシーの拡張7 Allowed:Debug Policy Augmented このオプションは、現在サポートされていません。This option is not currently supported.
8 必須: EV 署名者8 Required:EV Signers WHQL による署名に加えて、この規則では、ドライバーは拡張検証 (EV) 証明書を持つパートナーによって提出されている必要があります。In addition to being WHQL signed, this rule requires that drivers must have been submitted by a partner that has an Extended Verification (EV) certificate. Windows 10 以降の将来のドライバーはすべて、この要件を満たすことになります。All future Windows 10 and later drivers will meet this requirement.
9 有効: [詳細ブート オプション] メニュー9 Enabled:Advanced Boot Options Menu すべての WDAC ポリシーで、F8 プリブート メニューが既定で無効になります。The F8 preboot menu is disabled by default for all WDAC policies. この規則のオプションを設定すると、実際に使っているユーザーに対して F8 メニューを表示することができます。Setting this rule option allows the F8 menu to appear to physically present users.
10 有効: エラー発生時における監査の起動10 Enabled:Boot Audit on Failure WDAC ポリシーが実施モードの場合に使われます。Used when the WDAC policy is in enforcement mode. 起動時にドライバーでエラーが発生すると、Windows が読み込まれるように、WDAC ポリシーが監査モードになります。When a driver fails during startup, the WDAC policy will be placed in audit mode so that Windows will load. 管理者は、CodeIntegrity イベント ログを使って、エラーが発生した理由を確認できます。Administrators can validate the reason for the failure in the CodeIntegrity event log.
11 無効: スクリプトの適用11 Disabled:Script Enforcement このオプションは、スクリプトの適用オプションを無効にします。This option disables script enforcement options. 署名されていない PowerShell スクリプトと対話型 PowerShell は、制約付き言語モード に制限されなくなりましたUnsigned PowerShell scripts and interactive PowerShell are no longer restricted to Constrained Language Mode. 注: このオプションは、2019 10C LCU 以上の 1709、1803、および 1809 ビルド、および Windows 10 May 2019 Update (1903) 以上のデバイスでサポートされます。NOTE: This option is supported on 1709, 1803, and 1809 builds with the 2019 10C LCU or higher, as well as on devices with the Windows 10 May 2019 Update (1903) and higher. 10C 以降の LCU を使用せずに 1903 より前のバージョンの Windows 10 で使用すると、意図しない結果が得られます。Using it on pre-1903 versions of Windows 10 without the 10C or later LCU is not supported and may have unintended results.
12 必須: Microsoft Store アプリケーションの適用12 Required:Enforce Store Applications この規則オプションが有効になっている場合、WDAC ポリシーはユニバーサル Windows アプリケーションにも適用されます。If this rule option is enabled, WDAC policies will also apply to Universal Windows applications.
13 有効: 管理インストーラー13 Enabled:Managed Installer 管理インストーラーとして定義されている Microsoft Endpoint Configuration Manager などのソフトウェア配布ソリューションによってインストールされたアプリケーションを自動的に許可するには、このオプションを使用します。Use this option to automatically allow applications installed by a software distribution solution, such as Microsoft Endpoint Configuration Manager, that has been defined as a managed installer.
14 有効: インテリジェント セキュリティ グラフの承認14 Enabled:Intelligent Security Graph Authorization Microsoft のインテリジェント セキュリティ グラフ (ISG) により定義された "既知の正常な" 評判を持つアプリケーションを自動的に許可するには、このオプションを使います。Use this option to automatically allow applications with "known good" reputation as defined by Microsoft’s Intelligent Security Graph (ISG).
15 有効: 再起動時に EA を無効化15 Enabled:Invalidate EAs on Reboot インテリジェント セキュリティ グラフ オプション (14) を使うと、WDAC はファイルが実行を許可されていることを示す拡張ファイル属性を設定します。When the Intelligent Security Graph option (14) is used, WDAC sets an extended file attribute that indicates that the file was authorized to run. このオプションにより、WDAC が ISG によって承認されたファイルの評判を定期的に再検証するようになります。This option will cause WDAC to periodically re-validate the reputation for files that were authorized by the ISG.
16 有効: ポリシーの更新 (再起動なし)16 Enabled:Update Policy No Reboot システムの再起動を必要とせずに今後の WDAC ポリシーの更新の適用を許可するには、このオプションを使います。Use this option to allow future WDAC policy updates to apply without requiring a system reboot. 注: このオプションは、Windows 10 バージョン 1709 以上でのみサポートされます。NOTE: This option is only supported on Windows 10, version 1709, and above.
17 Enabled:Allow supplemental Policies17 Enabled:Allow Supplemental Policies 基本ポリシーでこのオプションを使用して、補助ポリシーが拡張を許可します。Use this option on a base policy to allow supplemental policies to expand it. 注: このオプションは、Windows 10 バージョン 1903 以上でのみサポートされます。NOTE: This option is only supported on Windows 10, version 1903, and above.
18 Disabled:Runtime FilePath ルール保護18 Disabled:Runtime FilePath Rule Protection FilePath に基づくファイルを許可する FileRule に対して、既定の FilePath ルール保護 (ファイル パス ルールに基づいて許可されるアプリと実行可能ファイルは、管理者だけが書き込み可能なファイル パスから取得する必要があります) を無効にします。Disable default FilePath rule protection (apps and executables allowed based on file path rules must come from a file path that’s only writable by an administrator) for any FileRule that allows a file based on FilePath. 注: このオプションは、Windows 10 バージョン 1903 以上でのみサポートされます。NOTE: This option is only supported on Windows 10, version 1903, and above.
19 Enabled:Dynamic Code Security19 Enabled:Dynamic Code Security .NET アプリケーションと動的に読み込まれたライブラリのポリシー適用を有効にする。Enables policy enforcement for .NET applications and dynamically-loaded libraries. 注: このオプションは、Windows 10 バージョン 1803 以上でのみサポートされます。NOTE: This option is only supported on Windows 10, version 1803, and above.

Windows Defender Application Control のファイル規則レベルWindows Defender Application Control file rule levels

ファイル規則レベルを使うと、管理者はアプリケーションを信頼するレベルを指定できます。File rule levels allow administrators to specify the level at which they want to trust their applications. この信頼性レベルでは、最も詳細なレベルが各バイナリのハッシュで、最も大まかなレベルが CA 証明書になります。This level of trust could be as fine-tuned as the hash of each binary or as general as a CA certificate. ファイル規則レベルは、スキャンに基づいて新しい WDAC ポリシーを作成するときにも、監査イベントに基づいてポリシーを作成するときにも指定します。You specify file rule levels both when you create a new WDAC policy from a scan and when you create a policy from audit events. また、複数のポリシーに指定されている規則のレベルを組み合わせるために、それらのポリシーをマージすることもできます。In addition, to combine rule levels found in multiple policies, you can merge the policies. マージすると、複数の WDAC ポリシーのファイル規則が組み合わされるため、元のポリシーのいずれかで許可されるアプリケーションは、マージ後のポリシーで許可されます。When merged, WDAC policies combine their file rules, so that any application that would be allowed by either of the original policies will be allowed by the combined policy.

各ファイル規則レベルには、メリットとデメリットがあります。Each file rule level has its benefit and disadvantage. 表 2 を使用して、使用可能な管理リソースに適した保護レベルを選択し、アプリケーションWindows Defender展開シナリオを確認します。Use Table 2 to select the appropriate protection level for your available administrative resources and Windows Defender Application Control deployment scenario.

表 2.Table 2. Windows Defender Application Control ポリシー - ファイル規則レベルWindows Defender Application Control policy - file rule levels

規則のレベルRule level 説明Description
HashHash 検出された各バイナリの個々のハッシュ値を指定します。Specifies individual hash values for each discovered binary. このレベルは限定的なレベルですが、これにより、現在の製品バージョンのハッシュ値を管理するために、追加の管理オーバーヘッドが発生する場合があります。Although this level is specific, it can cause additional administrative overhead to maintain the current product versions’ hash values. バイナリが更新されるたびにハッシュ値が変更されるので、ポリシーの更新が必要となります。Each time a binary is updated, the hash value changes, therefore requiring a policy update.
FileNameFileName 個々のバイナリ ファイルの名前を指定します。Specifies individual binary file names. アプリケーションの更新時にアプリケーションのハッシュ値は変更されますが、ファイル名は通常変更されません。Although the hash values for an application are modified when updated, the file names are typically not. このレベルは、ハッシュ レベルほど限定的なセキュリティではありませんが、通常、バイナリが変更された場合でもポリシーの更新は必要ありません。This offers less specific security than the hash level but does not typically require a policy update when any binary is modified.
FilePathFilePath Windows 10 バージョン 1903 より、特定のファイル パスの場所に含まれるバイナリの実行を許可するルールを指定します。Beginning with Windows 10 version 1903, this specifies rules that allow execution of binaries contained under specific file path locations. FilePath レベル ルールの詳細については、以下を参照してください。Additional information about FilePath level rules can be found below.
SignedVersionSignedVersion 発行元の規則とバージョン番号の組み合わせです。This combines the publisher rule with a version number. このオプションでは、指定された発行元からのファイルが、指定されたバージョン番号以上である場合に、実行が許可されます。This option allows anything from the specified publisher, with a version at or above the specified version number, to run.
PublisherPublisher PcaCertificate レベル (通常、ルート証明書の 1 つ下の証明書) と、リーフ証明書の共通名 (CN) との組み合わせです。This is a combination of the PcaCertificate level (typically one certificate below the root) and the common name (CN) of the leaf certificate. この規則レベルを使用すると、リーフ証明書の発行元が特定の企業 (デバイス ドライバーの場合は Intel など) である場合のみ、主要 CA (Symantec など) の証明書を信頼できます。This rule level allows organizations to trust a certificate from a major CA (such as Symantec), but only if the leaf certificate is from a specific company (such as Intel, for device drivers).
FilePublisherFilePublisher 署名されたファイルの "FileName" 属性、"Publisher" (PCA 証明書とリーフの CN)、および最小バージョン番号の組み合わせです。This is a combination of the “FileName” attribute of the signed file, plus “Publisher” (PCA certificate with CN of leaf), plus a minimum version number. このオプションでは、指定された発行元からの特定ファイルが指定されたバージョン番号以上である場合に信頼されます。This option trusts specific files from the specified publisher, with a version at or above the specified version number.
LeafCertificateLeafCertificate 個々の署名証明書レベルで、信頼できる署名者を追加します。Adds trusted signers at the individual signing certificate level. 新しいバージョンの製品ではハッシュ値は異なりますが、通常、署名証明書は同じであるため、個々のハッシュ レベルよりも、このレベルを使うほうがメリットがあります。The benefit of using this level versus the individual hash level is that new versions of the product will have different hash values but typically the same signing certificate. このレベルを使うと、新しいバージョンのアプリケーションを実行する際に、ポリシーの更新は必要ありません。Using this level, no policy update would be needed to run the new version of the application. ただし、リーフ証明書の有効期間は CA 証明書よりも大幅に短いため、リーフ証明書の有効期限が切れると、WDAC ポリシーの更新に関連して追加の管理オーバーヘッドが発生します。However, leaf certificates have much shorter validity periods than CA certificates, so additional administrative overhead is associated with updating the WDAC policy when these certificates expire.
PcaCertificatePcaCertificate 署名者に提供された証明書チェーン内で使用可能な最上位の証明書を追加します。Adds the highest available certificate in the provided certificate chain to signers. これは通常、ルート証明書の 1 つ下位の証明書です。スキャンでは、提示された署名に含まれる証明書を上回る検証が実行されない (オンライン状態にならず、ローカルのルート ストアもチェックされない) ためです。This is typically one certificate below the root certificate, because the scan does not validate anything beyond the certificates included in the provided signature (it does not go online or check local root stores).
RootCertificateRootCertificate 現在はサポートされていません。Currently unsupported.
WHQLWHQL バイナリが WHQL によって検証および署名されている場合に、そのバイナリを信頼します。Trusts binaries if they have been validated and signed by WHQL. これは、主にカーネル バイナリ向けのレベルです。This is primarily for kernel binaries.
WHQLPublisherWHQLPublisher このレベルは、WHQLと、リーフ証明書の共通名 (CN) を組み合わせたものです。主にカーネル バイナリ向けのレベルです。This is a combination of the WHQL and the CN on the leaf certificate and is primarily for kernel binaries.
WHQLFilePublisherWHQLFilePublisher バイナリが WHQL によって検証および署名されていることを指定します。また、このバイナリは特定の発行者 (WHQLPublisher) からのものあり、指定されているバージョン以降のバイナリであることを指定します。Specifies that the binaries are validated and signed by WHQL, with a specific publisher (WHQLPublisher), and that the binary is the specified version or newer. これは、主にカーネル バイナリ向けのレベルです。This is primarily for kernel binaries.

注意

New-CIPolicyを使用して WDAC ポリシーを作成する場合は、-Level パラメーターを含めてプライマリ ファイル ルールレベルを指定できます。When you create WDAC policies with New-CIPolicy, you can specify a primary file rule level by including the -Level parameter. 最優先するファイル規則の条件に基づいて判断したときに、信頼できないバイナリが検出された場合、-Fallback パラメーターを使うことができます。For discovered binaries that cannot be trusted based on the primary file rule criteria, use the -Fallback parameter. たとえば、最優先するファイル規則レベルが PCACertificate であるが、署名されていないアプリケーションも信頼する場合は、規則のレベル Hash をフォールバックとして使い、署名証明書がないバイナリのハッシュ値を追加します。For example, if the primary file rule level is PCACertificate but you would like to trust the unsigned applications as well, using the Hash rule level as a fallback adds the hash values of binaries that did not have a signing certificate.

注意

WDAC は、最大 4096 ビットの RSA 証明書署名キーの署名者ルールのみをサポートします。WDAC only supports signer rules for RSA certificate signing keys with a maximum of 4096 bits.

ファイル規則レベルの使用例Example of file rule levels in use

たとえば、多数のサーバーを実行する部門の IT 担当者について考えてみます。For example, consider some IT professionals in a department that runs many servers. これらの IT 担当者は、ソフトウェアやドライバーの提供者 (ハードウェア、オペレーティング システム、ウイルス対策、その他の重要なソフトウェアを提供する企業) が署名したソフトウェアのみをサーバーで実行することを決定しました。They decide they want their servers to run only software signed by the providers of their software and drivers, that is, the companies that provide their hardware, operating system, antivirus, and other important software. また、内部で作成されたアプリケーション (署名されておらず、更新もほとんど行われません) もサーバーで実行されることを理解しています。They know that their servers also run an internally written application that is unsigned but is rarely updated. IT 担当者は、このアプリケーションの実行を許可しました。They want to allow this application to run.

WDAC ポリシーを作成するために、標準のハードウェア上に参照サーバーを構築し、サーバーでの実行が許可されているすべてのソフトウェアをインストールします。To create the WDAC policy, they build a reference server on their standard hardware, and install all of the software that their servers are known to run. 次に、-Level Publisher (ソフトウェア プロバイダー (発行元) からのソフトウェアを許可する) と -Fallback Hash (内部で作成された署名されていないアプリケーションを許可する) を指定して、New-CIPolicy を実行します。Then they run New-CIPolicy with -Level Publisher (to allow software from their software providers, the "Publishers") and -Fallback Hash (to allow the internal, unsigned application). ポリシーは監査モードで有効にされ、参照サーバーにインストールされていない、必要なソフトウェアに関する情報が収集されます。They enable the policy in auditing mode and gather information about any necessary software that was not included on the reference server. WDAC ポリシーは元のポリシーにマージされ、追加のソフトウェアの実行が許可されます。They merge WDAC policies into the original policy to allow that additional software to run. その後で、IT 担当者は、サーバーに対して WDAC ポリシーを実施モードで有効にします。Then they enable the WDAC policy in enforced mode for their servers.

通常の操作の一環として、IT 担当者は、最終的にソフトウェア更新プログラムをインストールするか、場合によっては、同じソフトウェア プロバイダーからソフトウェアを追加します。As part of normal operations, they will eventually install software updates, or perhaps add software from the same software providers. "発行元" は、このような更新プログラムや追加のソフトウェアについては同じままであるため、IT 担当者が WDAC ポリシーを更新する必要はありません。Because the "Publisher" remains the same on those updates and software, they will not need to update their WDAC policy. 内部で作成された署名されていないアプリケーションの更新が必要になった場合、ポリシー内のハッシュが、更新された内部作成アプリケーションのハッシュと一致するように、WDAC ポリシーも更新する必要があります。If they come to a time when the internally-written, unsigned application must be updated, they must also update the WDAC policy so that the hash in the policy matches the hash of the updated internal application.

また、IT 担当者は署名されていない内部アプリケーションに関する情報を収集するカタログを作成し、そのカタログに署名して配布することもできます。They could also choose to create a catalog that captures information about the unsigned internal application, then sign and distribute the catalog. その後で、他の署名付きのアプリケーションと同じ方法で、内部アプリケーションを WDAC ポリシーによって処理することができます。Then the internal application could be handled by WDAC policies in the same way as any other signed application. 内部アプリケーションの更新プログラムについては、カタログの再生成、署名、および配布のみが必要になります (再起動は必要ありません)。An update to the internal application would only require that the catalog be regenerated, signed, and distributed (no restarts would be required).

ファイルパス ルールの詳細More information about filepath rules

Filepath ルールは、変更可能なアクセス許可に基づく明示的な署名者ルールと同じセキュリティ保証を提供するものではありません。Filepath rules do not provide the same security guarantees that explicit signer rules do, as they are based on mutable access permissions. ファイルパス ルールは、ほとんどのユーザーが管理者ではなく標準で実行されている環境に最適です。IT プロは、パス ルールを作成しながら、管理者が書き込み可能なままである可能性が高いパスを許可し、標準ユーザーがフォルダーの ACL を変更できるサブディレクトリからの実行を拒否する必要があります。Filepath rules are best suited for environments where most users are running as standard rather than admin. IT Pros should take care while crafting path rules to allow paths that they know are likely to remain to be admin-writeable only and deny execution from sub-directories where standard users can modify ACLs on the folder.

既定では、WDAC は実行時にユーザー書き込み可能性チェックを実行します。これにより、指定したファイルパスとその親ディレクトリに対する現在のアクセス許可 (再帰的) では、標準ユーザーによる書き込みアクセスが許可されません。By default, WDAC performs a user-writeability check at runtime which ensures that the current permissions on the specified filepath and its parent directories (recursively) do not allow standard users write access.

WDAC が管理者として認識する、定義済みの SID の一覧があります。There is a defined list of SIDs which WDAC recognizes as admins. このリストに含められない SID に対する書き込みアクセス許可がファイルパスで許可されている場合、追加の SID がカスタム管理者ユーザーに関連付けられている場合でも、ファイルパスはユーザー書き込み可能と見なされます。If a filepath allows write permissions for any SID not in this list, the filepath is considered to be user-writeable even if the additional SID is associated to a custom admin user. これらの特別なケースを処理するには、前述の Disabled:Runtime FilePath ルール保護オプションを使用して、WDAC のランタイム管理者書き込み可能なチェックを上書きできます。To handle these special cases, you can override WDAC's runtime admin-writeable check with the Disabled:Runtime FilePath Rule Protection option described above.

WDAC の既知の管理者の SID の一覧は次のとおりです。WDAC's list of well-known admin SIDs are:
S-1-3-0;S-1-5-18;S-1-5-19;S-1-5-20;S-1-5-32-544;S-1-5-32-549;S-1-5-32-550;S-1-5-32-551;S-1-5-32-577;S-1-5-32-559;S-1-5-32-568;S-1-15-2-1430448594-263929838-973813799-4393984847-4069167804-1277922394;S-1-15-2-95739096-486727260-20333287795-385587803-1685597119-444378811-2746676523S-1-3-0; S-1-5-18; S-1-5-19; S-1-5-20; S-1-5-32-544; S-1-5-32-549; S-1-5-32-550; S-1-5-32-551; S-1-5-32-577; S-1-5-32-559; S-1-5-32-568; S-1-15-2-1430448594-2639229838-973813799-439329657-1197984847-4069167804-1277922394; S-1-15-2-95739096-486727260-2033287795-3853587803-1685597119-444378811-2746676523.

New-CIPolicyを使用してファイルパス ルールを生成する場合、スキャンされたパスで検出されたファイルごとに一意の完全修飾パス ルールが生成されます。When generating filepath rules using New-CIPolicy, a unique, fully-qualified path rule is generated for every file discovered in the scanned path(s). 指定したフォルダー パスですべてのファイルを許可するルールを作成するには 、New-CIPolicyRule を使用して 、-FilePathRules スイッチを使用してワイルドカードを含むルールを定義します。To create rules that instead allow all files under a specified folder path, use New-CIPolicyRule to define rules containing wildcards using the -FilePathRules switch.

ワイルドカードは、パス ルールの先頭または末尾で使用できます。パス ルールごとに使用できるワイルドカードは 1 つのみです。Wildcards can be used at the beginning or end of a path rule; only one wildcard is allowed per path rule. パスの末尾に置かれたワイルドカードは、そのパスとそのサブディレクトリ内のすべてのファイルを再帰的に承認します (例。Wildcards placed at the end of a path authorize all files in that path and its subdirectories recursively (ex. C:\\* が含まれます C:\foo\\* )。would include C:\foo\\* ). パスの先頭にワイルドカードを設定すると、指定したファイル名を任意のパス (ex.Wildcards placed at the beginning of a path will allow the exact specified filename under any path (ex. *\bar.exe を許可 C:\bar.exeC:\foo\bar.exe 、 )。would allow C:\bar.exe and C:\foo\bar.exe). パスの中央にあるワイルドカードはサポートされていません (例:Wildcards in the middle of a path are not supported (ex. C:\\*\foo.exe).). ワイルドカードを指定しない場合、ルールは特定のファイル (例) のみを許可します。Without a wildcard, the rule will allow only a specific file (ex. C:\foo\bar.exe).).
マクロの使用もサポートされ、システム ドライブがドライブと異なるシナリオで役立 C:\ ちます。The use of macros is also supported and useful in scenarios where the system drive is different from the C:\ drive. サポートされているマクロ: %OSDRIVE% %WINDIR% 、 、 %SYSTEM32%Supported macros: %OSDRIVE%, %WINDIR%, %SYSTEM32%.

注意

既存のバグのため、パスベースの ALLOW ルールを 1 つのポリシー内の DENY ルールと組み合わせは使用できない。Due to an existing bug, you can not combine Path-based ALLOW rules with any DENY rules in a single policy. 代わりに、「複数の WDAC ポリシーの展開」の説明に従って、DENY ルールを個別の基本ポリシーに分割するか、パス ベースの ALLOW ルールを補足ポリシーに 移動します。Instead, either separate DENY rules into a separate Base policy or move the Path-based ALLOW rules into a supplemental policy as described in Deploy multiple WDAC policies.

Windows Defenderコントロールのファイル名ルールWindows Defender Application Control filename rules

ファイル名ルール レベルを使用すると、管理者はファイル名ルールの基にするファイル属性を指定できます。File name rule levels provide administrators to specify the file attributes off which to base a file name rule. ファイル名ルールは、変更できないファイル属性に基づく明示的な署名者ルールと同じセキュリティ保証を提供します。File name rules provide the same security guarantees that explicit signer rules do, as they are based on non-mutable file attributes. ファイル名レベルの指定は、新しいポリシー ルールを作成するときに発生します。Specification of the file name level occurs when creating new policy rules. さらに、複数のポリシーにあるファイル名レベルを組み合わせるには、複数のポリシーを結合できます。In addition, to combine file name levels found in multiple policies, you can merge multiple policies.

表 3 を使用して、使用可能な管理リソースに適したファイル名レベルを選択し、アプリケーションWindows Defender展開シナリオを確認します。Use Table 3 to select the appropriate file name level for your available administrative resources and Windows Defender Application Control deployment scenario. たとえば、LOB または実稼働アプリケーションとそのバイナリ (例:For instance, an LOB or production application and its binaries (eg. DLL) は、すべて同じ製品名を共有できます。DLLs) may all share the same product name. これにより、ユーザーは製品名ファイル名ルール レベルに基づいてターゲット ポリシーを簡単に作成できます。This allows users to easily create targeted policies based on the Product Name filename rule level.

表 3.Table 3. Windows Defenderアプリケーションコントロールポリシー - ファイル名のレベルWindows Defender Application Control policy - filename levels

規則のレベルRule level 説明Description
ファイルの説明File Description バイナリの開発者が提供するファイルの説明を指定します。Specifies the file description provided by the developer of the binary.
内部名Internal Name バイナリの内部名を指定します。Specifies the internal name of the binary.
元のファイル名Original File Name バイナリの元のファイル名、またはファイルが最初に作成された名前を指定します。Specifies the original file name, or the name with which the file was first created, of the binary.
パッケージ ファミリ名Package Family Name バイナリのパッケージ ファミリ名を指定します。Specifies the package family name of the binary. パッケージ ファミリ名は、ファイルの名前と発行元 ID の 2 つの部分で構成されます。The package family name consists of two parts: the name of the file and the publisher ID.
Product Name (製品名)Product Name バイナリが出荷される製品の名前を指定します。Specifies the name of the product with which the binary ships.