計画と Windows Defender アプリケーションの制御の展開プロセスの概要

適用対象

  • Windows 10
  • Windows Server 2016

ここでは、計画およびで Windows Defender アプリケーション コントロール (WDAC) の展開プロセスで、さらに詳しく説明するトピックへのリンクを開始するためのロードマップを紹介します。 WDAC 展開を計画するには、エンドユーザーと選択肢の IT pro 影響の両方を見る必要があります。

計画

  1. VBS の要件 (特にハードウェア要件) を確認します。

  2. 必要となる管理の程度に応じてデバイスをグループ化します。 ”ほとんどのデバイスは一部のカテゴリに適合するか、またはそれらのデバイスはすべてのカテゴリに分類されるか?”、 "ユーザーはすべてのアプリケーションをインストールできるようにするか、または一覧からのみ選ぶことができるようにするか?"、 ”ユーザー独自の周辺機器の使用を許可するか?"、といった疑問点を確認してください。
    すべてを同じ方法でロックダウンした場合、展開はよりシンプルになりますが、個々の部署のニーズを満たしたり、さまざまなデバイスを扱ったりする場合は、より複雑かつ柔軟な展開が必要となる可能性があります。

  3. 役割や部署ごとにどのくらいの種類のソフトウェアやハードウェアが必要になるか確認します。 次の質問は、作成する WDAC ポリシーの数を明確にする際に役立ちます。

    • ハードウェアはどのように標準化されたか?
      この質問は、ドライバーに関連する質問です。 特定のドライバーのセットを使用するハードウェアに対して WDAC ポリシーを作成することができます。また、環境内の他のドライバーが同じ署名を使用している場合は、それらのドライバーも実行が許可されます。 ただし、異なる "参照" ハードウェアに対しては、場合によっては、複数の WDAC ポリシーを作成してから、それらのポリシーをマージし、マージされたポリシーが環境内のすべてのドライバーを認識するようにする必要があります。

    • 各部署や役割が必要とするソフトウェアは何か? 他の部署のソフトウェアをインストールし実行できるようにする必要があるか?
      複数の部署が実行できるソフトウェアの一覧が同じ場合、複数の WDAC ポリシーをマージして、管理を簡単にすることができます。

    • 部署や役割では、固有の制限付きソフトウェアが使用されているか?
      ある部署で、他の部署に対して許可されていないアプリケーションを実行する必要がある場合、個別の WDAC ポリシーが必要になることがあります。 同様に、古いバージョンのアプリケーションを実行する必要がある部署が 1 つだけの場合も (他の部署は新しいバージョンのみが許可されている)、個別の WDAC ポリシーが必要になることがあります。

    • 承認済みアプリケーションの一覧が既にあるか?
      承認済みアプリケーションの一覧を使用して、基盤となる WDAC ポリシーを作成できます。
      Windows 10 バージョン 1703 では、特定のアプリのみ (基幹業務アプリなど) で許可するプラグイン、アドイン、モジュールの一覧を取得することができ、便利です。 同様に、特定のアプリ (たとえばブラウザー) でブロックするプラグイン、アドイン、モジュールの一覧を取得できることも便利です。

    • 脅威のレビュー プロセスの一環として、任意の DLL を読み込んだり、コードやスクリプトを実行したりできるソフトウェアがシステムに存在するかどうかを確認したか? 日常的な操作において、組織のセキュリティ ポリシーでは、役割とコンテキストに応じて特定のアプリケーション、コード、またはスクリプトをシステムで実行することを許可している場合があります。 しかし、セキュリティ ポリシーにより、信頼されたアプリケーション、コード、スクリプトだけをシステムで実行するように求められている場合は、Windows Defender Application Control ポリシーを使って、これらのシステムを安全にロックダウンすることができます。

      信頼できるベンダーからの正当なアプリケーションは、適正な機能を提供します。 ただし、その同じ機能が攻撃者に利用され、WDAC をバイパスできる悪意のある実行可能コードが実行される場合もあります。

      高いセキュリティが要求される操作シナリオでは、コードの整合性をバイパスできることが確認されている特定のアプリケーションを WDAC ポリシーのホワイトリストに追加すると、セキュリティ リスクとなる可能性があります。 その他、以前のバージョンに脆弱性が存在していたアプリケーションもリスクとなります。 そのため、このようなアプリケーションは WDAC ポリシーで拒否またはブロックできます。 脆弱性のあるアプリケーションについては、その脆弱性が修正されたら、修正されたバージョン以降のアプリケーションだけを許可する規則を作成できます。 アプリケーションを許可するかブロックするかの判断は、状況と、参照システムがどのように使われるかによって異なります。

      セキュリティの専門家は、継続的に Microsoft と協力してユーザーの保護に努めています。 Microsoft では、コミュニティからの貴重なレポートの助けを借りて、攻撃者が Windows Defender Application Control をバイパスするために使われる可能性のある既知のアプリケーションの一覧を作成しました。 状況に応じて、これらのアプリケーションをブロックすることができます。 アプリケーションの [使用するは、このリストを表示、msbuild.exe を無効にするなど、大文字と小文字の例はブロックのルールは推奨を参照してください。

  4. 現在署名されていない LOB アプリケーションを特定します。 署名されたコードを要求することで (WDAC を使用して要求します)、さまざまな脅威から保護されますが、署名のプロセスが難しくなる場合、組織では、署名されていない LOB アプリケーションを使用する可能性があります。 また、署名されているアプリケーションを所有している場合に、それらのアプリケーションに対してセカンダリ署名の追加が必要になることがあります。 そのような場合は、これらのアプリケーションを特定してください。これは、これらのアプリケーション用のカタログ ファイルを作成する必要があるためです。

展開プロセスの開始

  1. 必要に応じて、Windows Defender Application Control の署名証明書を作成します。 WDAC を展開するとき、場合によっては、内部的にカタログ ファイルまたは WDAC ポリシーに署名する必要があります。 そのためには、公開されているコード署名証明書 (購入したもの) または内部 CA のいずれかが必要になります。 内部 CA を使用する場合は、コード署名証明書を作成する必要があります。

  2. 参照コンピューターから WDAC ポリシーを作成します。 この場合、役割や部署のニーズに合わせた WDAC ポリシーの作成と管理の方法は、会社のイメージを作成する場合と類似しています。 各参照のコンピューターから WDAC ポリシーを作成し、そのポリシーを管理する方法を決定できます。 広範なポリシーまたはマスター ポリシーを作成するのには、差し込み印刷WDAC ポリシーするか、管理および各ポリシーを個別に配置できます。

  3. WDAC ポリシーを監査し、ポリシーの対象外となるアプリケーションに関する情報を取得します。 監査モードを使用して、それを実施する前に、各 WDAC ポリシーを慎重にテストすることをお勧めします。 監査モードでは、どのアプリケーションもブロックされません。このポリシーでは、ポリシーの対象外となるアプリケーションが起動されるたびにイベントが記録されるだけです。 後で、必要に応じてポリシーを拡張し、これらのアプリケーションを許可することができます。

  4. 符号なしの LOB アプリケーションのカタログ ファイルを作成します。 Package Inspector ツールを使用して、署名されていない LOB アプリケーション用のカタログ ファイルを作成し署名します。 この後の手順では、カタログ ファイルの署名を WDAC ポリシーにマージできます。これにより、カタログ内のアプリケーションがポリシーによって許可されます。

  5. イベント ログから必要なポリシー情報を取得し、必要に応じてその情報を既存のポリシーにマージします。 WDAC ポリシーを監査モードでしばらく実行すると、イベント ログには、ポリシーの対象外となるアプリケーションに関する情報が記録されます。 これらのアプリケーションが許可されるようにポリシーを拡張するには、Windows PowerShell コマンドを使用して、イベント ログから必要なポリシー情報を取得し、その情報を既存のポリシーにマージします。 他のソースからの WDAC ポリシーをマージすることもできます。これにより、最終的な WDAC ポリシーを柔軟に作成することができます。

  6. WDAC ポリシーとカタログ ファイルを展開します。 上記の手順をすべて実行したことを確認したら、カタログ ファイルを展開し、WDAC ポリシーの監査モードを終了することができます。 このプロセスは、テスト ユーザー グループを使用して開始することを強くお勧めします。 これにより、カタログ ファイルと WDAC ポリシーを広範に展開する前に、品質管理による最終的な検証が行われます。

  7. 必要な仮想化ベースのセキュリティ (VBS) 機能を有効にします。 ハードウェア ベースのセキュリティ機能: とも呼ばれるセキュリティの仮想化 (VBS) 機能: Windows Defender アプリケーション コントロールから提供される保護を強化します。

既知の問題

ここでは、WDAC とデバイス警備隊の既知の問題について説明します。 コードの整合性の仮想化ベースの保護は、デバイスまたはアプリケーションで、予期しないエラー、データの損失、または (停止エラーとも呼ばれます) ブルー スクリーン エラーが発生する可能性がありますと互換性のあることがあります。 運用環境で有効にする前に、演習では、この設定をテストします。

MSI インストールが WDAC によってブロックされます。

インターネットから直接 .msi ファイルを WDAC によって保護されているコンピューターにインストールが失敗します。 たとえば、このコマンドは機能しません。

msiexec –i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi

この問題を回避するには、MSI ファイルをダウンロードして、[ローカルに実行します。

msiexec –i c:\temp\Windows10_Version_1511_ADMX.msi