Windows Defender アプリケーションコントロール展開プロセスの計画と概要Planning and getting started on the Windows Defender Application Control deployment process

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

このトピックでは、Windows Defender アプリケーション制御 (WDAC) 展開プロセスの計画と作業の開始のためのロードマップと、追加情報を提供するトピックへのリンクを提供します。This topic provides a roadmap for planning and getting started on the Windows Defender Application Control (WDAC) deployment process, with links to topics that provide additional detail. WDAC の展開を計画するには、エンドユーザーと IT プロフェッショナルによる選択肢の両方を検討する必要があります。Planning for WDAC deployment involves looking at both the end-user and the IT pro impact of your choices.

計画Planning

  1. VBS の要件 (特にハードウェア要件) を確認します。Review requirements, especially hardware requirements for VBS.

  2. 必要となる管理の程度に応じてデバイスをグループ化します。Group devices by degree of control needed. ”ほとんどのデバイスは一部のカテゴリに適合するか、またはそれらのデバイスはすべてのカテゴリに分類されるか?”、Do most devices fit neatly into a few categories, or are they scattered across all categories? "ユーザーはすべてのアプリケーションをインストールできるようにするか、または一覧からのみ選ぶことができるようにするか?"、Are users allowed to install any application or must they choose from a list? ”ユーザー独自の周辺機器の使用を許可するか?"、といった疑問点を確認してください。Are users allowed to use their own peripheral devices?
    すべてを同じ方法でロックダウンした場合、展開はよりシンプルになりますが、個々の部署のニーズを満たしたり、さまざまなデバイスを扱ったりする場合は、より複雑かつ柔軟な展開が必要となる可能性があります。Deployment is simpler if everything is locked down in the same way, but meeting individual departments’ needs, and working with a wide variety of devices, may require a more complicated and flexible deployment.

  3. 役割や部署ごとにどのくらいの種類のソフトウェアやハードウェアが必要になるか確認します。Review how much variety in software and hardware is needed by roles or departments. 次の質問は、作成する WDAC ポリシーの数を明確にする際に役立ちます。The following questions can help you clarify how many WDAC policies to create:

    • ハードウェアはどのように標準化されたか?How standardized is the hardware?
      この質問は、ドライバーに関連する質問です。This can be relevant because of drivers. 特定のドライバーのセットを使用するハードウェアに対して WDAC ポリシーを作成することができます。また、環境内の他のドライバーが同じ署名を使用している場合は、それらのドライバーも実行が許可されます。You could create a WDAC policy on hardware that uses a particular set of drivers, and if other drivers in your environment use the same signature, they would also be allowed to run. ただし、異なる "参照" ハードウェアに対しては、場合によっては、複数の WDAC ポリシーを作成してから、それらのポリシーをマージし、マージされたポリシーが環境内のすべてのドライバーを認識するようにする必要があります。However, you might need to create several WDAC policies on different "reference" hardware, then merge the policies together, to ensure that the resulting policy recognizes all the drivers in your environment.

    • 各部署や役割が必要とするソフトウェアは何か?What software does each department or role need? 他の部署のソフトウェアをインストールし実行できるようにする必要があるか?Should they be able to install and run other departments’ software?
      複数の部署が実行できるソフトウェアの一覧が同じ場合、複数の WDAC ポリシーをマージして、管理を簡単にすることができます。If multiple departments are allowed to run the same list of software, you might be able to merge several WDAC policies to simplify management.

    • 部署や役割では、固有の制限付きソフトウェアが使用されているか?Are there departments or roles where unique, restricted software is used?
      ある部署で、他の部署に対して許可されていないアプリケーションを実行する必要がある場合、個別の WDAC ポリシーが必要になることがあります。If one department needs to run an application that no other department is allowed, it might require a separate WDAC policy. 同様に、古いバージョンのアプリケーションを実行する必要がある部署が 1 つだけの場合も (他の部署は新しいバージョンのみが許可されている)、個別の WDAC ポリシーが必要になることがあります。Similarly, if only one department must run an old version of an application (while other departments allow only the newer version), it might require a separate WDAC policy.

    • 承認済みアプリケーションの一覧が既にあるか?Is there already a list of accepted applications?
      承認済みアプリケーションの一覧を使用して、基盤となる WDAC ポリシーを作成できます。A list of accepted applications can be used to help create a baseline WDAC policy.
      Windows 10 バージョン 1703 では、特定のアプリのみ (基幹業務アプリなど) で許可するプラグイン、アドイン、モジュールの一覧を取得することができ、便利です。As of Windows 10, version 1703, it might also be useful to have a list of plug-ins, add-ins, or modules that you want to allow only in a specific app (such as a line-of-business app). 同様に、特定のアプリ (たとえばブラウザー) でブロックするプラグイン、アドイン、モジュールの一覧を取得できることも便利です。Similarly, it might be useful to have a list of plug-ins, add-ins, or modules that you want to block in a specific app (such as a browser).

    • 脅威のレビュー プロセスの一環として、任意の DLL を読み込んだり、コードやスクリプトを実行したりできるソフトウェアがシステムに存在するかどうかを確認したか?As part of a threat review process, have you reviewed systems for software that can load arbitrary DLLs or run code or scripts? 日常的な操作において、組織のセキュリティ ポリシーでは、役割とコンテキストに応じて特定のアプリケーション、コード、またはスクリプトをシステムで実行することを許可している場合があります。In day-to-day operations, your organization’s security policy may allow certain applications, code, or scripts to run on your systems depending on their role and the context. しかし、セキュリティ ポリシーにより、信頼されたアプリケーション、コード、スクリプトだけをシステムで実行するように求められている場合は、Windows Defender Application Control ポリシーを使って、これらのシステムを安全にロックダウンすることができます。However, if your security policy requires that you run only trusted applications, code, and scripts on your systems, you may decide to lock these systems down securely with Windows Defender Application Control policies.

      信頼できるベンダーからの正当なアプリケーションは、適正な機能を提供します。Legitimate applications from trusted vendors provide valid functionality. ただし、その同じ機能が攻撃者に利用され、WDAC をバイパスできる悪意のある実行可能コードが実行される場合もあります。However, an attacker could also potentially use that same functionality to run malicious executable code that could bypass WDAC.

      高いセキュリティが要求される操作シナリオでは、コードの整合性をバイパスできることが確認されている特定のアプリケーションを WDAC ポリシーのホワイトリストに追加すると、セキュリティ リスクとなる可能性があります。For operational scenarios that require elevated security, certain applications with known Code Integrity bypasses may represent a security risk if you whitelist them in your WDAC policies. 以前のバージョンのアプリケーションには脆弱性が存在するその他のアプリケーションも、リスクを表します。Other applications, where older versions of the application had vulnerabilities, also represent a risk. そのため、このようなアプリケーションは WDAC ポリシーで拒否またはブロックできます。Therefore, you may want to deny or block such applications from your WDAC policies. 脆弱性のあるアプリケーションについては、その脆弱性が修正されたら、修正されたバージョン以降のアプリケーションだけを許可する規則を作成できます。For applications with vulnerabilities, once the vulnerabilities are fixed you can create a rule that only allows the fixed or newer versions of that application. アプリケーションを許可するかブロックするかの判断は、状況と、参照システムがどのように使われるかによって異なります。The decision to allow or block applications depends on the context and on how the reference system is being used.

      セキュリティの専門家は、継続的に Microsoft と協力してユーザーの保護に努めています。Security professionals collaborate with Microsoft continuously to help protect customers. Microsoft では、コミュニティからの貴重なレポートの助けを借りて、攻撃者が Windows Defender Application Control をバイパスするために使われる可能性のある既知のアプリケーションの一覧を作成しました。With the help of their valuable reports, Microsoft has identified a list of known applications that an attacker could potentially use to bypass Windows Defender Application Control. 状況に応じて、これらのアプリケーションをブロックすることができます。Depending on the context, you may want to block these applications. このアプリケーションの一覧を表示し、または msbuild.exe の例 (msbuild.exe の無効化など) を使用する場合は、「 Microsoft 推奨ブロックの規則」を参照してください。To view this list of applications and for use case examples, such as disabling msbuild.exe, see Microsoft recommended block rules.

  4. 現在署名されていない LOB アプリケーションを特定します。Identify LOB applications that are currently unsigned. 署名されたコードを要求することで (WDAC を使用して要求します)、さまざまな脅威から保護されますが、署名のプロセスが難しくなる場合、組織では、署名されていない LOB アプリケーションを使用する可能性があります。Although requiring signed code (through WDAC) protects against many threats, your organization might use unsigned LOB applications, for which the process of signing might be difficult. また、署名されているアプリケーションを所有している場合に、それらのアプリケーションに対してセカンダリ署名の追加が必要になることがあります。You might also have applications that are signed, but you want to add a secondary signature to them. そのような場合は、これらのアプリケーションを特定してください。これは、これらのアプリケーション用のカタログ ファイルを作成する必要があるためです。If so, identify these applications, because you will need to create a catalog file for them.

展開プロセスの開始Getting started on the deployment process

  1. 必要に応じて、Windows Defender Application Control の署名証明書を作成します。Optionally, create a signing certificate for Windows Defender Application Control. WDAC を展開するとき、場合によっては、内部的にカタログ ファイルまたは WDAC ポリシーに署名する必要があります。As you deploy WDAC, you might need to sign catalog files or WDAC policies internally. そのためには、公開されているコード署名証明書 (購入したもの) または内部 CA のいずれかが必要になります。To do this, you will either need a publicly issued code signing certificate (that you purchase) or an internal CA. 内部 CA の使用を選択した場合は、コード署名証明書を作成する必要があります。If you choose to use an internal CA, you will need to create a code signing certificate.

  2. 参照コンピューターから WDAC ポリシーを作成します。Create WDAC policies from reference computers. この場合、役割や部署のニーズに合わせた WDAC ポリシーの作成と管理の方法は、会社のイメージを作成する場合と類似しています。In this respect, creating and managing WDAC policies to align with the needs of roles or departments can be similar to managing corporate images. 各参照コンピューターでは、WDAC ポリシーを作成し、そのポリシーを管理する方法を決定することができます。From each reference computer, you can create a WDAC policy, and decide how to manage that policy. WDAC ポリシーをマージして、より幅広いポリシーまたはマスターポリシーを作成するか、各ポリシーを個別に管理および展開することができます。You can merge WDAC policies to create a broader policy or a master policy, or you can manage and deploy each policy individually.

  3. WDAC ポリシーを監査し、ポリシーの対象外となるアプリケーションに関する情報を取得します。Audit the WDAC policy and capture information about applications that are outside the policy. 監査モードを使用して、各 WDAC ポリシーを適用する前に慎重にテストすることをお勧めします。We recommend that you use audit mode to carefully test each WDAC policy before you enforce it. 監査モードでは、どのアプリケーションもブロックされません。このポリシーでは、ポリシーの対象外となるアプリケーションが起動されるたびにイベントが記録されるだけです。With audit mode, no application is blocked—the policy just logs an event whenever an application outside the policy is started. 後で、必要に応じてポリシーを拡張し、これらのアプリケーションを許可することができます。Later, you can expand the policy to allow these applications, as needed.

  4. 署名されていない LOB アプリケーションのカタログファイルを作成します。Create a catalog file for unsigned LOB applications. Package Inspector ツールを使用して、署名されていない LOB アプリケーション用のカタログ ファイルを作成し署名します。Use the Package Inspector tool to create and sign a catalog file for your unsigned LOB applications. この後の手順では、カタログ ファイルの署名を WDAC ポリシーにマージできます。これにより、カタログ内のアプリケーションがポリシーによって許可されます。In later steps, you can merge the catalog file's signature into your WDAC policy, so that applications in the catalog will be allowed by the policy.

  5. イベント ログから必要なポリシー情報を取得し、必要に応じてその情報を既存のポリシーにマージします。Capture needed policy information from the event log, and merge information into the existing policy as needed. WDAC ポリシーを監査モードでしばらく実行すると、イベント ログには、ポリシーの対象外となるアプリケーションに関する情報が記録されます。After a WDAC policy has been running for a time in audit mode, the event log will contain information about applications that are outside the policy. これらのアプリケーションが許可されるようにポリシーを拡張するには、Windows PowerShell コマンドを使用して、イベント ログから必要なポリシー情報を取得し、その情報を既存のポリシーにマージします。To expand the policy so that it allows for these applications, use Windows PowerShell commands to capture the needed policy information from the event log, and then merge that information into the existing policy. 他のソースからの WDAC ポリシーをマージすることもできます。これにより、最終的な WDAC ポリシーを柔軟に作成することができます。You can merge WDAC policies from other sources also, for flexibility in how you create your final WDAC policies.

  6. WDAC ポリシーとカタログ ファイルを展開します。Deploy WDAC policies and catalog files. 上記の手順をすべて実行したことを確認したら、カタログ ファイルを展開し、WDAC ポリシーの監査モードを終了することができます。After you confirm that you have completed all the preceding steps, you can begin deploying catalog files and taking WDAC policies out of auditing mode. このプロセスは、テスト ユーザー グループを使用して開始することを強くお勧めします。We strongly recommend that you begin this process with a test group of users. これにより、カタログ ファイルと WDAC ポリシーを広範に展開する前に、品質管理による最終的な検証が行われます。This provides a final quality-control validation before you deploy the catalog files and WDAC policies more broadly.

  7. 必要な仮想化ベースのセキュリティ (VBS) 機能を有効にします。Enable desired virtualization-based security (VBS) features. ハードウェアベースのセキュリティ機能は、仮想化ベースセキュリティ (VBS) 機能とも呼ばれます。 Windows Defender アプリケーション制御によって提供される保護を強化します。Hardware-based security features—also called virtualization-based security (VBS) features—strengthen the protections offered by Windows Defender Application Control.

既知の問題Known issues

このセクションでは、WDAC とデバイスガードの既知の問題について説明します。This section covers known issues with WDAC and Device Guard. コードの整合性の仮想化ベースの保護は、予期しない障害、データ損失、またはブルースクリーンエラー (stop エラーとも呼ばれます) を引き起こす可能性がある一部のデバイスやアプリケーションとは互換性がありません。Virtualization-based protection of code integrity may be incompatible with some devices and applications, which might cause unexpected failures, data loss, or a blue screen error (also called a stop error). この構成は、運用環境で有効にする前にラボでテストしてください。Test this configuration in your lab before enabling it in production.

MSI インストールが WDAC によってブロックされるMSI Installations are blocked by WDAC

インターネットから WDAC で保護されているコンピューターに .msi ファイルを直接インストールすると、エラーが発生します。Installing .msi files directly from the internet to a computer protected by WDAC will fail. たとえば、次のコマンドは機能しません。For example, this command will not work:

msiexec –i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi

回避策として、MSI ファイルをダウンロードしてローカルで実行します。As a workaround, download the MSI file and run it locally:

msiexec –i c:\temp\Windows10_Version_1511_ADMX.msi