Azure Stack HCI バージョン 23H2 のアプリケーション制御Windows Defender管理する
適用対象: Azure Stack HCI バージョン 23H2
この記事では、Windows Defender アプリケーション制御 (WDAC) を使用して、Azure Stack HCI の攻撃対象領域を減らす方法について説明します。 詳細については、「 Azure Stack HCI バージョン 23H2 でベースライン セキュリティ設定を管理する」を参照してください。
前提条件
開始する前に、次の前提条件が満たされていることを確認してください。
- Azure にデプロイ、登録、接続されている Azure Stack HCI バージョン 23H2 システムにアクセスできます。
- Azure portalを使用して設定を表示する場合は、次の追加の前提条件を満たしていることを確認してください。
- Microsoft Cloud Security Benchmark (MCSB) イニシアチブを適用しました。 「Microsoft クラウド セキュリティ ベンチマーク イニシアチブを適用する」を参照してください。
- MCSB を適用するには、Azure サブスクリプションに少なくとも 所有者 ロールまたは 共同作成者 ロールがあります。
Microsoft クラウド セキュリティ ベンチマーク イニシアチブを適用する
Azure portalを使用してセキュリティ設定を表示するには、次のいずれかの方法を使用して MCSB イニシアチブを適用する必要があります。
- (推奨)Cloud Foundational クラウド セキュリティ態勢管理 (CSPM) プランのMicrosoft Defenderを追加料金なしで有効にし、以下で説明するように MCSB が適用されていることを確認します。
- Azure ポリシーの Azure コンピューティング セキュリティ ベースラインをすべてのクラスター サーバーに手動で適用します。 「Windows セキュリティ ベースライン」を参照してください。
サブスクリプション レベルで MCSB イニシアチブを適用するには、次の手順に従います。
Azure portalにサインインし、Cloud のMicrosoft Defenderを検索して選択します。
左側のウィンドウで、[ 管理 ] セクションまで下にスクロールし、[環境設定] を選択 します。
[ 環境設定 ] ページで、ドロップダウンから使用中のサブスクリプションを選択します。
[ セキュリティ ポリシー ] ブレードを選択します。
Microsoft クラウド セキュリティ ベンチマークの場合は、[状態] ボタンを [オン] に切り替えます。
Azure ポリシー イニシアチブが含まれているリソースを評価するまで、少なくとも 1 時間待ちます。
Azure portalを使用して WDAC 設定を表示する
WDAC ポリシーを使用して、システムでの実行を許可するドライバーとアプリを制御します。 WDAC 設定は、Azure portal経由でのみ表示できます。 設定を管理するには、「 PowerShell を使用して WDAC 設定を管理する」を参照してください。
PowerShell を使用して WDAC 設定を管理する
WDAC ポリシー モードを有効にする
WDAC は、デプロイ中またはデプロイ後に有効にすることができます。 PowerShell を使用して、展開後に WDAC を有効または無効にします。
いずれかのクラスター ノードに接続し、次のコマンドレットを使用して、"監査" または "強制" モードで目的の WDAC ポリシーを有効にします。
このビルド リリースには、次の 2 つのコマンドレットがあります。
Enable-AsWdacPolicy
- すべてのクラスター ノードに影響します。Enable-ASLocalWDACPolicy
- コマンドレットが実行されるノードにのみ影響します。
ユース ケースに応じて、グローバル クラスターの変更またはローカル ノードの変更を実行する必要があります。
これは、次の場合に便利です。
- 既定の推奨設定から開始しました。
- 新しいサード パーティ製ソフトウェアをインストールまたは実行する必要があります。 ポリシー モードを切り替えて、補足ポリシーを作成できます。
- 展開中に WDAC を無効にして、WDAC を有効にしてセキュリティ保護を強化したり、ソフトウェアが正しく動作することを検証したりします。
- ソフトウェアまたはスクリプトは WDAC によってブロックされます。 この場合は、監査モードを使用して、問題を理解し、トラブルシューティングできます。
注意
アプリケーションがブロックされると、WDAC は対応するイベントを作成します。 イベント ログを確認して、アプリケーションをブロックしているポリシーの詳細を理解します。 詳細については、「Windows Defender アプリケーション制御操作ガイド」を参照してください。
WDAC ポリシー モードの切り替え
WDAC ポリシー モードを切り替えるには、こちらの手順に従います。 これらの PowerShell コマンドは Orchestrator と対話して、選択したモードを有効にします。
Azure Stack HCI ノードに接続します。
ローカル管理者の資格情報またはデプロイ ユーザー (AzureStackLCMUser) の資格情報を使用して、次の PowerShell コマンドを実行します。
重要
デプロイ ユーザー (AzureStackLCMUser) としてサインインする必要があるコマンドレットには、セキュリティ グループ (PREFIX-ECESG) と CredSSP (リモート PowerShell を使用する場合) またはコンソール セッション (RDP) を介した適切な資格情報承認が必要です。
次のコマンドレットを実行して、現在有効になっている WDAC ポリシー モードをチェックします。
Get-AsWdacPolicyMode
このコマンドレットは、ノードごとに監査モードまたは強制モードを返します。
次のコマンドレットを実行して、ポリシー モードを切り替えます。
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
たとえば、ポリシー モードを監査に切り替えるには、次を実行します。
Enable-AsWdacPolicy -Mode Audit
警告
オーケストレーターは、選択したモードに切り替えるのに最大 2 分から 3 分かかります。
もう一度実行
Get-ASWDACPolicyMode
して、ポリシー モードが更新されたことを確認します。Get-AsWdacPolicyMode
これらのコマンドレットの出力例を次に示します。
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
サードパーティ製ソフトウェアを有効にする WDAC ポリシーを作成する
強制モードで WDAC を使用しているときに、Microsoft 以外の署名付きソフトウェアを実行するには、WDAC 補足ポリシーを作成して、Microsoft 提供の基本ポリシーを基に構築します。 その他の情報については、 パブリック WDAC のドキュメントを参照してください。
注意
新しいソフトウェアを実行またはインストールするには、最初に WDAC を監査モードに切り替え (上記の手順を参照)、ソフトウェアをインストールし、正しく動作することをテストし、新しい補足ポリシーを作成してから、WDAC を強制モードに切り替える必要がある場合があります。
次に示すように、複数ポリシー形式で新しいポリシーを作成します。 次に、 を使用 Add-ASWDACSupplementalPolicy -Path Policy.xml
して補足ポリシーに変換し、クラスター内のノード間でデプロイします。
WDAC 補足ポリシーを作成する
補足ポリシーを作成するには、次の手順に従います。
開始する前に、補足ポリシーの対象となるソフトウェアを独自のディレクトリにインストールします。 サブディレクトリがある場合は問題ありません。 補足ポリシーを作成するときは、スキャンするディレクトリを指定する必要があります。また、補足ポリシーでシステム上のすべてのコードをカバーしないようにする必要があります。 この例では、このディレクトリは C:\software\codetoscan です。
すべてのソフトウェアをインストールしたら、次のコマンドを実行して補足ポリシーを作成します。 一意のポリシー名を使用して識別します。
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
次のコマンドレットを実行して、補足ポリシーのメタデータを変更します。
# Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
次のコマンドレットを実行してポリシーを展開します。
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
次のコマンドレットを実行して、新しいポリシーの状態をチェックします。
Get-ASLocalWDACPolicyInfo
これらのコマンドレットの出力例を次に示します。
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM
次の手順
フィードバック
https://aka.ms/ContentUserFeedback.
Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see:フィードバックの送信と表示