Azure Stack HCI バージョン 23H2 のアプリケーション制御Windows Defender管理する

適用対象: Azure Stack HCI バージョン 23H2

この記事では、Windows Defender アプリケーション制御 (WDAC) を使用して、Azure Stack HCI の攻撃対象領域を減らす方法について説明します。 詳細については、「 Azure Stack HCI バージョン 23H2 でベースライン セキュリティ設定を管理する」を参照してください。

前提条件

開始する前に、次の前提条件が満たされていることを確認してください。

  • Azure にデプロイ、登録、接続されている Azure Stack HCI バージョン 23H2 システムにアクセスできます。
  • Azure portalを使用して設定を表示する場合は、次の追加の前提条件を満たしていることを確認してください。

Microsoft クラウド セキュリティ ベンチマーク イニシアチブを適用する

Azure portalを使用してセキュリティ設定を表示するには、次のいずれかの方法を使用して MCSB イニシアチブを適用する必要があります。

  • (推奨)Cloud Foundational クラウド セキュリティ態勢管理 (CSPM) プランのMicrosoft Defenderを追加料金なしで有効にし、以下で説明するように MCSB が適用されていることを確認します。
  • Azure ポリシーの Azure コンピューティング セキュリティ ベースラインをすべてのクラスター サーバーに手動で適用します。 「Windows セキュリティ ベースライン」を参照してください。

サブスクリプション レベルで MCSB イニシアチブを適用するには、次の手順に従います。

  1. Azure portalにサインインし、Cloud のMicrosoft Defenderを検索して選択します。

    Azure portalで Defender for Cloud を検索する方法を示すスクリーンショット。

  2. 左側のウィンドウで、[ 管理 ] セクションまで下にスクロールし、[環境設定] を選択 します

  3. [ 環境設定 ] ページで、ドロップダウンから使用中のサブスクリプションを選択します。

    Azure サブスクリプションを選択する方法を示すスクリーンショット。

  4. [ セキュリティ ポリシー ] ブレードを選択します。

  5. Microsoft クラウド セキュリティ ベンチマークの場合は、[状態] ボタンを [オン] に切り替えます。

    [状態] ボタンを切り替える方法を示すスクリーンショット。

  6. Azure ポリシー イニシアチブが含まれているリソースを評価するまで、少なくとも 1 時間待ちます。

Azure portalを使用して WDAC 設定を表示する

WDAC ポリシーを使用して、システムでの実行を許可するドライバーとアプリを制御します。 WDAC 設定は、Azure portal経由でのみ表示できます。 設定を管理するには、「 PowerShell を使用して WDAC 設定を管理する」を参照してください。

Azure portalの [アプリケーション コントロール (WDAC)] ページを示すスクリーンショット。

PowerShell を使用して WDAC 設定を管理する

WDAC ポリシー モードを有効にする

WDAC は、デプロイ中またはデプロイ後に有効にすることができます。 PowerShell を使用して、展開後に WDAC を有効または無効にします。

いずれかのクラスター ノードに接続し、次のコマンドレットを使用して、"監査" または "強制" モードで目的の WDAC ポリシーを有効にします。

このビルド リリースには、次の 2 つのコマンドレットがあります。

  • Enable-AsWdacPolicy - すべてのクラスター ノードに影響します。
  • Enable-ASLocalWDACPolicy - コマンドレットが実行されるノードにのみ影響します。

ユース ケースに応じて、グローバル クラスターの変更またはローカル ノードの変更を実行する必要があります。

これは、次の場合に便利です。

  • 既定の推奨設定から開始しました。
  • 新しいサード パーティ製ソフトウェアをインストールまたは実行する必要があります。 ポリシー モードを切り替えて、補足ポリシーを作成できます。
  • 展開中に WDAC を無効にして、WDAC を有効にしてセキュリティ保護を強化したり、ソフトウェアが正しく動作することを検証したりします。
  • ソフトウェアまたはスクリプトは WDAC によってブロックされます。 この場合は、監査モードを使用して、問題を理解し、トラブルシューティングできます。

注意

アプリケーションがブロックされると、WDAC は対応するイベントを作成します。 イベント ログを確認して、アプリケーションをブロックしているポリシーの詳細を理解します。 詳細については、「Windows Defender アプリケーション制御操作ガイド」を参照してください。

WDAC ポリシー モードの切り替え

WDAC ポリシー モードを切り替えるには、こちらの手順に従います。 これらの PowerShell コマンドは Orchestrator と対話して、選択したモードを有効にします。

  1. Azure Stack HCI ノードに接続します。

  2. ローカル管理者の資格情報またはデプロイ ユーザー (AzureStackLCMUser) の資格情報を使用して、次の PowerShell コマンドを実行します。

    重要

    デプロイ ユーザー (AzureStackLCMUser) としてサインインする必要があるコマンドレットには、セキュリティ グループ (PREFIX-ECESG) と CredSSP (リモート PowerShell を使用する場合) またはコンソール セッション (RDP) を介した適切な資格情報承認が必要です。

  3. 次のコマンドレットを実行して、現在有効になっている WDAC ポリシー モードをチェックします。

    Get-AsWdacPolicyMode
    

    このコマンドレットは、ノードごとに監査モードまたは強制モードを返します。

  4. 次のコマンドレットを実行して、ポリシー モードを切り替えます。

    Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
    

    たとえば、ポリシー モードを監査に切り替えるには、次を実行します。

    Enable-AsWdacPolicy -Mode Audit
    

    警告

    オーケストレーターは、選択したモードに切り替えるのに最大 2 分から 3 分かかります。

  5. もう一度実行 Get-ASWDACPolicyMode して、ポリシー モードが更新されたことを確認します。

    Get-AsWdacPolicyMode
    

    これらのコマンドレットの出力例を次に示します。

    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Enforced
    Node01 	Enforced
    
    PS C:\> Enable-AsWdacPolicy -Mode Audit
    WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
    VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
    VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
    6826fbf2-cb00-450e-ba08-ac24da6df4aa
    
    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Audit
    Node01	Audit
    

サードパーティ製ソフトウェアを有効にする WDAC ポリシーを作成する

強制モードで WDAC を使用しているときに、Microsoft 以外の署名付きソフトウェアを実行するには、WDAC 補足ポリシーを作成して、Microsoft 提供の基本ポリシーを基に構築します。 その他の情報については、 パブリック WDAC のドキュメントを参照してください

注意

新しいソフトウェアを実行またはインストールするには、最初に WDAC を監査モードに切り替え (上記の手順を参照)、ソフトウェアをインストールし、正しく動作することをテストし、新しい補足ポリシーを作成してから、WDAC を強制モードに切り替える必要がある場合があります。

次に示すように、複数ポリシー形式で新しいポリシーを作成します。 次に、 を使用 Add-ASWDACSupplementalPolicy -Path Policy.xml して補足ポリシーに変換し、クラスター内のノード間でデプロイします。

WDAC 補足ポリシーを作成する

補足ポリシーを作成するには、次の手順に従います。

  1. 開始する前に、補足ポリシーの対象となるソフトウェアを独自のディレクトリにインストールします。 サブディレクトリがある場合は問題ありません。 補足ポリシーを作成するときは、スキャンするディレクトリを指定する必要があります。また、補足ポリシーでシステム上のすべてのコードをカバーしないようにする必要があります。 この例では、このディレクトリは C:\software\codetoscan です。

  2. すべてのソフトウェアをインストールしたら、次のコマンドを実行して補足ポリシーを作成します。 一意のポリシー名を使用して識別します。

    New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
    
  3. 次のコマンドレットを実行して、補足ポリシーのメタデータを変更します。

    # Set Policy Version (VersionEx in the XML file)
     $policyVersion = "1.0.0.1"
     Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
    
     # Set Policy Info (PolicyName, PolicyID in the XML file)
     Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
    
  4. 次のコマンドレットを実行してポリシーを展開します。

    Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
    
  5. 次のコマンドレットを実行して、新しいポリシーの状態をチェックします。

    Get-ASLocalWDACPolicyInfo
    

    これらのコマンドレットの出力例を次に示します。

    C:\> Get-ASLocalWDACPolicyInfo
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
    PolicyName        : AS_Base_Policy
    PolicyVersion     : AS_Base_Policy_1.1.4.0
    PolicyScope       : Kernel & User
    MicrosoftProvided : True
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
    PolicyName        : Contoso-Policy
    PolicyVersion     : Contoso-Policy_1.0.0.1
    PolicyScope       : Kernel & User
    MicrosoftProvided : False
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    

次の手順