events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
敵対者は、多くの場合、機密情報を抽出しようとして、悪意のある Web サイト、電子メール、またはリムーバブル メディアを使用してワークステーションをターゲットにします。 ワークステーションでのアプリケーションの強化は、このリスクを軽減する上で重要な部分です。 その有効性により、ユーザー アプリのセキュリティ強化は、 ACSC のサイバー セキュリティ インシデントを軽減するための戦略の重要な 8 の 1 つです。
敵対者は、サポートされていない古いバージョンのアプリケーションで見つかった脆弱性の悪用を頻繁に試みます。 新しいバージョンの Microsoft 製品では、セキュリティ機能が大幅に向上し、安定性が向上します。 多くの場合、強化されたセキュリティ機能がないため、敵対者は古いバージョンのアプリケーションを簡単に侵害できます。 このリスクを軽減するには、サポートされている最新バージョンの Microsoft 製品を使用する必要があります。
参照しやすくするために、Intuneには、関連付けられているコントロールに対して次のポリシーがデプロイされている必要があります。
java は、Windows 10またはWindows 11に既定ではインストールされません。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1486 | java は、Windows 10またはWindows 11に既定ではインストールされません。 |
Microsoft Edge のアドバタイズを無効にするための使用可能なすべての構成オプションは、Microsoft Edge セキュリティ ベースラインと ACSC セキュリティ強化を Microsoft Edge に展開するときに構成されます。
Microsoft Edge のサード パーティの拡張機能、ゲートウェイでのネットワーク フィルター処理、または保護された DNS サービスの使用を使用して、より多くのブロックを実現できます。 ただし、これらの項目の実装は、このドキュメントの範囲外です。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1485 | [侵入型広告を含むサイトの広告設定] ポリシーが [有効] に構成されています。 |
インターネット エクスプローラー 11 はWindows 11に存在しません。
2022 年 6 月 15 日、Microsoft はインターネット エクスプローラー 11 を廃止しました。 従来の互換性のためにインターネット エクスプローラーが引き続き必要なorganizationの場合、Microsoft Edge のインターネット エクスプローラー モード (IE モード) は、シームレスで単一のブラウザー エクスペリエンスを提供します。 ユーザーは、インターネット エクスプローラー 11 に切り替えることなく、Microsoft Edge 内からレガシ アプリケーションにアクセスできます。
管理者が IE モードを構成した後、組織はスタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にすることができます。 スタート メニューとタスク バーのインターネット エクスプローラー 11 アイコンが削除されます。 ユーザーは、インターネット エクスプローラー 11 を使用するショートカットまたはファイルの関連付けを起動しようとしたとき、または iexplore.exe バイナリを直接呼び出すときに、Microsoft Edge にリダイレクトされます。
特定の Web サイト用に Microsoft Edge 内で直接開くインターネット エクスプローラーを構成するには、IE モード ポリシーを構成します。 詳細については、「 IE モード ポリシーの構成」を参照してください。
Intuneを使用して、Windows 10 デバイスのスタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にするには:
さらに、インターネット エクスプローラー 11 を完全に削除するには:
注意
このスクリプトでは、.NET Framework 3.5 (.NET 2.0 と 3.0 を含む) とWindows PowerShell 2.0 も無効になります。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1666 | ポリシー 'Enterprise Mode Site List の構成' は、特定の Web サイトの一覧organization構成されます。 インターネット エクスプローラー 11 は、Enable として構成されたポリシー "スタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にする" によって削除されたか、スクリプトを使用して削除されました。 |
Microsoft Office による子プロセスの作成をブロックするには、Intune経由で展開された攻撃 Surface リダクション (ASR) エンドポイント セキュリティ ポリシーを使用します。
Microsoft は、GitHub の ACSC Windows セキュリティ強化ガイダンスのIntune実装を提供しました。このガイダンスには、Microsoft Office による子プロセスの作成をブロックする ASR 規則が含まれています。
子プロセスのブロック作成を実装するには:
この ASR エンドポイント セキュリティ ポリシーには、特定の ASR ルールが含まれています。すべての Office アプリケーションが子プロセスを作成できないようにします (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)。
注意
この ASR 規則プロファイルをインポートすると、Microsoft Office は実行可能コンテンツ (3B576869-A4EC-4529-8536-B80A7769E899) の作成と、他のプロセス (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) へのコードの挿入をブロックされます。
注意
この攻撃面縮小 (ASR) ポリシーは、ACSC によって推奨される各 ASR 規則を監査モードで構成します。 適用する前に、どの 環境でも互換性の問題について ASR ルールをテストする必要があります。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1667 | ASR ルール 'すべての Office アプリケーションで子プロセスの作成をブロックする" が有効になっています。 |
Microsoft Office による子プロセスの作成をブロックする (3B576869-A4EC-4529-8536-B80A7769E899) は、Intune経由で展開される攻撃面縮小 (ASR) エンドポイント セキュリティ ポリシーを使用して実現できます。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1668 | ASR ルール 'Block Office applications from creating executable content' が有効になっています。 |
Microsoft Office による子プロセスの作成をブロックする (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) は、Intune経由で展開される攻撃面縮小 (ASR) エンドポイント セキュリティ ポリシーを使用して実行できます。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1669 | ASR ルール 'Block Office applications from injecting code into other processes' が有効になっています。 |
OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell スクリプトをデプロイして、Excel、PowerPoint、Wordでの OLE パッケージのアクティブ化をブロックするレジストリ キーをインポートします。
OLE パッケージのアクティブ化防止を実装するには:
注意
この PowerShell スクリプトは、Office 2016 以降専用です。 Office 2013 の OLE のライセンス認証を防ぐためのスクリプトは、 OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1に記載されています。
スクリプトは符号なしです。 スクリプト署名が必要な場合は、次のドキュメントを参照して、スクリプトを Windows デバイスで実行できるように署名します。スクリプトに署名する方法と、[スクリプト署名の適用] チェック を [はい] に変更します。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1542 | OLE パッケージのアクティブ化は、スクリプトを使用して禁止されています。 |
Microsoft Edge は、Windows 10とWindows 11の既定の PDF ビューアーとして構成されます。 PDF の表示は、ACSC または Web ブラウザーのベンダー強化ガイダンスに含まれるポリシーを使用してさらに強化できます。
または、organizationが既定の PDF ソフトウェアとして Adobe Reader を使用している場合は、次の手順に従って、Adobe Reader による子プロセスの作成をブロックする適切な攻撃面削減ルールを構成します。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1670 | ASR ルール 'Block Adobe Reader from creating child processes' が有効になっています。 |
Microsoft Edge は、Windows 10とWindows 11に既定でインストールされ、推奨される Web ブラウザーです。 Microsoft Edge は、特に構成されていない限り、既定のブラウザーと PDF ビューアーの両方です。
Microsoft と ACSC では、Microsoft Edge を強化するためのガイダンスと特定のポリシーが提供されています。 どちらのガイダンス セットも同時にデプロイする必要があります。
セキュリティ ベースラインを実装するには:
セキュリティ強化ガイダンスを実装するには:
注意
Microsoft は、組織がオーストラリアのサイバー セキュリティ センター (ACSC) Windows 10セキュリティ強化ガイドラインに準拠できるようにまとめたIntuneポリシーもリリースしました。 MICROSOFT Edge に推奨される ACSC のセキュリティ強化ポリシーも、これらのポリシーに含まれています。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1412, 1860 | - Microsoft Edge セキュリティ ベースラインをデプロイする - ACSC Microsoft Edge セキュリティ強化ガイダンスをデプロイします。 |
エンタープライズ向けMicrosoft Appsは、「Essential 8 Configure Microsoft Office マクロ設定」の柱の一部として、ACSC から Microsoft 365、Office 2021、Office 2019、Office 2016 を強化するための推奨設定で強化されています。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1859 | ACSC Office のセキュリティ強化ガイドラインを展開します。 |
このドキュメントで提供されているポリシーがIntune経由で展開されると、ポリシーに含まれる設定が適用され、標準ユーザーが変更することはできません。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1585 | このドキュメントで提供されているポリシーがIntune経由で展開されると、ポリシーに含まれる設定が適用され、標準ユーザーが変更することはできません。 |
UserApplicationHardening-RemoveFeatures.ps1 PowerShell スクリプトをデプロイすると、インストールされている場合、.NET Framework 3.5 (.NET 2.0 と 3.0 を含む) 機能がオフになります。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
ISM-1655 | .NET Framework 3.5 (.NET 2.0 と 3.0 を含む) が無効または削除されます。 |
UserApplicationHardening-RemoveFeatures.ps1 PowerShell スクリプトをデプロイすると、インストールされている場合、Windows PowerShell 2.0 機能がオフになります。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1612 | Windows PowerShell 2.0 は、指定されたスクリプトを使用して無効または削除されます。 |
制約付き言語モードは、Essential8 アプリケーション制御の軽減策に関するドキュメントの一部として有効になっています。
Microsoft Defender for Endpoint (MDE) を使用して、サイバー セキュリティ イベントの検出に使用できるエンドポイントからログを取得および保持できます。
スクリプトの実行は、Microsoft Defender for Endpoint Advanced Hunting でネイティブに監査できます。 高度なハンティング機能Microsoft Defender for Endpoint、制限付き言語モードで実行するために適用されたブロックされたスクリプトまたはスクリプトを報告するイベント ID 8029 を含む、複数のアプリケーション制御イベントをログに記録します。
または、WDAC イベントのイベント転送を使用して、サードパーティの監視ソリューションでイベントを監視することもできます。
参照:
アプリケーション制御イベント ID (Windows) について - Windows セキュリティ | 高度なハンティング (Windows) を使用してアプリケーション制御イベントを照会する - Windows セキュリティ
Intuneを使用すると、デバイスをMDEにシームレスにオンボードできます。
ブロックされた PowerShell スクリプトの実行と同様に、侵害の兆候の前兆であるコマンド ライン プロセス作成イベントは、デバイスが Defender for Endpoint に登録されるときに収集されます。 イベントは、Defender for Endpoint ポータルの [タイムライン] の [デバイス] ページで表示できます。
オンボード エンドポイントをMDEに実装するには:
デバイスがMDEにオンボードされると、確認のために PowerShell の実行がキャプチャされ、必要に応じてアクションを実行できます。 詳細については、「Microsoft Defender for Endpointでデバイスで応答アクションを実行する」を参照してください。
ISM コントロール 2024 年 9 月 | 軽減策 |
---|---|
1664, 1665, 1405 | デバイスが Defender for Endpoint に登録されている場合、アプリケーション制御イベント ID は Defender for Endpoint によってキャプチャされます。 |
1899 | 侵害の兆候の前兆であるコマンド ライン プロセス作成イベントは、デバイスが Defender for Endpoint に登録されている場合に Defender for Endpoint によってキャプチャされます。 |
events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録トレーニング
モジュール
Microsoft Defender for Endpoint を使用して Windows のセキュリティ強化を実装する - Training
Microsoft Defender for Endpoint を使用して Windows のセキュリティ強化を実装する
認定資格
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
最新の管理、共同管理のアプローチ、Microsoft Intune 統合の基本的な要素を使用して、エンドポイント展開戦略を計画して実行します。