events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
この記事では、It 管理者が Microsoft Office マクロ設定を構成するための Essential8 軽減戦略を満たす方法について説明します。 アウトラインされたコントロールは、Essential Eight Maturity Level 3 の意図に合わせて調整されます。 推奨されるポリシーを適用してMicrosoft 365 Appsを強化すると、ユーザー アプリケーションのセキュリティ強化に関する特定の制御が満たされます。
注意
信頼された場所から Office マクロを実行できるようにするためのアドバイスは、この記事の範囲外です。 代わりに、信頼できる発行元を使用することをお勧めします。
オーストラリアサイバー セキュリティ センター (ACSC) には、Microsoft 365 Appsの強化に関する複数のガイダンス ドキュメントと、マクロを構成するための推奨ポリシーが用意されています。 この記事のすべてのポリシーは、次の参照に基づいています。
Intuneには、ポリシー セットという機能があります。 ポリシー セットを使用すると、アプリケーション、構成ポリシー、およびその他のオブジェクトを 1 つのデプロイ可能なエンティティに結合できます。 Microsoft 365 Apps for Enterprise の展開には、常に推奨される ACSC Office セキュリティ強化ポリシーが付属している必要があります。 これにより、Office スイートのアプリのすべてのユーザーに、適切な ACSC Office セキュリティ強化ポリシーが適用されます。
ポリシー セットを適用するには、管理者は次の 3 つのステージを完了する必要があります。
注意
アプリケーションを割り当てないでください。 これは、後の手順で行います。
注意
この PowerShell スクリプトは、Office 2016 以降専用です。 Office 2013 の OLE のライセンス認証を防ぐためのスクリプトは、 OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1に記載されています。
https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance
。注意
この攻撃面縮小 (ASR) ポリシーは、ACSC によって推奨される各 ASR 規則を監査モードで構成します。 適用する前に、どの環境でも互換性の問題について ASR ルールをテストする必要があります。
この時点までのドキュメントに従うことで、次の追加の軽減策が行われます。
ISM コントロール 2024 年 9 月 | コントロール | メジャー |
---|---|---|
1488 | インターネットから送信されたファイル内の Microsoft Office マクロはブロックされます。 | Office アプリケーションごとに、次のポリシーが構成されています (ACSC Office セキュリティ強化ポリシーを 使用)。 インターネットからの Office ファイルでのマクロの実行をブロックする: 有効 |
1675 | 信頼されていない発行元によってデジタル署名された Microsoft Office マクロは、メッセージ バーまたは Backstage ビューを使用して有効にすることはできません。 | Office アプリケーションごとに、次のポリシーが構成されています ( ACSC Office セキュリティ強化ポリシーを 使用)。 署名されていないアプリケーションの信頼バー通知を無効にする: 有効 |
1672 | Microsoft Office マクロウイルス対策スキャンが有効になっています。 | 次のポリシーが構成されています ( ACSC Office セキュリティ強化ガイドライン ポリシーを 使用)。 ランタイム AV スキャンの強制: 有効 マクロ ランタイム スキャン スコープ: すべてのドキュメントで有効 注: これには、Windows Defender がデバイス上で実行されている必要があります。 |
1673 | Microsoft Office マクロは、Win32 API 呼び出しを行うことをブロックされます。 | 次の攻撃面の縮小ルールが構成されています (ASR ポリシーを使用)。 Office マクロからの Win32 API 呼び出しをブロックする (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B) |
マクロをブロックするポリシーは、ポリシー セットに含まれていません。 これにより、マクロを実行するビジネスニーズが実証されているユーザーのグループを選択的に除外できます。 実証済みの必要性を持たない他のすべてのユーザーは、マクロの実行をブロックされます。
信頼された発行元によって署名されたマクロの実行を可能にする後の手順を容易にするには、新しいグループを作成する必要があります。 このグループは、競合を回避するために他の Office マクロ ポリシーから除外され、信頼された発行元によって署名されたマクロを実行できます。 他のすべてのユーザーは、すべてのマクロの実行を無効にするポリシーを対象とします。
信頼された発行元によって署名されたマクロのみを許可するには:
ここまでのドキュメントに従うことで、次の追加の軽減策が行われました。
ISM コントロール 2024 年 9 月 | コントロール | メジャー |
---|---|---|
1671 | Microsoft Office マクロは、実証済みのビジネス要件を持たないユーザーに対して無効になります。 | 既定では、すべての Office ユーザーはマクロの実行をブロックするポリシーを対象とします (ポリシーは Office アプリケーションごとに異なります)。 Office アプリケーションの VBA を無効にする: 有効 |
1489 | Microsoft Office マクロのセキュリティ設定をユーザーが変更することはできません。 | Intuneを介して構成および展開されたポリシーは、標準ユーザーによって変更できません。 Office のセキュリティ強化とマクロの無効化に関するポリシーは、エンド ユーザーが変更することはできません。 ブロック マクロ ポリシーから除外されているユーザーが、信頼された発行元からのマクロの実行のみを許可するポリシーを対象にしていることを確認します。 |
標準ユーザーの場合は、可能な限り、信頼できる場所からのマクロの実行を許可するよりも、信頼された発行元を使用することをお勧めします。 信頼された場所を使用するには、信頼された場所に配置される前に、各マクロを徹底的に検査する必要があります。 信頼できる発行元を使用する理由は、信頼できる発行元を選択することで、製品のセキュリティに対するコミットメントが実証されており、場所や Web サイトと比較してマクロを使用するリスクが軽減されるためです。 前の手順からマクロをブロックするポリシーから除外されたユーザーは、マクロの実行を信頼できる発行元のキュレーションされたリストに制限するポリシーを対象とします。
ACSC Office セキュリティ強化ガイドラインを実装することで、マクロは実行前にMicrosoft Defenderによってスキャンされます (上記の ISM-1672 の会議を参照)。 マクロに署名する前に、管理者は、マクロの安全性を判断するために専用の切断されたデバイス (ACSC Office のセキュリティ強化ポリシーが適用された状態) でマクロを実行する必要があります。
サード パーティ製ツールも利用でき、送信されたマクロの自動スキャンと署名を提供できます。
信頼された発行元に対して有効なマクロ ポリシーをインポートするには、次の手順を実行します。
信頼された発行元ポリシーをインポートした後、1 つ以上の信頼された発行元を指定する必要があります。 信頼された発行元を追加するには、「Intuneを使用して信頼された発行元の証明書ストアに証明書を追加する:Intuneを使用した信頼された発行元への証明書の追加 - Microsoft Tech Community」の手順に従います。
複数のパブリッシャーを同じポリシーにバンドルするのではなく、信頼できる発行元ごとに新しいポリシーを作成します。 これにより、展開された信頼された発行元の識別が簡素化され、不要になった信頼された発行元の削除が容易になります。 信頼された発行元の証明書ポリシーを同じグループに展開します。マクロの実行を許可する – 信頼された発行元。
注意
マクロに署名する場合は、より安全なバージョンの VBS プロジェクト署名スキーム V3 署名を使用します。
信頼できる発行元によって署名されたマクロの実行のみを許可することで、次の追加の軽減策が満たされています。
ISM コントロール 2024 年 9 月 | コントロール | メジャー |
---|---|---|
1674 | セキュリティで保護された環境内から実行されている Microsoft Office マクロ、信頼された場所、または 信頼された発行元によってデジタル署名 された Microsoft Office マクロのみが実行できます。 | Office アプリごとに、次の設定が構成されています ( [信頼された発行元に対してマクロが有効] ポリシーを 使用)。 デジタル署名マクロを除くすべてを無効にする: 有効 |
1487 | Microsoft Office マクロに悪意のあるコードがないかどうかを確認する権限を持つユーザーのみが、信頼された場所内のコンテンツに書き込んで変更できます。 | 該当なし。 信頼された発行元によって署名されたマクロのみが、選択したユーザーに対して実行できます。 |
1890 | Microsoft Office マクロは、デジタル署名または信頼できる場所内に配置される前に、悪意のあるコードがないことを確認するためにチェックされます。 | 管理者は、ACSC Office セキュリティ強化ポリシーが適用されているデバイスでマクロを起動します。このマクロは運用環境から切断され、署名前にマクロの安全性を判断するために専用になっています。 |
Microsoft Defender for Endpoint (MDE) では、Microsoft の堅牢なクラウド サービスを使用して構築された次のテクノロジの組み合わせを使用します。
MDEを使用して、エンドポイントからログを取得して保持し、サイバー セキュリティ イベントの検出に使用できます。
Microsoft IntuneとMDEの統合により、Intuneマネージド デバイスのMDEに簡単にオンボードできます。
デバイスがMDEにオンボードされると、レビューのために特定のアクションがキャプチャされ、必要に応じてアクションを実行できます:Microsoft Defender for Endpointのデバイスで応答アクションを実行します。
デバイスをMDEにオンボードすると、次のコントロールが満たされます。
ISM コントロール 2024 年 9 月 | コントロール | メジャー |
---|---|---|
1677, 1678 | 許可およびブロックされた Microsoft Office マクロの実行は、一元的にログに記録され、承認されていない変更と削除から保護され、侵害の兆候がないか監視され、サイバー セキュリティ イベントが検出されたときにアクションが実行されます。 | 展開された攻撃面の縮小ルールに一致するマクロによって実行されるプロセスは、Defender for Endpoint に記録されます。 攻撃または侵害の兆候に一致する実行は、レビューのためのアラートを生成します。 |
信頼された発行元からのマクロの実行が許可されているユーザーを使用して、デバイス上の信頼された発行元の一覧を検証します。 信頼された発行元の証明書ストアで、信頼された発行元の証明書のそれぞれを確認します。
前の条件を満たしていない証明書をすべて削除します。
ISM コントロール 2024 年 9 月 | コントロール | メジャー |
---|---|---|
1676 | Microsoft Office の信頼できる発行元の一覧は、毎年またはより頻繁に検証されます。 | 管理者は、信頼された発行元の証明書ストア内の証明書を検証し、すべての証明書が引き続き必要であり、有効期間内であることを確認します。 不要になった証明書と関連付けられているポリシーを削除します。 |
events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録トレーニング
モジュール
Enhance your email protection using Microsoft Defender for Office 365 - Training
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
認定資格
Microsoft 認定: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 デプロイを保護するためのデータ セキュリティ、ライフサイクル管理、情報セキュリティ、コンプライアンスの基礎を示します。