演習 - Azure で実行されている Windows Server 2016 VM で AppLocker を有効にする
Contoso で働く上級管理者として、Azure Virtual Desktop 環境での将来の展開のために Microsoft AppLocker をテストするように求められています。 エンタープライズの場合、このプロセスは通常、グループ ポリシー オブジェクト、Intune、または構成マネージャーを使用して行われます。 この演習には、これらのツールまたは Active Directory ドメイン コントローラーへのアクセスは含まれません。
この演習では、Azure で実行されている Windows Server 2016 VM を使用します。 これはラボの Azure Virtual Desktop 環境ではないため、Windows 10 Enterprise は使用できません。 次の手順を実行します。
- Azure Cloud Shell を開きます。
- リソース グループを作成します。
- Windows Server 2016 VM を展開します。
- VM に接続します。
- 標準ユーザーを追加します。
- AppIDsrv サービスを有効にします。
- Internet Explorer セキュリティ強化の構成を無効にします。
- Visual Studio Code 2019 をダウンロードしてインストールします。
- AppLocker を有効にします。
- 既定の AppLocker 規則を有効にします。
- 展開済み Windows Server 2016 VM で AppLocker の構成をテストします。
- リソースをクリーンアップします。
- AppLocker の使用に関するデモを試します。
注:
この演習の単位を完了するには、アクティブな Azure サブスクリプションが必要です。 この演習を実行すると、Azure サブスクリプションでコストが発生する場合があります。 コストを見積もるには、Windows Virtual Machines の料金をご覧ください。 このラボで説明する手順は、Windows Server 2016 環境用です。
Azure で VM を定義して展開する方法は複数あります。 この演習では、Azure Cloud Shell の Azure CLI を使用します。
Azure Cloud Shell を開く
- Azure の資格情報を使用して、Azure portal にサインインします。
- 検索ボックスの横にある [Cloud Shell] アイコンを選択します。 [Azure Cloud Shell へようこそ] バナーが開きます。
- マウントされたストレージがないことを示し、サブスクリプションを選択してストレージを作成するように求めるメッセージが表示される場合があります。 サブスクリプションを選択し、メッセージが表示されたら [ストレージの作成] を選択します。
- Azure Cloud Shell ターミナル ウィンドウで、環境として [PowerShell] を選択します。
リソース グループを作成する
ここで、リソース グループを作成する必要があります。 Azure リソース グループは、Azure リソースを展開して管理する論理コンテナーです。 次の例では、westus の場所に myResourceGroup という名前のリソース グループが作成されます。 場所によっては、別のオプションを選択することもできます。
- PowerShell CLI で次のコマンドを入力します。
az group create -n myResourceGroup -l westus
- 次のコマンドを使用して、新しいリソース グループを検証します。 このコマンドにより、myResourceGroup という名前のサブスクリプション内の Azure リソース グループを取得します。
Get-AZResourceGroup -Name myResourceGroup
Windows Server 2016 VM を展開する
- CLI ウィンドウで次のコマンドを入力します。
az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin
管理者のパスワードを入力し、メッセージが表示されたら確認します。
[実行中] のメッセージが表示されたら、マシンは展開中です。 Azure リソースの展開には 2 から 3 分かかります。
プロセスが完了すると、次の出力が表示されます。
{- Finished .. "fqdns": "", "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM", "location": "westus", "macAddress": "00-0D-3A-5A-75-FA", "powerState": "VM running", "privateIpAddress": "10.0.0.4", "publicIpAddress": "65.52.124.71", "resourceGroup": "myResourceGroup", "zones": "" }
リモート デスクトップ接続のパブリック アドレスを使用します。 アドレスと管理者パスワードをメモします。
VM に接続する
ローカル コンピューターからリモート デスクトップ セッションを作成するには、次の手順を使用します。 IP アドレスを VM のパブリック IP アドレスに置き換えます。 メッセージが表示されたら、PowerShell コマンドに指定した管理者のユーザー名と関連するパスワードを入力します。
- Windows デスクトップの場合、検索ウィンドウで「mstsc」と入力し、[リモート デスクトップ接続] アプリを選択します。
- [オプションの表示] を選択します。 VM の IP アドレスと管理者の資格情報を入力してから、[接続] を選択します。 サインオン構成の保存を選択しないでください。
- 「The identity of the remote computer cannot be verified. Do you want to connect anyway?」(リモート コンピューターの ID を検証できません。接続しますか?) というメッセージが表示されたら、[はい] を選択します。
標準ユーザーを追加する
次の手順では、標準ユーザーを myVM サーバーに追加します。
- Windows サーバー マネージャー ダッシュボードが使用可能である必要があります。 使用できない場合は、[スタート] を選択してから、[サーバー マネージャー] を選択します。
- ダッシュボードで、[ツール] を選択し、[コンピューターの管理] を選択します。
- [システム ツール] で [ローカル ユーザーとグループ] を選択します。 [ユーザー] を右クリックするか、そのショートカット メニューをアクティブ化して、[新しいユーザー] を選択します。
- ユーザー名、氏名、説明を入力します。 パスワードを入力して確認し、[ユーザーは次回ログイン時にパスワードを変更する] チェックボックスをオフにします。
- [作成] を選択してから、[閉じる] を選択します。
- [グループ] オプションを選択し、[リモート デスクトップ ユーザー] を検索します。
- [リモート デスクトップ ユーザー] を右クリックするか、そのショートカット メニューをアクティブ化して、[グループに追加] を選択します。
- [リモート デスクトップ ユーザー] プロパティ ダイアログ ボックスで、[追加] を選択します。
- 以前に作成した標準ユーザーをこのグループに追加します。
- [OK] を選択します。
- [コンピューターの管理] コンソールを閉じます。
AppIDsrv サービスを有効にする
アプリケーション ID サービス (AppIDsrv) によって、アプリの ID が決定および検証されます。 このサービスを停止すると、AppLocker ポリシーが適用されなくなります。
タスク マネージャーを開始するには、タスク バーを右クリックし、[タスク マネージャー] を選択します。
[詳細情報] を選択してから、[サービス] タブを選択します。
AppIDSvc が表示されるまで下にスクロールします。 それを右クリックし、[開始] を選択します。
これで、AppIDSrv サービスの状態が [実行中] になります。
タスク マネージャーを閉じます。
Internet Explorer セキュリティ強化の構成を無効にする
AppLocker の機能を表示するには、セキュリティ強化の構成を無効にする必要があります。 この保護は、Windows Server 2016 の Internet Explorer では既定で有効になっています。 セキュリティ強化の構成を無効にすると、インターネットへのアクセスはチェックされません。
- サーバー マネージャーで、[ローカル サーバー] を選択します。
- [プロパティ] パネルで、[IE セキュリティ強化の構成] を検索して [オン] リンクを選択します。
- [管理者] と [ユーザー] の両方でセキュリティ強化の構成をオフにするには、それぞれについて [オフ] ボタンを選択します。
- Internet Explorer を開始します。 「Internet Explorer Enhanced Security Configuration is not enabled」(Internet Explorer セキュリティ強化の構成が有効になっていません) というメッセージが表示されます。
Visual Studio Code 2019 をダウンロードしてインストールする
- Visual Studio の [ダウンロード] ページで Visual Studio 2019 Community エディションをダウンロードしてインストールします。 このエディションは無料です。
- Visual Studio .exe ファイルを実行または保存するよう求めるメッセージが表示されたら、[実行] を選択します。
- インストール中、すべての既定値を受け入れます。 設定中にメッセージが表示されたら、[続行]、[インストール] の順に選択します。 この演習では、追加のコンポーネントをインストールする必要はありません。
- Visual Studio を開いて、実行可能かどうかを確認します。 デスクトップやタスク バーには既定でショートカットはありません。 [スタート] メニューの [最近追加されたもの] に Visual Studio が表示されます。
- Visual Studio を閉じます。
AppLocker を有効にする
サーバー マネージャーで、[ツール] を選択し、[ローカル セキュリティ ポリシー] を選択します。
[セキュリティ設定] で、[アプリケーション制御ポリシー] を選択します。
[アプリケーション制御ポリシー] を展開して、[AppLocker] を選択します。 AppLocker 構成インターフェイスが表示されます。
[規則の実施の構成] を選択します。 [AppLocker プロパティ] インターフェイスが使用できるようになります。
[実施] タブで、これらの既定の規則は有効になっていません。 [Executable rules: Configured] (実行可能ファイルの規則: 構成済み) チェックボックスをオンにして、実行可能ファイルの規則を有効にします。
注:
[監査のみ] ではなく、設定が [ルールの適用] に設定されていることを確認します。 [監査のみ] の設定ではアプリはブロックされません。また、この設定を選択すると、記載されたとおりに演習が行われなくなるおそれがあります。
前の手順を [Windows インストーラーの規則]、[スクリプトの規則]、[パッケージ アプリの規則] に対して繰り返します。
[OK] を選択します。
既定の AppLocker 規則を有効にする
[ローカル セキュリティ ポリシー] コンソールの [セキュリティ設定]>[アプリケーション制御ポリシー]>[AppLocker] で [パッケージ アプリの規則] を右クリックします。 次に [既定の規則の作成] を選択します。
[(Default Rule) All signed package apps]((既定の規則) すべての署名済みパッケージ アプリ) が右側のパネルに表示されます。
前の手順を [実行可能ファイルの規則] に対して繰り返します。 作成された既定の規則が表示されます。
左側のパネルで [実行可能ファイルの規則] を右クリックしてから、[新しい規則の作成] を選択します。
その後、[Create Executable Rules] (実行可能ファイルの規則の作成) パネルが表示されます。 [次へ] を選択します。
[操作] の下で、[拒否] を選択します。
[選択] をクリックします。
[ユーザーまたはグループの選択] パネルが表示されます。 [選択するオブジェクト名を入力します] ボックスに、以前に作成した標準ユーザー名を入力します。
[名前の確認] をクリックします。 myVM\"標準ユーザーのログイン名" が表示されます。
[OK] ボタンを選択します。
[次へ]、[パス]、[次へ] を選択します。
[フォルダーの参照] を選択します。 [フォルダーの参照] エクスプローラーが表示されます。
[Program Files (x86)]>[Microsoft Visual Studio]>[2019] を選択します。 次に [OK] を選択します。
パスが %PROGRAMFILES%\Microsoft Visual Studio\2019 になります。 [次へ] を選択します。
[例外] パネルで [次へ] を選択します。
[名前と説明] パネルで [作成] を選択します。
[実行可能ファイルの規則] パネルに新しく [拒否] の規則が表示されるようになりました。
[ローカル セキュリティ ポリシー] ウィンドウを閉じます。
Windows Server 2016 VM で AppLocker の構成をテストする
構成した展開済み Windows Server VM からサインアウトし、以前に作成した標準ユーザー アカウントを使用してサインインします。
リモート デスクトップ セッションは、サインアウト時に閉じます。上記で説明したように、別のリモート デスクトップ セッションを開始し、リモート デスクトップ クライアントを使ってもう一度サインインする必要があります。
[スタート] メニューで [Visual Studio 2019] を選択します。
「This app has been blocked by your system administrator」(このアプリは、システム管理者によってブロックされました) というメッセージが表示されます。
AppLocker 規則が運用環境で実施される場合、許可される規則に含まれていないすべてのアプリの実行はブロックされます。
リソースをクリーンアップする
次のコマンドを使用して、リソース グループ、VM、すべての関連リソースが不要になった場合に削除できます。 リソース グループ名を、独自の環境で作成したリソース グループの名前に置き換えます (myResourceGroup)。 これらのリソースを削除しない場合は、リソースに関連するコストが発生する可能性があります。
az group delete --name myResourceGroup
このプロセスには 2 から 3 分かかります。
デモ: Azure Virtual Desktop 環境で AppLocker を使用する
次のビデオでは、AppLocker を使用して、Azure Virtual Desktop の展開をセキュリティで保護する方法を示します。