Windows Defender アプリケーション制御 (WDAC) は、カーネル レベルのコードを含め、システムで実行できるアプリケーションとコードを制限することで、セキュリティを強化します。 WDAC ポリシーでは、署名されていないスクリプトをブロックしたり、インストーラーを .msi したり、Windows PowerShell で ConstrainedLanguage モードを 適用したりできます。
WDAC が適用された環境で Windows Admin Center を正常にインストールして管理するには、追加の構成手順が必要です。 WDAC が適用されたサーバー、クライアント、またはクラスターに接続すると、Windows Admin Center の [ 概要 ] ページの [PowerShell 言語モード ] フィールドに適用状態が表示されます。 値が Constrained の場合、WDAC の適用はアクティブになります。 WDAC によって適用されるクラスターへの初期接続には数分かかる場合がありますが、通常は後続の接続の方が高速です。
Note
マネージド ノードの WDAC 強制状態を変更する場合は、Windows Admin Center を使用して変更を正確に反映できるように、少なくとも約 30 秒待ちます。
Requirements
次のセクションでは、Windows Admin Center を使用して、サーバー、クライアント マシン、クラスターなど、WDAC で適用されるインフラストラクチャの基本的な要件について説明します。 理想的には、Windows Admin Center とマネージド ノードの両方が同じドメインに属しているか、管理と認証プロセスを簡略化するための信頼できる関係を持っている必要があります。 注意する必要があるその他の要件と考慮事項を次に示します。
インストール: 通常と同様に、WDAC によって適用されるサーバーまたはクライアント コンピューターに Windows Admin Center をインストールします。
管理者アクセス: Windows Admin Center ホスト コンピューターとマネージド ノードの両方に対するローカル管理者権限があることを確認します。 これらの権限は、管理タスクを実行するために不可欠です。 SMB ポート 445 経由の UNC パスに基づくファイル転送は、Windows Admin Center でこれらの環境を効果的に管理するために重要です。 マネージド サーバーまたはクラスターに対する管理者権限があることを確認し、セキュリティ ポリシーによってファイル転送が妨げられないことを確認します。 アクセス許可の委任が必要な場合は、委任ポリシーが、過剰な特権なしで必要なアクセス許可を付与するように正しく構成されていることを確認します。
サポートされているオペレーティング システム: Windows Admin Center ホストとマネージド ノードの両方のオペレーティング システムが Windows Admin Center でサポートされていることを確認します。
ネットワーク構成: WinRM とファイル転送に必要に応じて、HTTP (ポート 5985)、HTTPS (ポート 5986)、SMB トラフィックを許可するための適切なネットワーク構成 (特にファイアウォール設定) を確認します。 Windows Admin Center では、TCP ポート 445 のマネージド ノードへの SMB アクセスが必要です。 セキュリティで保護された通信に HTTPS を使用する場合は、Windows Admin Center ゲートウェイに適切な TLS/SSL 証明書がインストールされ、構成されていることを確認します。
ポリシーの要件
特定のユース ケースに応じて、基本ポリシー内または補足ポリシーとして、許可リスト内の 1 つ以上の証明書を承認する必要があります。 詳細については、 さまざまなシナリオでの App Control for Business のデプロイに関するページを参照してください。
ケース 1: WDAC が適用されるのは、マネージド ノードだけです。
マネージド ノードの WDAC ポリシーで許可リストに登録する必要があるのは、次の署名者ルールだけです。
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> <CertPublisher Value="Microsoft Corporation" /> </Signer>ケース 2: マネージド ノードと Windows Admin Center をホストするマシンの両方に WDAC が適用されています。
マネージド ノードと Windows Admin Center をホストするマシンの両方で、ケース 1 から前述の署名者ルールを適用します。 さらに、Windows Admin Center をホストしているコンピューターでのみ、次の署名者ルールを許可リストに追加します。
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> <CertPublisher Value="Microsoft 3rd Party Application Component" /> </Signer> <Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> <CertPublisher Value=".NET" /> </Signer>
ビジネス向けアプリ コントロール ウィザードは、WDAC ポリシーの作成と編集に役立ちます。 ウィザードまたは PowerShell コマンドを使用して新しいポリシーを作成する場合は、バイナリに基づく Publisher ルールを使用してルールを作成します。 例えば次が挙げられます。
ケース 1 では、ウィザードで Windows Admin Center
.msiファイルを使用して WDAC ポリシーを生成します。2 の場合でもウィザードを使用できますが、WDAC ポリシーを手動で更新して、指定された署名者とハッシュ規則を組み込む必要があります。
2410 より前のバージョンの Windows Admin Center では、 CertPublisher Value=".NET" 規則は不要です。 ただし、これらの古いバージョンでは、Windows Admin Center ホストでのみ、特定のファイル/ハッシュ規則を許可リストに含める必要があります。
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="AA77BB88CC99DD00EE11FF22AA33BB44CC55DD66" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="CC33DD44EE55FF66AA77BB88CC99DD00EE11FF22" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="DD44EE55FF66AA77BB88CC99DD00EE11FF22AA33" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="BB88CC99DD00EE11FF22AA33BB44CC55DD66EE77" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="DD44EE55FF66AA77BB88CC99DD00EE11FF22AA33" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="EE55FF66AA77BB88CC99DD00EE11FF22AA33BB44" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="FF66AA77BB88CC99DD00EE11FF22AA33BB44CC55" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="FF66AA77BB88CC99DD00EE11FF22AA33BB44CC55" />
</FileRules>
ポリシー作成ツールまたはスクリプトは、Signer ID と Allow ID(Signer ID="ID_SIGNER_S_XXXXX" など)を自動的に埋めます。
PowerShell 実行ポリシー
既定の PowerShell 実行ポリシー は、Windows Admin Center で WDAC が適用されたマシンを管理するのに十分です。 既定のポリシーを変更する場合は、署名付きスクリプトの読み込みと実行を許可するために、 LocalMachine スコープを RemoteSigned に設定します。 調整は、PowerShell のセキュリティ機能のために重要な場合と慎重に検討した後にのみ行う必要があります。
既知の問題
Azure Kubernetes Service のデプロイ: 現在、Windows Admin Center を介した Azure Local および Azure Arc リソース ブリッジへの Azure Kubernetes Service のデプロイは、WDAC によって強制される環境ではサポートされていません。
Role-Based アクセス制御 (RBAC):WDAC の適用が実施されている場合、1 台のサーバーでのロールベースのアクセス制御の利用は現在サポートされていません。
証明書ツールの操作: 証明書ツール内の特定の操作は、WDAC の適用下で制限されているか、サポートされていない可能性があります。
Troubleshooting
"モジュールが見つかりません" または "接続に失敗しました" というエラーが表示された場合は、次のいずれかの操作を実行します。
モジュール転送の確認: Windows Admin Center がマネージド ノードにファイルを正常に転送したかどうかを確認するには、マネージド ノード上の
%PROGRAMFILES%\WindowsPowerShell\Modulesディレクトリに移動します。Microsoft.SME.*という名前のモジュールの存在を確認します。 これらのモジュールがない場合は、Windows Admin Center を使用してサーバーまたはクラスターに再接続を試みます。ポート アクセス検証: Windows Admin Center をホストしているマシンが、マネージド ノード上の TCP ポート 445 にアクセスできることを確認します。 このポートは、Windows Admin Center がファイル転送と管理タスクに依存する SMB 通信に不可欠です。