Windows Defender アプリケーション制御ポリシーの設計に関する決定事項について理解する
注
Windows Defender Application Control (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。
この記事は IT プロフェッショナル向けです。 Windows オペレーティング システム環境内で Windows Defender アプリケーションコントロール (WDAC) を使用してアプリケーション制御ポリシーの展開を計画する際に行われた決定の設計上の質問、考えられる回答、および影響を示します。
設計と計画のプロセスを開始するときは、設計の選択の影響を考慮する必要があります。 結果として得られる決定は、ポリシーの展開スキームとその後のアプリケーション制御ポリシーのメンテナンスに影響します。
次に該当する場合は、組織のアプリケーション制御ポリシーの一部として Windows Defender アプリケーション制御を使用することを検討する必要があります。
- サポートされているバージョンの Windows を組織内に展開するか、展開する予定です。
- 組織のアプリケーションへのアクセスとユーザーがアクセスするデータの制御を強化する必要があります。
- 組織には、アプリケーションの管理とデプロイのための適切に定義されたプロセスがあります。
- 組織の要件に対してポリシーをテストするためのリソースがあります。
- ヘルプ デスクに関連するリソースや、エンド ユーザー アプリケーションアクセスの問題に対するセルフヘルプ プロセスを構築するためのリソースがあります。
- 生産性、管理容易性、およびセキュリティに関するグループの要件は、制限の厳しいポリシーによって制御できます。
作成するポリシーを決定する
Windows 10 バージョン 1903 以降では、Windows Defender アプリケーション制御を使用すると、各デバイスに 複数の同時ポリシー を適用できます。 このコンカレント アプリケーションにより、組織の多くの新しいユース ケースが開かれますが、作成するポリシーの数と種類について十分に考え抜かれた計画がないと、ポリシー管理が扱いにくくなる可能性があります。
最初の手順は、WDAC ポリシーに必要な "信頼の円" を定義することです。 「信頼の輪」とは、自然言語で表現されたポリシーのビジネス意図の説明を意味します。 この "信頼の丸" 定義は、ポリシー XML の実際のポリシー 規則を作成するときにガイドします。
たとえば、%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies の下にある DefaultWindows ポリシーは、Windows、サード パーティのハードウェアおよびソフトウェア カーネル ドライバー、および Microsoft Store からのアプリケーションを許可する "信頼の円" を確立します。
Configuration Manager では、ポリシーの基礎として DefaultWindows ポリシーを使用しますが、Configuration Manager とその依存関係を許可するようにポリシー 規則を変更し、マネージド インストーラー ポリシールールを設定し、さらに Configuration Manager をマネージド インストーラーとして構成します。 また、必要に応じて、肯定的な評判を持つアプリを承認し、Configuration Manager 管理者によって指定されたフォルダー パスの 1 回限りのスキャンを実行できます。これにより、マネージド エンドポイント上の指定されたパスにあるアプリのルールが追加されます。 このプロセスにより、Configuration Manager のネイティブ WDAC 統合の "信頼の円" が確立されます。
次の質問は、Windows Defender アプリケーション制御の展開を計画し、ポリシーに適した "信頼の円" を決定するのに役立ちます。 これらは優先順位や順番ではなく、設計上の考慮事項の包括的なセットを意図したものではありません。
WDAC の設計に関する考慮事項
アプリはどのように管理され、組織内に展開されますか?
適切に定義された一元管理されたアプリ管理とデプロイ プロセスを持つ組織は、より制限の厳しい、より安全なポリシーを作成できます。 他の組織は、よりリラックスしたルールを使用して Windows Defender アプリケーションコントロールを展開できる場合もあれば、組織内で使用されているアプリをより適切に表示するために、監査モードで WDAC を展開することもできます。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| すべてのアプリは、 Microsoft Intune などのエンドポイント管理ツールを使用して一元的に管理および展開されます。 | すべてのアプリを一元的に管理する組織は、アプリケーション制御に最適です。 マネージド インストーラーなどの Windows Defender アプリケーション制御オプションを使用すると、組織のアプリ配布管理ソリューションによって展開されるアプリを簡単に承認できます。 |
| 一部のアプリは一元的に管理およびデプロイされますが、チームはメンバー用に他のアプリをインストールできます。 | 補足ポリシーを 使用すると、組織全体の主要な Windows Defender アプリケーション制御ポリシーに対するチーム固有の例外を許可できます。 または、チームはマネージド インストーラーを使用してチーム固有のアプリをインストールすることも、管理者専用のファイル パスルールを使用して管理者ユーザーがアプリをインストールできるようにすることもできます。 |
| ユーザーとチームは無料でアプリをダウンロードしてインストールできますが、組織はその権利を一般的で評判の良いアプリのみに制限したいと考えています。 | Windows Defender アプリケーション制御は、Microsoft の インテリジェント セキュリティ グラフ (Microsoft Defender ウイルス対策と Windows Defender SmartScreen を強化するのと同じインテリジェンス ソース) と統合して、評判の良いアプリとバイナリのみを許可できます。 |
| ユーザーとチームは、制限なくアプリを無料でダウンロードしてインストールできます。 | Windows Defender アプリケーション制御ポリシーを監査モードで展開すると、ユーザーとチームの生産性に影響を与えることなく、組織内で実行されているアプリとバイナリに関する分析情報を得ることができます。 |
社内で開発された基幹業務 (LOB) アプリとサード パーティ企業によって開発されたアプリはデジタル署名されていますか?
Windows 上の従来の Win32 アプリは、デジタル署名なしで実行できます。 この方法では、Windows デバイスを悪意のあるコードや改ざんされたコードに公開し、Windows デバイスにセキュリティの脆弱性を提示する可能性があります。 組織のアプリ開発プラクティスの一部としてコード署名を採用するか、アプリのインジェストと配布の一部として署名済みカタログ ファイルを使用してアプリを拡張すると、使用されるアプリの整合性とセキュリティが大幅に向上します。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| 組織内で使用されるすべてのアプリに署名する必要があります。 | すべての実行可能 コードにコード署名を適用する 組織は、Windows コンピューターを悪意のあるコード実行から保護するために最適な位置にあります。 Windows Defender アプリケーション制御ルールを作成して、組織の内部開発チームおよび信頼できる独立系ソフトウェア ベンダー (ISV) からのアプリとバイナリを承認できます。 |
| 組織内で使用されるアプリは、コード署名の要件を満たす必要はありません。 | 組織は 、組み込みの Windows ツールを使用 して、組織固有のアプリ カタログ署名をアプリ展開プロセスの一部として既存のアプリに追加できます。これは、コードの実行を承認するために使用できます。 Microsoft Intune などのソリューションでは、署名されたアプリ カタログを配布する複数の方法が用意されています。 |
カスタマイズされたアプリケーション制御ポリシーを必要とする特定のグループが組織内にありますか?
ほとんどのビジネス チームまたは部門には、データ アクセスに関連する特定のセキュリティ要件と、そのデータへのアクセスに使用されるアプリケーションがあります。 組織全体のアプリケーション制御ポリシーをデプロイする前に、各グループのプロジェクトのスコープとグループの優先順位を考慮してください。 ポリシーの管理にはオーバーヘッドがあり、広範な組織全体のポリシーと複数のチーム固有のポリシーを選択できます。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| ○ | WDAC ポリシーは、チームごとに一意に作成することも、チーム固有の補足ポリシーを使用して、共通の一元的に定義された基本ポリシーによって許可される内容を拡張することもできます。 |
| なし | WDAC ポリシーは、Windows 10 および Windows 11 を実行している PC にインストールされているアプリケーションにグローバルに適用できます。 制御する必要があるアプリの数によっては、すべてのルールと例外を管理するのが困難な場合があります。 |
IT 部門には、アプリケーションの使用状況を分析し、ポリシーを設計および管理するためのリソースがありますか?
調査と分析を実行するために使用できる時間とリソースは、ポリシーの管理とメンテナンスを継続するための計画とプロセスの詳細に影響する可能性があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| はい | 組織のアプリケーション制御要件を分析し、可能な限り構築されたルールを使用する完全なデプロイを計画する時間を費やします。 |
| なし | いくつかのルールを使用して、特定のグループに焦点を当てた段階的なデプロイを検討してください。 特定のグループ内のアプリケーションにコントロールを適用するときは、そのデプロイから学習して、次のデプロイを計画します。 または、広範な信頼プロファイルを持つポリシーを作成して、できるだけ多くのアプリを承認することもできます。 |
組織でヘルプ デスクがサポートされていますか?
ユーザーが既知のアプリケーション、デプロイ済みアプリケーション、または個人用アプリケーションにアクセスできないようにすると、最初はエンド ユーザーのサポートが増加します。 セキュリティ ポリシーに従い、ビジネス ワークフローが妨げられないように、組織内のさまざまなサポートの問題に対処する必要があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| はい | ユーザーが誤ってアプリケーションの使用をブロックされたり、特定のアプリケーションを使用するための例外が求められる可能性があるため、計画フェーズの早い段階でサポート部門に関与します。 |
| なし | デプロイ前に、オンライン サポート プロセスとドキュメントの開発に時間を費やします。 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示