ウィザードを使用した新しい基本ポリシーの作成
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
App Control for Business で使用するポリシーを作成する場合は、テンプレート ポリシーから開始し、アプリコントロールのシナリオに合わせてルールを追加または削除することをお勧めします。 このため、アプリ制御ウィザードには、基本ポリシーの作成ワークフロー中に開始およびカスタマイズする 3 つのテンプレート ポリシーが用意されています。 アプリコントロールに関する前提条件については、 App Control の設計ガイドを参照してください。 このページでは、テンプレートから新しいアプリ制御ポリシーを作成し、ポリシー オプションを構成し、署名者とファイルルールを構成する手順について説明します。
テンプレートの基本ポリシー
各テンプレート ポリシーには、ポリシーの信頼とセキュリティ モデルに影響を与える一意のポリシー許可リスト ルールのセットがあります。 次の表に、信頼と自由の順にポリシーを示します。 たとえば、既定の Windows モード ポリシーは、署名済みおよび信頼できるモード ポリシーよりも少ないアプリケーション発行元と署名者を信頼します。 既定の Windows ポリシーには、署名済みおよび信頼できるポリシーよりもセキュリティが優れた信頼の円が小さくなりますが、互換性を犠牲にしています。
| テンプレートの基本ポリシー | 説明 |
|---|---|
| 既定の Windows モード | 既定の Windows モードでは、次のコンポーネントが承認されます。
|
| Microsoft モードを許可する | 許可モードでは、次のコンポーネントが承認されます。
|
| 署名済みおよび評判可能モード | 署名済みおよび評判可能モードでは、次のコンポーネントが承認されます。
|
斜体コンテンツは、以前のポリシーに関する現在のポリシーの変更を示します。
既定の Windows モードポリシーと Microsoft モードポリシーの許可の詳細については、 ビジネスベースポリシーの例に関する記事を参照してください。
基本テンプレートが選択されたら、ポリシーに名前を付け、アプリ制御ポリシーをディスクに保存する場所を選択します。
ポリシー規則の構成
ページの起動時に、ポリシー ルールは、前のページから選択したテンプレートに応じて自動的に有効または無効になります。 ポリシー ルール のタイトルの横にあるスライダー ボタンを押して、目的のポリシー ルール オプションを有効または無効にすることを選択します。 各ルールの簡単な説明は、マウスでルール のタイトルの上にマウス ポインターを合わせると、ページの下部に表示されます。
ポリシー ルールの説明
次の表に、左端の列から始まる各ポリシー 規則の説明を示します。 ポリシー ルールに関する記事では、各ポリシー ルールについて詳しい説明を提供します。
| 規則のオプション | 説明 |
|---|---|
| [高度なブート オプション] メニュー | すべての App Control for Business ポリシーでは、F8 プリブート メニューが既定で無効になっています。 この規則のオプションを設定すると、実際に使っているユーザーに対して F8 メニューを表示することができます。 |
| 補足ポリシーを許可する | 基本ポリシーでこのオプションを使用して、補足ポリシーの拡張を許可します。 |
| スクリプトの適用を無効にする | このオプションは、スクリプトの適用オプションを無効にします。 署名されていない PowerShell スクリプトと対話型 PowerShell は、 制約付き言語モードに制限されなくなりました。 注: このオプションは HTA ファイルを実行するために必要であり、Windows 10 May 2019 Update (1903) 以降でのみサポートされます。 以前のバージョンのWindows 10での使用はサポートされておらず、意図しない結果になる可能性があります。 |
| ハイパーバイザーで保護されたコード整合性 (HVCI) | 有効にすると、ポリシーの適用によって仮想化ベースのセキュリティが使用され、セキュリティで保護された環境内でコード整合性サービスが実行されます。 HVCI は、カーネル マルウェアに対してより強力な保護を提供します。 |
| インテリジェント セキュリティ グラフの承認 | このオプションを使用して、Microsoft Intelligent Security Graph (ISG) によって定義された "既知の良好な" 評判を持つアプリケーションを自動的に許可します。 |
| マネージド インストーラー | このオプションを使用すると、管理インストーラーとして定義されているソフトウェア配布ソリューション (Microsoft Configuration Managerなど) によってインストールされたアプリケーションが自動的に許可されます。 |
| WHQL が必要 | 既定では、Windows ハードウェア品質ラボ (WHQL) 署名されていないレガシ ドライバーの実行が許可されます。 この規則を有効にすると、実行されるすべてのドライバーは WHQL によって署名されている必要があり、レガシ ドライバーのサポートが削除されます。 そのため、新しい Windows 互換ドライバーはすべて WHQL 認定を受ける必要があります。 |
| 再起動せずにポリシーを更新する | このオプションを使用すると、システムの再起動を必要とせずに、今後の App Control for Business ポリシーの更新プログラムを適用できます。 |
| 署名されていないシステム整合性ポリシー | ポリシーを署名されていない状態にしておくことができます。 このオプションを使わない場合、ポリシーは署名されている必要があります。また、将来ポリシーを変更できるようにするために、UpdatePolicySigners がポリシーに追加されている必要があります |
| ユーザー モード コードの整合性 | App Control for Business ポリシーでは、カーネル モードとユーザー モードのバイナリの両方が制限されます。 既定では、カーネル モードのバイナリだけが制限されます。 この規則のオプションを有効にすると、ユーザー モードの実行可能ファイルとスクリプトが検証されます。 |
詳細なポリシー 規則の説明
[+ 詳細オプション] ラベルを選択すると、ポリシー ルールの別の列である高度なポリシー ルールが表示されます。 次の表に、各高度なポリシー規則の説明を示します。
| 規則のオプション | 説明 |
|---|---|
| 失敗時のブート監査 | App Control for Business ポリシーが適用モードの場合に使用されます。 起動時にドライバーが失敗すると、アプリ制御ポリシーが監査モードに設定され、Windows が読み込まれます。 管理者は、CodeIntegrity イベント ログを使って、エラーが発生した理由を確認できます。 |
| フライト署名を無効にする | 有効にした場合、アプリ制御ポリシーはフライトルート署名バイナリをブロックします。 このオプションは、組織がリリースされたバイナリのみを実行し、フライト/プレビュー署名ビルドを実行しないシナリオで使用されます。 |
| ランタイム FilePath ルール保護を無効にする | このオプションは、管理者のみが書き込み可能なパスに対して FilePath ルールのみを許可する既定のランタイム チェックを無効にします。 |
| 動的コード セキュリティ | .NET アプリケーションと動的に読み込まれたライブラリ (DLL) のポリシー適用を有効にします。 |
| 再起動時に EA を無効にする | インテリジェント セキュリティ グラフ オプション (14) を使用すると、アプリ コントロールは、ファイルの実行が承認されたことを示す拡張ファイル属性を設定します。 このオプションを使用すると、ISG によって承認されたファイルの評判がアプリコントロールによって定期的に再検証されます。 |
| EV 署名者を要求する | このオプションは現在サポートされていません。 |
注
監査モードを最初に 有効に することをお勧めします。これは、新しい App Control for Business ポリシーを適用する前にテストできるためです。 監査モードでは、アプリケーションはブロックされません。ポリシー外のアプリケーションが開始されるたびに、ポリシーによってイベントがログに記録されます。 このため、すべてのテンプレートで監査モードが既定で有効になっています。
カスタム ファイルルールの作成
アプリ制御ポリシーのファイル ルールでは、アプリケーションを識別して信頼するレベルを指定します。 ファイル ルールは、アプリ制御ポリシーで信頼を定義するためのメインメカニズムです。 [ + カスタム ルール] を選択すると、カスタム ファイル ルールの条件パネルが開き、ポリシーのカスタム ファイル ルールが作成されます。 ウィザードでは、次の 4 種類のファイル 規則がサポートされています。
発行元ルール
Publisher ファイル 規則の種類では、コード署名証明書チェーンのプロパティを使用して、ファイル規則をベースにします。 参照ファイルと呼ばれる規則の基準となる ファイルが選択されたら、スライダーを使用してルールの特異性を示します。 次の表は、スライダーの配置、対応する App Control for Business ルール レベル、およびその説明の関係を示しています。 テーブルと UI スライダーの配置が低いほど、ルールの特異性が高くなります。
| ルール条件 | アプリコントロールルールレベル | 説明 |
|---|---|---|
| CA の発行 | PCACertificate | 使用可能な最高の証明書が署名者に追加されます。 この証明書は通常、PCA 証明書であり、ルート証明書の 1 つ下のレベルです。 この証明書によって署名されたすべてのファイルが影響を受ける。 |
| Publisher | 発行元 | この規則は、PCACertificate 規則とリーフ証明書の共通名 (CN) の組み合わせです。 主要な CA によって署名されたが、特定の会社のリーフ (デバイス ドライバー Corp など) を含むファイルは影響を受けます。 |
| ファイルのバージョン | SignedVersion | この規則は、PCACertificate、publisher、およびバージョン番号の組み合わせです。 指定したバージョン以上のバージョンを持つ、指定された発行元からの何ものも影響を受ける。 |
| ファイル名 | FilePublisher | 最も具体的です。 ファイル名、発行元、PCA 証明書と最小バージョン番号の組み合わせ。 指定した名前で、指定したバージョン以上の発行元からのファイルが影響を受けます。 |
Filepath 規則
ファイルパス 規則は、変更可能なアクセス許可に基づいているため、明示的な署名者ルールと同じセキュリティ保証を提供しません。 ファイルパス規則を作成するには、[ 参照 ] ボタンを使用してファイルを選択します。
ファイル属性ルール
ウィザードでは、認証されたファイル属性に基づく ファイル名ルール の作成がサポートされています。 ファイル名ルールは、アプリケーションとその依存関係 (DLL など) がすべて同じ製品名を共有する場合に役立ちます。たとえば、 このルール レベルを使用すると、ユーザーは製品名ファイル名パラメーターに基づいてターゲット ポリシーを簡単に作成できます。 ルールを作成するファイル属性を選択するには、ウィザードのスライダーを目的の属性に移動します。 次の表では、ルールを作成するためにサポートされている各ファイル属性について説明します。
| 規則のレベル | 説明 |
|---|---|
| 元のファイル名 | バイナリの元のファイル名、またはファイルが最初に作成された名前を指定します。 |
| ファイルの説明 | バイナリの開発者が提供するファイルの説明を指定します。 |
| 製品名 | バイナリが出荷される製品の名前を指定します。 |
| 内部名 | バイナリの内部名を指定します。 |
ファイル ハッシュ規則
最後に、ウィザードでは、ファイルのハッシュを使用したファイル ルールの作成がサポートされています。 このレベルは固有ですが、現在の製品バージョンのハッシュ値を維持するために余分な管理オーバーヘッドが発生する可能性があります。 バイナリが更新されるたびにハッシュ値が変更されるので、ポリシーの更新が必要となります。 既定では、指定したファイル ルール レベルを使用してファイル ルールを作成できない場合に、フォールバックとしてファイル ハッシュが使用されます。
署名規則の削除
ページの左側にあるポリシー署名規則の一覧テーブルには、テンプレート内の許可ルールと拒否ルール、および作成したカスタム ルールが文書化されています。 テンプレート署名ルールとカスタムルールは、ルールリストテーブルからルールを選択することで、ポリシーから削除できます。 ルールが強調表示されたら、テーブルの下にある削除ボタンを押します。 その後、別の確認を求められます。 [ Yes ] を選択して、ポリシーとルール テーブルからルールを削除します。