ウィザードを使用した既存の基本および補足 WDAC ポリシーの編集

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注

Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

Windows Defender アプリケーション制御ウィザードを使用すると、PowerShell コマンドレットや手動よりも WDAC ポリシーの編集と表示が簡単になります。 ウィザードでは現在、次の編集機能がサポートされています。

• ポリシー規則の構成
• 既存のポリシーに新しい許可またはブロック ファイル規則を追加する
• 既存のポリシーに対する許可またはブロックファイルルールの削除

ポリシー規則の構成

ページは Policy Rules 、設定された規則に従って構成された編集内ポリシー 規則と共に読み込まれます。 ボタンを + Advanced Options 選択すると、ポリシールールの詳細オプションパネルが表示されます。 このルールのグループ化には、ほとんどのユーザーにあまり一般的ではない他のポリシー ルール オプションが含まれています。 いずれかのルールを編集するには、対応するポリシー ルールの状態を反転します。 たとえば、次の図で監査モードを無効にし、強制モードを有効にするには、ラベルの Audit Mode 横にあるボタンを押すだけで済みます。 ポリシールールが構成されたら、[次へ] ボタンを選択して、編集の次の段階である [ファイルルールの追加] を続行します。

ポリシー ルールの説明は、ルール タイトルの上にカーソルを置くとページの下部に表示されます。 ポリシー 規則とその機能の完全な一覧については、「アプリケーション制御ポリシー 規則のWindows Defender」の表を参照してください。

ファイルルールの追加

Windows Defender アプリケーション制御ウィザードを使用すると、ユーザーは既存のポリシーにルールをシームレスに追加できます。 以前は、このルール追加タスクでは、新しいルールを使用して新しいポリシーを作成し、既存のポリシーとマージする必要があります。

ボタンを + Custom Rules 選択すると、[カスタム ルール] パネルが開きます。 新しいポリシー ファイル ルールの作成の詳細については、「ポリシー ファイル ルールの 作成」セクションで提供されているガイドラインを参照してください。

ファイル規則の削除

WDAC ウィザードを使用すると、既存のポリシーからファイル ルールを迅速かつ簡単に削除できます。 発行元ルール、パス 規則、ファイル名規則、またはハッシュ規則のいずれかの種類のファイル規則を削除するには、ページの左側にあるテーブル内 Policy Signing Rules List の規則を選択します。 ルールを選択すると、行全体が強調表示されます。 行が強調表示されたら、テーブルの下にある削除アイコンを選択します。 ウィザードは、ファイル ルールを削除する前にユーザーの確認を求めるメッセージを表示します。 削除されると、ルールはポリシーまたはテーブルに表示されなくなります。

注: 発行元ルールを削除すると、関連付けられているファイル属性ルールも削除されます。 たとえば、次の xml ブロックでは、ID_SIGNER_CONTOSO_PUBLISHERを削除すると、規則ID_FILEATTRIB_LOB_APP_1とID_FILEATTRIB_LOB_APP_2も削除されます。

    <Signer ID="ID_SIGNER_CONTOSO_PUBLISHER" Name="Contoso LOB Publisher CA">
      <CertRoot Type="TBS" Value="0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF" />
      <CertPublisher Value="Contoso IT Dept App Publisher" />
      <FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_1" />
      <FileAttribRef RuleID="ID_FILEATTRIB_LOB_APP_2" />

ポリシーの作成

ポリシーが作成されると、新しいポリシーは編集中ポリシーと同じパスに書き込まれます。 新しいポリシー ファイル名には、ファイル名の末尾にポリシー バージョンが追加されます。 たとえば、編集中のポリシーが MyDocuments\BasePolicy.xml に保存されている場合、編集後、新しいポリシーは MyDocuments\BasePolicy_v10.0.0.1.xml に保存されます。

次へ

• ウィザードを使用Windows Defenderアプリケーション制御 (WDAC) ポリシーをマージする