マネージド インストーラーと ISG テクニカル リファレンスとトラブルシューティング ガイド

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注

Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

マネージド インストーラーとインテリジェント セキュリティ グラフ (ISG) ログ イベントの有効化

オプションのマネージド インストーラー診断イベントを有効にする方法については、「 アプリケーション制御 イベントについて」を参照してください。

fsutil を使用してマネージド インストーラー (MI) の拡張属性を照会する

マネージド インストーラー (MI) が有効Windows Defenderアプリケーション制御 (WDAC) を使用しているお客様は、fsutil.exe を使用して、マネージド インストーラー プロセスによってファイルが作成されたかどうかを判断できます。 この検証は、fsutil.exe を使用してファイルの拡張属性 (EA) に対してクエリを実行し、KERNEL を探すことによって行われます。SMARTLOCKER。ORIGINCLAIM EA。 次に、出力の最初の行のデータを使用して、ファイルがマネージド インストーラーによって作成されたかどうかを識別できます。 たとえば、application.exe というファイルの fsutil.exe 出力を見てみましょう。

例:

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

上記の出力から、"0000:" というラベルが付いたデータの最初の行を見つけ、その後に 16 個の 2 文字セットが続きます。 4 つのセットごとに、ULONG と呼ばれるグループが形成されます。 最初の ULONG の先頭にある 2 文字セットは、次に示すように常に "01" になります。

0000: 01 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

出力の 5 番目の位置 (2 番目の ULONG の先頭) に "00" がある場合は、EA がマネージド インストーラーに関連していることを示します。

0000: 01 00 00 00 00 00 00 00 00 00 00 01 00 00 00

最後に、出力の 9 番目の位置 (3 番目の ULONG の先頭) の 2 文字セットは、ファイルがマネージド インストーラーとして実行されているプロセスによって作成されたかどうかを示します。 値 "00" は、ファイルがマネージド インストーラー プロセスによって直接書き込まれたこと、および WDAC ポリシーがマネージド インストーラーを信頼している場合に実行されることを意味します。

0000: 01 00 00 00 00 00 00 00 00 00 00 01 00 00 00

代わりに、3 番目の ULONG の開始値が "02" の場合は、"子の子" を示します。 "子の子" は、マネージド インストーラーによってインストールされた何かによって作成されたすべてのファイルに設定されます。 ただし、ファイルは、マネージド インストーラーが作業を完了した 後 に作成されました。 そのため、ポリシーに許可する他の規則がない限り、このファイルの実行は許可 されません 。

まれに、この位置に他の値が表示されることがありますが、ポリシーがマネージド インストーラーを信頼している場合にも実行されます。

fsutil を使用したインテリジェント セキュリティ グラフ (ISG) の拡張属性のクエリ

ISG に従って評判の良いインストーラーを実行すると、インストーラーがディスクに書き込むファイルは、インストーラーから評判を継承します。 ISG 継承された信頼を持つこれらのファイルには、KERNEL も含まれます。SMARTLOCKER。マネージド インストーラーに対して上記のように設定された ORIGINCLAIM EA。 FSutil から出力の 5 番目の位置 (2 番目の ULONG の開始) で値 "01" を探すことで、EA が ISG によって作成されたことを識別できます。

0000: 01 00 00 00 01 00 00 00 00 00 00 01 00 00 00

マネージド インストーラーと ISG のその他のトラブルシューティング手順

マネージド インストーラーと ISG の両方が、一部の機能を提供するために AppLocker に依存しています。 次の手順を使用して、AppLocker が構成され、正しく実行されていることを確認します。

1. AppLocker サービスが実行されていることを確認します。 管理者特権の PowerShell ウィンドウで、次を実行し、appidsvc と AppLockerFltr の両方に対して STATE が RUNNING と表示されていることを確認します。

   sc.exe query appidsvc
       SERVICE_NAME: appidsvc
       TYPE               : 30  WIN32
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   sc.exe query AppLockerFltr
       SERVICE_NAME: applockerfltr
       TYPE               : 1  KERNEL_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   

   そうでない場合は、管理者特権の PowerShell ウィンドウから appidtel を実行し、もう一度チェックします。

2. マネージド インストーラーの場合は、AppCache.datやその他の *のチェック。%windir%\System32\AppLocker の下に作成された AppLocker ファイル。 は最小限に抑える必要があります。EXE、DLL、MANAGEDINSTALLER の各規則コレクション用に作成された AppLocker" ファイル。 これらのファイルが作成されていない場合は、次の手順に進み、AppLocker ポリシーが正しく適用されていることを確認します。

3. マネージド インストーラーのトラブルシューティングの場合は、AppLocker の有効なポリシーが正しいことをチェックします。 管理者特権の PowerShell ウィンドウから:

   Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
   

   次に、作成した XML ファイルを開き、予期した規則が含まれていることを確認します。 特に、ポリシーには、EXE、DLL、MANAGEDINSTALLER RuleCollections ごとに少なくとも 1 つのルールが含まれている必要があります。 RuleCollections は、AuditOnly または Enabled に設定できます。 さらに、EXE および DLL RuleCollections には、「アプリケーションコントロールを使用してマネージド インストーラーによって展開されたアプリを自動的に許可する」に示すように、RuleCollectionExtensions 構成Windows Defender含める必要があります。