完全に管理されたデバイスの WDAC ポリシーを作成する

Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

このセクションでは、organization内のフル マネージド デバイスにWindows Defender アプリケーション制御 (WDAC) ポリシーを作成するプロセスについて説明します。 このシナリオと 軽く管理されるデバイス の主な違いは、フル マネージド デバイスに展開されるすべてのソフトウェアが IT によって管理され、デバイスのユーザーが任意のアプリをインストールできないことです。 理想的には、すべてのアプリは、Microsoft Intuneなどのソフトウェア配布ソリューションを使用して展開されます。 さらに、フル マネージド デバイス上のユーザーは、標準的なユーザーとして実行するのが理想的であり、承認された IT 担当者のみが管理アクセス権を持つ必要があります。

このトピックで説明するWindows Defender アプリケーション制御オプションの一部は、Windows 10 バージョン 1903 以降、またはWindows 11でのみ使用できます。 このトピックを使用して独自のorganizationの WDAC ポリシーを計画する場合は、マネージド クライアントがこれらの機能のすべてまたは一部を使用できるかどうかを検討し、クライアントで使用できない可能性がある機能への影響を評価します。 特定のorganizationのニーズを満たすために、このガイダンスを適応させる必要がある場合があります。

一般的なWindows Defenderアプリケーション制御の展開シナリオで説明されているように、Lamna Healthcare Company (Lamna) の例を使用して、このシナリオを示します。 Lamna は、アプリケーション制御を使用して、不要なアプリケーションや未承認のアプリケーションが管理対象デバイスで実行されるのを防ぐなど、より強力なアプリケーション ポリシーを採用しようとしています。

Alice Pena は、WDAC のロールアウトを任された IT チームリーダーです。

Alice は以前、organizationの軽く管理されたデバイスのポリシーを作成しました。 ただし、一部のデバイスはより緊密に管理されており、より制約付きポリシーの恩恵を受ける可能性があります。 特に、管理スタッフや現場担当者などの特定のジョブ機能には、デバイスへの管理者レベルのアクセス権は付与されません。 同様に、共有キオスクは、管理対象の一連のアプリでのみ構成され、IT を除くデバイスのすべてのユーザーが標準ユーザーとして実行されます。 これらのデバイスでは、すべてのアプリが IT によってデプロイおよびインストールされます。

フル マネージド デバイスの "信頼の丸" を定義する

Alice は、Lamna のフル マネージド デバイスの "信頼の円" に到達するための次の重要な要因を特定します。

  • すべてのクライアントがバージョン 1903 以上またはWindows 11 Windows 10実行されています。
  • すべてのクライアントは、Configuration ManagerまたはIntuneで管理されます。
  • ほとんどのアプリは、すべてではありませんが、Configuration Managerを使用してデプロイされます。
  • 場合によっては、IT スタッフは、Configuration Managerを使用せずに、これらのデバイスにアプリを直接インストールします。
  • IT を除くすべてのユーザーは、これらのデバイスの標準ユーザーです。

Alice のチームは、 LamnaITInstaller.exeと呼ばれるシンプルなコンソール アプリケーションを開発しています。これは、IT スタッフがデバイスにアプリを直接インストールするための承認された方法になります。 LamnaITInstaller.exe を使用すると、IT 担当者はアプリ インストーラーなどの別のプロセスを起動できます。 Alice は 、LamnaITInstaller.exe を WDAC 用の追加のマネージド インストーラーとして構成し、ファイルパス規則の必要性を取り除きます。

上記に基づいて、Alice はポリシーの擬似規則を定義します。

  1. 承認する "Windows の動作" ルール:

    • Windows
    • WHQL (サード パーティ製カーネル ドライバー)
    • Windows ストア署名済みアプリ

  2. "ConfigMgrは機能します" ルール。コンポーネントを適切に機能させるための署名者とハッシュ 規則Configuration Manager含まれます。

  3. マネージド インストーラーを許可する (マネージド インストーラーとして構成されたConfiguration ManagerとLamnaITInstaller.exe)

この一連の擬似ルールと、Lamna の 軽く管理されるデバイス に定義されている擬似ルールの重要な違いは次のとおりです。

  • インテリジェント セキュリティ グラフ (ISG) オプションの削除。そして
  • ファイルパス規則の削除。

WDAC 基本ポリシーの例を使用してカスタム 基本ポリシーを作成する

"信頼の円" を定義すると、Alice は Lamna のフル マネージド デバイスの初期ポリシーを生成する準備が整い、Configuration Managerを使用して初期基本ポリシーを作成し、Lamna のニーズに合わせてカスタマイズすることにしました。

Alice は、次の手順に従ってこのタスクを完了します。

Configuration Managerを使用しない場合、または独自のポリシーに対して Application Control 基本ポリシー Windows Defender別の例を使用する場合は、手順 2 に進み、Configuration Manager ポリシー パスを推奨される基本ポリシーの例に置き換えます。

  1. Configuration Managerを使用して、バージョン 1903 以降またはWindows 11を実行しているクライアント デバイスWindows 10監査ポリシーを作成して展開します。

  2. クライアント デバイスで、管理者特権のWindows PowerShell セッションで次のコマンドを実行して変数を初期化します。

    $PolicyPath=$env:userprofile+"\Desktop\"
$PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$PolicyPath+$PolicyName+".xml"
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"

  3. Configuration Managerによって作成されたポリシーをデスクトップにコピーします。

    cp $ConfigMgrPolicy $LamnaPolicy

  4. 新しいポリシーに一意の ID、わかりやすい名前、初期バージョン番号を指定します。

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"

  5. コピーしたポリシーを変更して、ポリシー ルールを設定します。

    Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security

  6. 必要に応じて、署名者またはファイルルールをさらに追加して、organizationのポリシーをさらにカスタマイズします。

  7. ConvertFrom-CIPolicy を使用して、Windows Defender アプリケーション制御ポリシーをバイナリ形式に変換します。

     [xml]$PolicyXML = Get-Content $LamnaPolicy
 $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
 ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin

  8. 基本ポリシー XML と関連付けられているバイナリを、GitHub などのソース管理ソリューションや、Office 365 SharePoint などのドキュメント管理ソリューションにアップロードします。

この時点で、Alice は、監査モードで Lamna 内のマネージド クライアントに展開する準備ができている初期ポリシーを持つようになりました。

このフル マネージド ポリシーのセキュリティに関する考慮事項

Alice は、アプリのセキュリティと管理容易性の間でトレードオフを行う、Lamna のフル マネージド デバイスのポリシーを定義しました。 トレードオフの一部は次のとおりです。

  • 管理アクセス権を持つユーザー
    ユーザーの数は少なくなりますが、Lamna では引き続き、一部の IT スタッフが管理者としてフル マネージド デバイスにサインインできます。 この権限を使用すると、これらのユーザー (またはユーザーの特権で実行されているマルウェア) は、デバイスに適用されている WDAC ポリシーを完全に変更または削除できます。 さらに、管理者は、管理されたインストーラーとして動作する任意のアプリを構成できます。これにより、必要なアプリやバイナリに対して永続的なアプリの承認を得ることができます。

    考えられる軽減策:

    • 署名された WDAC ポリシーと UEFI BIOS アクセス保護を使用して、WDAC ポリシーの改ざんを防ぎます。
    • マネージド インストーラーの要件を削除するために、アプリのデプロイ プロセスの一部として署名付きカタログ ファイルを作成してデプロイします。
    • デバイス構成証明を使用して、起動時に WDAC の構成状態を検出し、その情報を使用して機密性の高い企業リソースへのアクセスを条件付けます。

  • 署名されていないポリシー
    署名されていないポリシーは、管理者として実行されているプロセスによって影響を受けることなく、置き換えたり削除したりできます。 補助ポリシーを有効にする署名されていない基本ポリシーでは、署名されていない補足ポリシーによって "信頼の円" を変更できます。

    適用されている既存の軽減策:

    • デバイスの管理者に昇格できるユーザーを制限します。

    考えられる軽減策:

    • 署名された WDAC ポリシーと UEFI BIOS アクセス保護を使用して、WDAC ポリシーの改ざんを防ぎます。

  • マネージド インストーラー
    マネージド インストーラーに関するセキュリティに関する考慮事項を参照してください

    適用されている既存の軽減策:

    • デバイスの管理者に昇格できるユーザーを制限します。

    考えられる軽減策:

    • マネージド インストーラーの要件を削除するために、アプリのデプロイ プロセスの一部として署名付きカタログ ファイルを作成してデプロイします。

  • 補足ポリシー
    補足ポリシーは、関連する基本ポリシーを緩和するように設計されています。 さらに、署名されていないポリシーを許可すると、管理者プロセスは、基本ポリシーによって定義された "信頼の円" を制限なしで拡張できます。

    考えられる軽減策:

    • 承認された署名付き補足ポリシーのみを許可する署名付き WDAC ポリシーを使用します。
    • 制限付き監査モード ポリシーを使用して、アプリの使用状況を監査し、脆弱性検出を強化します。

次へ