緩やかに管理されたデバイスの WDAC ポリシーを作成する

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注

Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

このセクションでは、organization内で軽く管理されたデバイス用のWindows Defender アプリケーション制御 (WDAC) ポリシーを作成するプロセスについて説明します。 通常、アプリケーション制御を初めて使用する組織は、この記事で説明するような制限の少ないポリシーから始めると、最も成功します。 組織は、後の記事で説明するように、WDAC で管理されるデバイスで全体的なセキュリティ体制を強化するために、時間をかけてポリシーを強化することを選択できます。

注

このトピックで説明するWindows Defender アプリケーション制御オプションの一部は、Windows 10 バージョン 1903 以降、またはWindows 11でのみ使用できます。 このトピックを使用して独自のorganizationの WDAC ポリシーを計画する場合は、マネージド クライアントがこれらの機能のすべてまたは一部を使用できるかどうかを検討し、クライアントで使用できない可能性がある機能への影響を評価します。 特定のorganizationのニーズを満たすために、このガイダンスを適応させる必要がある場合があります。

Windows Defenderアプリケーション制御の展開と同様に、さまざまなシナリオ (デバイスの種類) と同様に、Lamna Healthcare Company (Lamna) の例を使用してこのシナリオを示します。 Lamna は、アプリケーション制御を使用して、不要なアプリケーションや未承認のアプリケーションが管理対象デバイスで実行されるのを防ぐなど、より強力なアプリケーション ポリシーを採用しようとしています。

Alice Pena は、WDAC のロールアウトを任された IT チームリーダーです。 Lamna には、現在、緩やかなアプリケーションの使用ポリシーと、ユーザーのアプリの柔軟性を最大限に高めるカルチャがあります。 そのため、Alice は、アプリケーション制御に対して段階的なアプローチを講じ、さまざまなワークロードに異なるポリシーを使用する必要があることがわかります。

ほとんどのユーザーとデバイスの場合、Alice は、ユーザーの生産性への影響を最小限に抑えながらセキュリティ価値を提供するために、できるだけ緩和された初期ポリシーを作成したいと考えています。

軽く管理されたデバイスの "信頼の円" を定義する

Alice は、現在、ほとんどのエンド ユーザー デバイスを含む、Lamna の軽く管理されたデバイスの "信頼の円" に到達するための次の重要な要因を特定します。

• すべてのクライアントがバージョン 1903 以降、またはWindows 11 Windows 10実行されています。
• すべてのクライアントは、Configuration ManagerまたはIntuneで管理されます。
• 一部のアプリは、すべてではありませんが、Configuration Managerを使用してデプロイされます。
• ほとんどのユーザーは、デバイス上のローカル管理者です。
• 一部のチームでは、一般的に他のすべてのユーザーに適用されない特定のアプリを承認するために、より多くのルールが必要になる場合があります。

上記に基づいて、Alice はポリシーの擬似規則を定義します。

1. 承認する "Windows の動作" ルール:

   • Windows
   • WHQL (サード パーティ製カーネル ドライバー)
   • Windows ストア署名済みアプリ

2. 以下を含む "ConfigMgr works" ルール:

   • Configuration Manager コンポーネントが適切に機能するための署名者とハッシュ規則。
   • マネージド インストーラー ルールで、マネージド インストーラーとしてConfiguration Managerを承認することを許可します。

3. インテリジェント セキュリティ グラフ (ISG) を許可する ( 評判ベースの承認)

4. Windows 信頼されたルート プログラム証明機関によって発行された証明書を使用して署名されたアプリ

5. 次の場所の管理専用パス ルール:

   • C:\Program Files*
   • C:\Program Files (x86)*
   • %windir%*

WDAC 基本ポリシーの例を使用してカスタム 基本ポリシーを作成する

"信頼の円" を定義すると、Alice は Lamna の軽く管理されたデバイスの初期ポリシーを生成する準備が整いました。 Alice は、この例 SmartAppControl.xml を使用して最初の基本ポリシーを作成し、Lamna のニーズに合わせてカスタマイズすることにしました。

Alice は、次の手順に従ってこのタスクを完了します。

1. クライアント デバイスで、管理者特権のWindows PowerShell セッションで次のコマンドを実行して変数を初期化します。

   注

   アプリケーション制御の基本ポリシー Windows Defender別の例を使用する場合は、この手順でポリシー パスの例を優先ベース ポリシーに置き換えます。

   $PolicyPath = $env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_LightlyManagedClients_Audit"
   $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml"
   $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"
   

2. ポリシーの例をデスクトップにコピーします。

   Copy-Item $ExamplePolicy $LamnaPolicy
   

3. ポリシーを変更して、サポートされていないルールを削除します。

   注

   SmartAppControl.xmlバージョン 22H2 以降Windows 11使用できます。 このポリシーには、エンタープライズ WDAC ポリシーではサポートされておらず、削除する必要がある "Enabled:Conditional Windows Lockdown Policy" ルールが含まれています。 詳細については、「 WDAC とスマート アプリ コントロール」を参照してください。 以外 SmartAppControl.xmlのポリシーの例を使用している場合は、この手順をスキップします。

   [xml]$xml = Get-Content $LamnaPolicy
   $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable)
   $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI)
   $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns)
   $node.ParentNode.RemoveChild($node)
   $xml.Save($LamnaPolicy)
   

4. 新しいポリシーに一意の ID、わかりやすい名前、初期バージョン番号を指定します。

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. Configuration Managerを使用して、バージョン 1903 以降またはWindows 11を実行しているクライアント デバイスWindows 10監査ポリシーを作成して展開します。 Configuration Manager ポリシーをポリシーの例にマージします。

   注

   Configuration Managerを使用しない場合は、この手順をスキップします。

   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   

6. ポリシーを変更して、追加のポリシー 規則を設定します。

   Set-RuleOption -FilePath $LamnaPolicy -Option 3  # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

7. Windows および Program Files ディレクトリを許可するルールを追加します。

   $PathRules += New-CIPolicyRule -FilePathRule "%windir%\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules
   

8. 必要に応じて、署名者またはファイルルールをさらに追加して、organizationのポリシーをさらにカスタマイズします。

9. ConvertFrom-CIPolicy を使用して、Windows Defender アプリケーション制御ポリシーをバイナリ形式に変換します。

   [xml]$PolicyXML = Get-Content $LamnaPolicy
   $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
   ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

10. 基本ポリシー XML と関連付けられているバイナリを、GitHub などのソース管理ソリューションや、Office 365 SharePoint などのドキュメント管理ソリューションにアップロードします。

この時点で、Alice は、監査モードで Lamna 内のマネージド クライアントに展開する準備ができている初期ポリシーを持つようになりました。

この軽量管理ポリシーのセキュリティに関する考慮事項

Alice は、ユーザーの生産性への影響を最小限に抑えるために、セキュリティとユーザー アプリの柔軟性の間で複数のトレードオフを行うポリシーを定義しました。 トレードオフの一部は次のとおりです。

• 管理アクセス権を持つユーザー

  このトレードオフは、最も影響を与えるセキュリティのトレードオフです。 これにより、デバイス ユーザーまたはユーザーの特権で実行されているマルウェアが、デバイスの WDAC ポリシーを変更または削除できます。 さらに、管理者は、管理されたインストーラーとして機能するように任意のアプリを構成できます。これにより、必要なアプリやバイナリに対して永続的なアプリの承認を得ることができます。

  考えられる軽減策:

  • 署名された WDAC ポリシーと UEFI BIOS アクセス保護を使用して、WDAC ポリシーの改ざんを防ぎます。
  • マネージド インストーラーの要件を削除するには、アプリの展開プロセスの一環として、署名付きカタログ ファイルを作成してデプロイします。
  • デバイス構成証明を使用して、起動時に WDAC の構成状態を検出し、その情報を使用して機密性の高い企業リソースへのアクセスを条件付けます。

• 署名されていないポリシー

  署名されていないポリシーは、管理者として実行されているプロセスによって影響を受けることなく、置き換えたり削除したりできます。 補助ポリシーを有効にする署名されていない基本ポリシーでは、署名されていない補足ポリシーによって "信頼の円" を変更できます。

  考えられる軽減策:

  • 署名された WDAC ポリシーと UEFI BIOS アクセス保護を使用して、WDAC ポリシーの改ざんを防ぎます。
  • デバイスの管理者に昇格できるユーザーを制限します。

• マネージド インストーラー

  マネージド インストーラーに関するセキュリティに関する考慮事項を参照してください

  考えられる軽減策:

  • マネージド インストーラーの要件を削除するには、アプリの展開プロセスの一環として、署名付きカタログ ファイルを作成してデプロイします。
  • デバイスの管理者に昇格できるユーザーを制限します。

• インテリジェント セキュリティ グラフ (ISG)

  インテリジェント セキュリティ グラフでセキュリティに関する考慮事項を参照する

  考えられる軽減策:

  • IT によってアプリを管理する必要があるポリシーを実装します。 Microsoft Intuneなどのソフトウェア配布ソリューションを使用して、既存のアプリの使用状況を監査し、承認されたアプリをデプロイします。 ISG からマネージド インストーラーまたは署名ベースのルールに移動します。
  • 制限付き監査モード ポリシーを使用して、アプリの使用状況を監査し、脆弱性検出を強化します。

• 補足ポリシー

  補足ポリシーは、関連する基本ポリシーを緩和するように設計されています。 さらに、署名されていないポリシーを許可すると、管理者プロセスは、基本ポリシーによって定義された "信頼の円" を制限なしで拡張できます。

  考えられる軽減策:

  • 承認された署名付き補足ポリシーのみを許可する署名付き WDAC ポリシーを使用します。
  • 制限付き監査モード ポリシーを使用して、アプリの使用状況を監査し、脆弱性検出を強化します。

• FilePath ルール

  ファイルパス規則の詳細を確認する

  考えられる軽減策:

  • デバイスの管理者に昇格できるユーザーを制限します。
  • ファイルパス規則からマネージド インストーラーまたは署名ベースの規則に移行します。

• 署名されたファイル

  コード署名されたファイルは作成者の ID を確認し、コードが作成者以外のユーザーによって変更されていないことを確認しますが、署名されたコードが安全であることを保証するものではありません。

  考えられる軽減策:

  • 悪意のあるファイル、アドウェア、その他の脅威からデバイスを保護するには、Microsoft Defenderなどのリアルタイム保護を備えた評判の高いマルウェア対策ソフトウェアまたはウイルス対策ソフトウェアを使用します。

次へ

• フル マネージド デバイスのWindows Defender アプリケーション制御ポリシーを作成する
• Windows Defenderアプリケーション制御ポリシーをデプロイするための準備