インテリジェント セキュリティ グラフ (ISG) で評判の良いアプリを承認する

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注

Windows Defender アプリケーション コントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

IT 管理システムを使用してアプリケーションをデプロイおよび管理しない組織では、アプリケーション制御を実装するのが困難な場合があります。 このような環境では、ユーザーは作業に使用するアプリケーションを取得できるため、効果的なアプリケーション制御ポリシーを構築するのが困難になります。

エンド ユーザーの摩擦とヘルプデスク呼び出しを減らすために、Windows Defender Application Control (WDAC) を設定して、Microsoft のインテリジェント セキュリティ グラフ (ISG) が既知の評判を持つと認識するアプリケーションを自動的に許可できます。 ISG オプションは、組織がアプリ エコシステムの制御が制限されている場合でも、組織がアプリケーション制御を実装し始めるのに役立ちます。 ISG の詳細については、「 Microsoft Graph の主要なサービスと機能」の「セキュリティ」セクションを参照してください。

Warning

システムを起動するために重要なバイナリは、WDAC ポリシーで明示的な規則を使用して許可する必要があります。 ISG に依存してこれらのファイルを承認しないでください。

ISG オプションは、ビジネス クリティカルなアプリを許可する推奨される方法ではありません。 ビジネス クリティカルなアプリは、明示的な許可ルールを使用するか、 マネージド インストーラーを使用してインストールすることで、常に承認する必要があります。

WDAC は ISG とどのように連携しますか?

ISG はアプリの "リスト" ではありません。 代わりに、Microsoft Defender SmartScreen と Microsoft Defender ウイルス対策を強化するのと同じ膨大なセキュリティ インテリジェンスと機械学習分析を使用して、アプリケーションを "既知の良い"、"既知の悪い"、または "不明" の評判を持つと分類するのに役立ちます。 このクラウドベースの AI は、Windows エンドポイントやその他のデータ ソースから収集され、24 時間ごとに処理される数兆のシグナルに基づいています。 その結果、クラウドからの決定が変わる可能性があります。

WDAC では、ポリシーによって明示的に許可または拒否されていないバイナリと、マネージド インストーラーによってインストールされていないバイナリのみが ISG によってチェックされます。 このようなバイナリが ISG オプションを使用して WDAC が有効になっているシステムで実行される場合、WDAC はハッシュと署名情報をクラウドに送信することで、ファイルの評判を確認します。 ファイルに "既知の良好な" 評判があると ISG から報告された場合、ファイルの実行が許可されます。 それ以外の場合、WDAC によってブロックされます。

評判の良いファイルがアプリケーション インストーラーの場合、インストーラーの評判はディスクに書き込むすべてのファイルに渡されます。 これにより、アプリをインストールして実行するために必要なすべてのファイルが、インストーラーから肯定的な評判データを継承します。 インストーラーの評判に基づいて承認されたファイルには、$KERNELがあります。SMARTLOCKER。ORIGINCLAIM カーネル拡張属性 (EA) がファイルに書き込まれます。

WDAC は、ファイル上の評判データを定期的に再クエリします。 さらに、企業は、再起動時に 有効:無効な EA オプションを使用して、キャッシュされた評判の結果を再起動時にフラッシュすることを指定できます。

WDAC ポリシーの ISG 承認の構成

ISG の設定は、任意の管理ソリューションを使用して簡単に行うことができます。 ISG オプションの構成には、次の基本的な手順が含まれます。

• WDAC ポリシー XML で [Enabled:Intelligent Security Graph authorization ] オプションが設定されていることを確認します
• WDAC がクライアントで ISG を正しく使用できるようにするために必要なサービスを有効にする

WDAC ポリシー XML で ISG オプションが設定されていることを確認します

Microsoft Intelligent Security Graph に基づいてアプリとバイナリを許可するには、WDAC ポリシーで [Enabled:Intelligent Security Graph authorization ] オプションを指定する必要があります。 この手順は、Set-RuleOption コマンドレットを使用して実行できます。 また、再起動のたびに ISG の結果が再び検証されるように、[ 再起動時に EA を有効にする:無効にする] オプションも設定する必要があります。 ISG オプションは、インターネットに定期的にアクセスできないデバイスには推奨されません。 次の例は、両方のオプション セットを示しています。

<Rules>
    <Rule>
      <Option>Enabled:Unsigned System Integrity Policy</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Advanced Boot Options Menu</Option>
    </Rule>
    <Rule>
      <Option>Required:Enforce Store Applications</Option>
    </Rule>
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Intelligent Security Graph Authorization</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Invalidate EAs on Reboot</Option>
    </Rule>
</Rules>

WDAC がクライアントで ISG を正しく使用できるようにするために必要なサービスを有効にする

ISG で使用されるヒューリスティックが正しく機能するためには、Windows の他のコンポーネントを有効にする必要があります。 で appidtel 実行可能ファイルを実行することで、これらのコンポーネントを c:\windows\system32構成できます。

appidtel start

この手順は、CSP によって必要なコンポーネントが有効になるので、MDM 経由で展開される WDAC ポリシーには必要ありません。 この手順は、ISG が Configuration Manager の WDAC 統合を使用して構成されている場合にも必要ありません。

ISG オプションに関するセキュリティに関する考慮事項

ISG はヒューリスティック ベースのメカニズムであるため、明示的な許可または拒否規則と同じセキュリティ保証は提供されません。 これは、ユーザーが標準のユーザー権限で操作する場所と、Microsoft Defender for Endpoint などのセキュリティ監視ソリューションが使用される場所に最適です。

カーネル特権で実行されているプロセスは、ISG 拡張ファイル属性を設定してバイナリの評判が高いと見なされるようにすることで、WDAC を回避できます。

また、ISG オプションはアプリ インストーラーからディスクに書き込むバイナリに評判を渡すので、場合によってはファイルをオーバーオーソライズできます。 たとえば、インストーラーが完了時にアプリを起動した場合、その初回実行時にアプリが書き込むファイルも許可されます。

ISG の使用に関する既知の制限事項

ISG では "既知の問題" であるバイナリのみが許可されるため、正当なソフトウェアが安全に実行できるかどうかを ISG が予測できない場合があります。 その場合、ソフトウェアは WDAC によってブロックされます。 この場合は、WDAC ポリシーで規則を持つソフトウェアを許可するか、WDAC ポリシーで信頼されている証明書によって署名されたカタログを展開するか、WDAC マネージド インストーラーからソフトウェアをインストールする必要があります。 実行時にバイナリを動的に作成するインストーラーまたはアプリケーション、および自己更新アプリケーションでは、この現象が発生する可能性があります。

パッケージ 化されたアプリは ISG ではサポートされていないため、WDAC ポリシーで個別に承認する必要があります。 パッケージ化されたアプリは強力なアプリ ID を持ち、署名する必要があるため、WDAC ポリシーを使用して パッケージ化されたアプリを簡単に承認 できます。

ISG はカーネル モード ドライバーを承認しません。 WDAC ポリシーには、必要なドライバーの実行を許可する規則を含める必要があります。

注

ファイルを明示的に拒否または許可するルールは、そのファイルの評判データよりも優先されます。 Microsoft Intune の組み込みの WDAC サポートには、ISG を介して評判の良いアプリを信頼するオプションが含まれていますが、明示的な許可または拒否ルールを追加するオプションはありません。 ほとんどの場合、アプリケーション制御を使用しているお客様は、 Intune の OMA-URI 機能を使用してカスタム WDAC ポリシー (必要に応じて ISG オプションを含めることができます) を展開する必要があります。