Windows Defender アプリケーション制御 (WDAC) ポリシーの展開

Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

これで、1 つ以上の Windows Defender アプリケーション制御 (WDAC) ポリシーをデプロイする準備ができました。 WDAC デザイン ガイドに記載されている手順をまだ完了していない場合は、先に進む前に、今すぐ実行してください。

WDAC ポリシー XML をバイナリに変換する

WDAC ポリシーをデプロイする前に、まず XML をバイナリ形式に変換する必要があります。 これを行うには、次の PowerShell の例を使用します。 WDAC ポリシー XML ファイルを指す$WDACPolicyXMLFile変数を設定する必要があります。

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

デプロイを計画する

環境の大幅な変更と同様に、アプリケーション制御を実装すると、意図しない結果が生じることがあります。 成功の可能性を最大限に高めるために、安全なデプロイプラクティスに従い、デプロイを慎重に計画する必要があります。 WDAC で管理するデバイスを特定し、展開リングに分割します。 これにより、デプロイの速度とスケールを制御し、問題が発生した場合に対応できます。 1 つのリングから次のリングに進んでも安全なタイミングを決定する成功条件を定義します。

適用に進む前に、すべてのWindows Defenderアプリケーション制御ポリシーの変更を監査モードで展開する必要があります。 ポリシーが展開されているデバイスからイベントを注意深く監視し、他の展開リングに展開を拡大する前に、想定に一致するブロック イベントを確認します。 organizationでMicrosoft Defender for Endpointを使用している場合は、高度なハンティング機能を使用して WDAC 関連のイベントを一元的に監視できます。 それ以外の場合は、イベント ログ転送ソリューションを使用して、マネージド エンドポイントから関連するイベントを収集することをお勧めします。

WDAC ポリシーを展開する方法を選択する

重要

既知の問題のため、メモリの整合性が有効になっているシステムで再起動を行い、新しい署名済み WDAC 基本ポリシーを常にアクティブにする必要があります。 この場合 は、スクリプトを使用してデプロイ することをお勧めします。

この問題は、システムで既にアクティブになっている署名済みの基本ポリシー、署名されていないポリシーの展開、または補足ポリシーの展開 (署名済みまたは署名なし) の更新には影響しません。 また、メモリ整合性を実行していないシステムへのデプロイにも影響しません。

Windows Defenderアプリケーション制御ポリシーをマネージド エンドポイントにデプロイするには、次のようないくつかのオプションがあります。