次の方法で共有


Azure Stack HCI バージョン 23H2 のアプリケーション制御Windows Defender管理する

適用対象: Azure Stack HCI バージョン 23H2

この記事では、Windows Defender アプリケーション制御 (WDAC) を使用して、Azure Stack HCI の攻撃対象領域を減らす方法について説明します。 詳細については、「 Azure Stack HCI バージョン 23H2 でのベースライン セキュリティ設定の管理」を参照してください。

前提条件

開始する前に、デプロイ、登録、および Azure に接続されている Azure Stack HCI バージョン 23H2 システムにアクセスできることを確認してください。

Azure portalを使用して WDAC 設定を表示する

Azure portalで WDAC 設定を表示するには、MCSB イニシアチブが適用されていることを確認します。 詳細については、「 Microsoft Cloud Security Benchmark イニシアチブを適用する」を参照してください。

WDAC ポリシーを使用して、システムでの実行を許可するドライバーとアプリを制御できます。 WDAC 設定は、Azure portal経由でのみ表示できます。 設定を管理するには、「 PowerShell を使用して WDAC 設定を管理する」を参照してください。

Azure portalの [アプリケーション コントロール (WDAC)] ページを示すスクリーンショット。

PowerShell を使用して WDAC 設定を管理する

WDAC ポリシー モードを有効にする

WDAC は、デプロイ中またはデプロイ後に有効にすることができます。 PowerShell を使用して、展開後に WDAC を有効または無効にします。

いずれかのクラスター ノードに接続し、次のコマンドレットを使用して、"監査" または "強制" モードで目的の WDAC ポリシーを有効にします。

このビルド リリースには、次の 2 つのコマンドレットがあります。

  • Enable-AsWdacPolicy - すべてのクラスター ノードに影響します。
  • Enable-ASLocalWDACPolicy - コマンドレットが実行されているノードにのみ影響します。

ユース ケースに応じて、グローバル クラスターの変更またはローカル ノードの変更を実行する必要があります。

これは、次の場合に便利です。

  • 既定の推奨設定を使用して開始しました。
  • 新しいサード パーティ製ソフトウェアをインストールまたは実行する必要があります。 ポリシー モードを切り替えて補足ポリシーを作成できます。
  • 展開中に WDAC を無効にして、WDAC でセキュリティ保護を強化したり、ソフトウェアが正しく実行されていることを検証したりできるようにしたいと考えています。
  • ソフトウェアまたはスクリプトは WDAC によってブロックされます。 この場合は、監査モードを使用して、問題を理解し、トラブルシューティングできます。

注意

アプリケーションがブロックされると、WDAC によって対応するイベントが作成されます。 イベント ログを確認して、アプリケーションをブロックしているポリシーの詳細を把握します。 詳細については、「Windows Defender アプリケーション制御操作ガイド」を参照してください。

WDAC ポリシー モードの切り替え

WDAC ポリシー モードを切り替えるには、こちらの手順に従います。 これらの PowerShell コマンドは Orchestrator と対話して、選択したモードを有効にします。

  1. Azure Stack HCI ノードに接続します。

  2. ローカル管理者の資格情報またはデプロイ ユーザー (AzureStackLCMUser) 資格情報を使用して、次の PowerShell コマンドを実行します。

    重要

    デプロイ ユーザー (AzureStackLCMUser) としてサインインする必要があるコマンドレットには、セキュリティ グループ (PREFIX-ECESG) と CredSSP (リモート PowerShell を使用している場合) またはコンソール セッション (RDP) を介した適切な資格情報の承認が必要です。

  3. 次のコマンドレットを実行して、現在有効になっている WDAC ポリシー モードをチェックします。

    Get-AsWdacPolicyMode
    

    このコマンドレットは、ノードごとに監査モードまたは強制モードを返します。

  4. 次のコマンドレットを実行してポリシー モードを切り替えます。

    Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
    

    たとえば、ポリシー モードを監査に切り替えるには、次を実行します。

    Enable-AsWdacPolicy -Mode Audit
    

    警告

    オーケストレーターは、選択したモードに切り替えるのに最大 2 分から 3 分かかります。

  5. もう一度 を実行 Get-ASWDACPolicyMode して、ポリシー モードが更新されていることを確認します。

    Get-AsWdacPolicyMode
    

    これらのコマンドレットの出力例を次に示します。

    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Enforced
    Node01 	Enforced
    
    PS C:\> Enable-AsWdacPolicy -Mode Audit
    WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
    VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
    VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
    6826fbf2-cb00-450e-ba08-ac24da6df4aa
    
    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Audit
    Node01	Audit
    

サードパーティ製ソフトウェアを有効にする WDAC ポリシーを作成する

強制モードで WDAC を使用しているときに、Microsoft 以外の署名付きソフトウェアを実行するには、WDAC 補足ポリシーを作成して、Microsoft が提供する基本ポリシーを基に構築します。 その他の情報については、 パブリック WDAC のドキュメントを参照してください

注意

新しいソフトウェアを実行またはインストールするには、最初に WDAC を監査モードに切り替え (上記の手順を参照)、ソフトウェアをインストールし、正しく動作することをテストし、新しい補足ポリシーを作成してから、WDAC を強制モードに戻す必要があります。

次に示すように、複数のポリシー形式で新しいポリシーを作成します。 次に、 を使用 Add-ASWDACSupplementalPolicy -Path Policy.xml して補足ポリシーに変換し、クラスター内のノード間でデプロイします。

WDAC 補足ポリシーを作成する

補足ポリシーを作成するには、次の手順に従います。

  1. 開始する前に、補足ポリシーの対象となるソフトウェアを独自のディレクトリにインストールします。 サブディレクトリがある場合は問題ありません。 補足ポリシーを作成するときは、スキャンするディレクトリを指定する必要があります。また、補足ポリシーでシステム上のすべてのコードをカバーしないようにする必要があります。 この例では、このディレクトリは C:\software\codetoscan です。

  2. すべてのソフトウェアを配置したら、次のコマンドを実行して補足ポリシーを作成します。 一意のポリシー名を使用して識別します。

    New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
    
  3. 次のコマンドレットを実行して、補足ポリシーのメタデータを変更します。

    # Set Policy Version (VersionEx in the XML file)
     $policyVersion = "1.0.0.1"
     Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
    
     # Set Policy Info (PolicyName, PolicyID in the XML file)
     Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
    
  4. 次のコマンドレットを実行してポリシーを展開します。

    Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
    
  5. 次のコマンドレットを実行して、新しいポリシーの状態をチェックします。

    Get-ASLocalWDACPolicyInfo
    

    これらのコマンドレットの出力例を次に示します。

    C:\> Get-ASLocalWDACPolicyInfo
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
    PolicyName        : AS_Base_Policy
    PolicyVersion     : AS_Base_Policy_1.1.4.0
    PolicyScope       : Kernel & User
    MicrosoftProvided : True
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
    PolicyName        : Contoso-Policy
    PolicyVersion     : Contoso-Policy_1.0.0.1
    PolicyScope       : Kernel & User
    MicrosoftProvided : False
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    

次の手順