次の方法で共有


Essential Eight ユーザー アプリケーションのセキュリティ強化

敵対者は、多くの場合、機密情報を抽出しようとして、悪意のある Web サイト、電子メール、またはリムーバブル メディアを使用してワークステーションをターゲットにします。 ワークステーションでのアプリケーションの強化は、このリスクを軽減する上で重要な部分です。 その有効性により、ユーザー アプリのセキュリティ強化は、 ACSC のサイバー セキュリティ インシデントを軽減するための戦略の重要な 8 の 1 つです。

敵対者は、サポートされていない古いバージョンのアプリケーションで見つかった脆弱性の悪用を頻繁に試みます。 新しいバージョンの Microsoft 製品では、セキュリティ機能が大幅に向上し、安定性が向上します。 多くの場合、強化されたセキュリティ機能がないため、敵対者は古いバージョンのアプリケーションを簡単に侵害できます。 このリスクを軽減するには、サポートされている最新バージョンの Microsoft 製品を使用する必要があります。

リソースと参照

参照しやすくするために、Intuneには、関連付けられているコントロールに対して次のポリシーがデプロイされている必要があります。

Web ブラウザーがインターネットから Java を処理しない

java は、Windows 10またはWindows 11に既定ではインストールされません。

ISM コントロール 2024 年 9 月 軽減策
1486 java は、Windows 10またはWindows 11に既定ではインストールされません。

Web ブラウザーがインターネットからの Web 広告を処理しない

Microsoft Edge のアドバタイズを無効にするための使用可能なすべての構成オプションは、Microsoft Edge セキュリティ ベースラインと ACSC セキュリティ強化を Microsoft Edge に展開するときに構成されます。

Microsoft Edge のサード パーティの拡張機能、ゲートウェイでのネットワーク フィルター処理、または保護された DNS サービスの使用を使用して、より多くのブロックを実現できます。 ただし、これらの項目の実装は、このドキュメントの範囲外です。

ISM コントロール 2024 年 9 月 軽減策
1485 [侵入型広告を含むサイトの広告設定] ポリシーが [有効] に構成されています。

インターネット エクスプローラー 11 が無効または削除されている

インターネット エクスプローラー 11 はWindows 11に存在しません。

2022 年 6 月 15 日、Microsoft はインターネット エクスプローラー 11 を廃止しました。 従来の互換性のためにインターネット エクスプローラーが引き続き必要なorganizationの場合、Microsoft Edge のインターネット エクスプローラー モード (IE モード) は、シームレスで単一のブラウザー エクスペリエンスを提供します。 ユーザーは、インターネット エクスプローラー 11 に切り替えることなく、Microsoft Edge 内からレガシ アプリケーションにアクセスできます。

管理者が IE モードを構成した後、組織はスタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にすることができます。 スタート メニューとタスク バーのインターネット エクスプローラー 11 アイコンが削除されます。 ユーザーは、インターネット エクスプローラー 11 を使用するショートカットまたはファイルの関連付けを起動しようとしたとき、または iexplore.exe バイナリを直接呼び出すときに、Microsoft Edge にリダイレクトされます。

特定の Web サイト用に Microsoft Edge 内で直接開くインターネット エクスプローラーを構成するには、IE モード ポリシーを構成します。 詳細については、「 IE モード ポリシーの構成」を参照してください。

インターネット エクスプローラー 11 を無効にするための実装の詳細

Intuneを使用して、Windows 10 デバイスのスタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にするには:

  1. 新しい設定カタログ ポリシーを作成します。
  2. カテゴリ別に参照し、[スタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にする (ユーザー)] を検索します。
  3. [*管理用テンプレート\Windows コンポーネント\インターネット エクスプローラー] に移動し、[スタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にする (ユーザー)] の設定を選択します。
  4. [スタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にする (ユーザー)] の設定を有効にします。
  5. 一連のデバイスまたはユーザーにポリシーを展開します。

さらに、インターネット エクスプローラー 11 を完全に削除するには:

  1. 次のオプションを 使用して、UserApplicationHardening-RemoveFeatures.ps1を PowerShell スクリプトとして追加します。
  • ログオンした資格情報を使用してこのスクリプトを実行します: いいえ
  • スクリプト署名チェックを適用する: いいえ
  • 64 ビット PowerShell ホストでスクリプトを実行する: いいえ
  1. スクリプトをデプロイ グループに割り当てます。

注:

このスクリプトでは、.NET Framework 3.5 (.NET 2.0 と 3.0 を含む) とWindows PowerShell 2.0 も無効になります。

ISM コントロール 2024 年 9 月 軽減策
1666 ポリシー 'Enterprise Mode Site List の構成' は、特定の Web サイトの一覧organization構成されます。 インターネット エクスプローラー 11 は、Enable として構成されたポリシー "スタンドアロン ブラウザーとしてインターネット エクスプローラー 11 を無効にする" によって削除されたか、スクリプトを使用して削除されました。

Microsoft Office は子プロセスの作成をブロックされています

Microsoft Office による子プロセスの作成をブロックするには、Intune経由で展開された攻撃 Surface リダクション (ASR) エンドポイント セキュリティ ポリシーを使用します。

Microsoft は、GitHub の ACSC Windows セキュリティ強化ガイダンスのIntune実装を提供しました。このガイダンスには、Microsoft Office による子プロセスの作成をブロックする ASR 規則が含まれています。

子プロセスの作成をブロックするための実装の詳細

子プロセスのブロック作成を実装するには:

  1. [Graph エクスプローラーと認証] に移動します。
  2. 攻撃表面の縮小ポリシー エンドポイントに対するベータ スキーマを使用して POST 要求を作成する: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance
  3. ACSC Windows Hardening Guidelines-Attack Surface Reduction ポリシーの JSON をコピーし、要求本文に貼り付けます。
  4. (省略可能) 必要に応じて名前の値を変更 します

この ASR エンドポイント セキュリティ ポリシーには、特定の ASR ルールが含まれています。すべての Office アプリケーションが子プロセスを作成できないようにします (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)。

注:

この ASR 規則プロファイルをインポートすると、Microsoft Office は実行可能コンテンツ (3B576869-A4EC-4529-8536-B80A7769E899) の作成と、他のプロセス (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) へのコードの挿入をブロックされます。

注:

この攻撃面縮小 (ASR) ポリシーは、ACSC によって推奨される各 ASR 規則を監査モードで構成します。 適用する前に、どの 環境でも互換性の問題について ASR ルールをテストする必要があります。

ISM コントロール 2024 年 9 月 軽減策
1667 ASR ルール 'すべての Office アプリケーションで子プロセスの作成をブロックする" が有効になっています。

Microsoft Office が実行可能なコンテンツの作成をブロックされる

Microsoft Office による子プロセスの作成をブロックする (3B576869-A4EC-4529-8536-B80A7769E899) は、Intune経由で展開される攻撃面縮小 (ASR) エンドポイント セキュリティ ポリシーを使用して実現できます。

ISM コントロール 2024 年 9 月 軽減策
1668 ASR ルール 'Block Office applications from creating executable content' が有効になっています。

Microsoft Office が他のプロセスにコードを挿入できないようにブロックされる

Microsoft Office による子プロセスの作成をブロックする (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) は、Intune経由で展開される攻撃面縮小 (ASR) エンドポイント セキュリティ ポリシーを使用して実行できます。

ISM コントロール 2024 年 9 月 軽減策
1669 ASR ルール 'Block Office applications from injecting code into other processes' が有効になっています。

OLE パッケージのアクティブ化を防ぐために Microsoft Office が構成されている

OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell スクリプトをデプロイして、Excel、PowerPoint、Wordでの OLE パッケージのアクティブ化をブロックするレジストリ キーをインポートします。

OLE パッケージのアクティブ化を防ぐための実装の詳細

OLE パッケージのアクティブ化防止を実装するには:

  1. 次のオプションを使用して、OfficeMacroHardening-PreventActivationofOLE.ps1を PowerShell スクリプトとして追加します。
  • ログオンした資格情報を使用してこのスクリプトを実行する: はい
  • スクリプト署名チェックを適用する: いいえ
  • 64 ビット PowerShell ホストでスクリプトを実行する: いいえ
  1. スクリプトをデプロイ グループに割り当てます。

注:

この PowerShell スクリプトは、Office 2016 以降専用です。 Office 2013 の OLE のライセンス認証を防ぐためのスクリプトは、 OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1に記載されています。

スクリプトは符号なしです。 スクリプト署名が必要な場合は、次のドキュメントを参照して、スクリプトを Windows デバイスで実行できるように署名します。スクリプトに署名する方法と、[スクリプト署名の適用] チェック を [はい] に変更します。

ISM コントロール 2024 年 9 月 軽減策
1542 OLE パッケージのアクティブ化は、スクリプトを使用して禁止されています。

PDF ソフトウェアが子プロセスの作成をブロックされる

Microsoft Edge は、Windows 10とWindows 11の既定の PDF ビューアーとして構成されます。 PDF の表示は、ACSC または Web ブラウザーのベンダー強化ガイダンスに含まれるポリシーを使用してさらに強化できます。

または、organizationが既定の PDF ソフトウェアとして Adobe Reader を使用している場合は、次の手順に従って、Adobe Reader による子プロセスの作成をブロックする適切な攻撃面削減ルールを構成します。

  1. Intuneで、エンドポイント セキュリティ>[接続面の縮小] に移動します。
  2. 新しい Attack Surface Reduction Endpoint セキュリティ ポリシーを作成 (または変更) します。
  3. [ Adobe Reader の 子プロセスの作成をブロックする] を [有効] に設定します。
  4. 攻撃面縮小ルール ポリシーをグループに割り当てます。
ISM コントロール 2024 年 9 月 軽減策
1670 ASR ルール 'Block Adobe Reader from creating child processes' が有効になっています。

Web ブラウザー、Microsoft Office、PDF ソフトウェアの強化ガイダンス

Microsoft Edge を使用した Web ブラウザーと PDF ソフトウェア

Microsoft Edge は、Windows 10とWindows 11に既定でインストールされ、推奨される Web ブラウザーです。 Microsoft Edge は、特に構成されていない限り、既定のブラウザーと PDF ビューアーの両方です。

Microsoft と ACSC では、Microsoft Edge を強化するためのガイダンスと特定のポリシーが提供されています。 どちらのガイダンス セットも同時にデプロイする必要があります。

Microsoft Edge セキュリティ ベースラインを使用した実装の詳細

セキュリティ ベースラインを実装するには:

  1. [エンドポイント セキュリティ>セキュリティ ベースライン>Microsoft Edge ベースライン] に移動します。
  2. [プロファイルの作成] を選択して、新しい Microsoft Edge ベースラインを 作成します
  3. 構成を確認し、セキュリティ ベースラインをグループに割り当てます。

Microsoft Edge セキュリティ強化ガイダンスの実装の詳細

セキュリティ強化ガイダンスを実装するには:

  1. ACSC Microsoft Edge セキュリティ強化ガイドライン ポリシーをローカル デバイスに保存します。
  2. Microsoft Intune コンソールに移動します。
  3. [ デバイス] の [Windows >> 構成プロファイル] > [ポリシーの作成] > [ポリシーのインポート] で、ポリシーをインポートします
  4. ポリシーに名前を付け、[ポリシー ファイル] で [ファイルの参照] を選択し、手順 1 から保存したポリシーに移動します。
  5. [保存] を選択します。

注:

Microsoft は、組織がオーストラリアのサイバー セキュリティ センター (ACSC) Windows 10セキュリティ強化ガイドラインに準拠できるようにまとめたIntuneポリシーもリリースしました。 MICROSOFT Edge に推奨される ACSC のセキュリティ強化ポリシーも、これらのポリシーに含まれています。

ISM コントロール 2024 年 9 月 軽減策
1412, 1860 - Microsoft Edge セキュリティ ベースラインをデプロイする
- ACSC Microsoft Edge セキュリティ強化ガイダンスをデプロイします。

Microsoft Office: Microsoft Apps for Enterprise

エンタープライズ向けMicrosoft Appsは、「Essential 8 Configure Microsoft Office マクロ設定」の柱の一部として、ACSC から Microsoft 365、Office 2021、Office 2019、Office 2016 を強化するための推奨設定で強化されています。

ISM コントロール 2024 年 9 月 軽減策
1859 ACSC Office のセキュリティ強化ガイドラインを展開します。

Web ブラウザー、Microsoft Office、PDF ソフトウェアのセキュリティ設定をユーザーが変更することはできません

このドキュメントで提供されているポリシーがIntune経由で展開されると、ポリシーに含まれる設定が適用され、標準ユーザーが変更することはできません。

ISM コントロール 2024 年 9 月 軽減策
1585 このドキュメントで提供されているポリシーがIntune経由で展開されると、ポリシーに含まれる設定が適用され、標準ユーザーが変更することはできません。

.NET Framework 3.5 (.NET 2.0 と 3.0 を含む) が無効または削除されている

UserApplicationHardening-RemoveFeatures.ps1 PowerShell スクリプトをデプロイすると、インストールされている場合、.NET Framework 3.5 (.NET 2.0 と 3.0 を含む) 機能がオフになります。

ISM コントロール 2024 年 9 月 軽減策
ISM-1655 .NET Framework 3.5 (.NET 2.0 と 3.0 を含む) が無効または削除されます。

Windows PowerShell 2.0 が無効または削除されました

UserApplicationHardening-RemoveFeatures.ps1 PowerShell スクリプトをデプロイすると、インストールされている場合、Windows PowerShell 2.0 機能がオフになります。

ISM コントロール 2024 年 9 月 軽減策
1612 Windows PowerShell 2.0 は、指定されたスクリプトを使用して無効または削除されます。

PowerShell は、制約付き言語モードを使用するように構成されています

制約付き言語モードは、Essential8 アプリケーション制御の軽減策に関するドキュメントの一部として有効になっています。

ブロックされた PowerShell スクリプトの実行は、一元的にログに記録され、承認されていない変更と削除から保護され、侵害の兆候がないか監視され、サイバー セキュリティ イベントが検出されたときにアクションが実行されます

Microsoft Defender for Endpoint (MDE) を使用して、サイバー セキュリティ イベントの検出に使用できるエンドポイントからログを取得および保持できます。

スクリプトの実行は、Microsoft Defender for Endpoint Advanced Hunting でネイティブに監査できます。 高度なハンティング機能Microsoft Defender for Endpoint、制限付き言語モードで実行するために適用されたブロックされたスクリプトまたはスクリプトを報告するイベント ID 8029 を含む、複数のアプリケーション制御イベントをログに記録します。

または、WDAC イベントのイベント転送を使用して、サードパーティの監視ソリューションでイベントを監視することもできます。

参照:

アプリケーション制御イベント ID (Windows) について - Windows セキュリティ | 高度なハンティング (Windows) を使用してアプリケーション制御イベントを照会する - Windows セキュリティ

Intuneを使用すると、デバイスをMDEにシームレスにオンボードできます。

コマンド ライン プロセス作成イベントが一元的にログに記録される

ブロックされた PowerShell スクリプトの実行と同様に、侵害の兆候の前兆であるコマンド ライン プロセス作成イベントは、デバイスが Defender for Endpoint に登録されるときに収集されます。 イベントは、Defender for Endpoint ポータルの [タイムライン] の [デバイス] ページで表示できます。

エンドポイントをMicrosoft Defender for Endpointにオンボードするための実装の詳細

オンボード エンドポイントをMDEに実装するには:

  1. テンプレート>Microsoft Defender for Endpoint (Windows 10 以降を実行しているデスクトップ デバイス) の種類を使用して、新しい Windows 構成プロファイルを作成します。
  2. [迅速なテレメトリ レポートの頻度] を[有効] に設定します。
  3. ポリシーをデプロイ グループに割り当てます。

デバイスがMDEにオンボードされると、確認のために PowerShell の実行がキャプチャされ、必要に応じてアクションを実行できます。 詳細については、「Microsoft Defender for Endpointでデバイスで応答アクションを実行する」を参照してください。

ISM コントロール 2024 年 9 月 軽減策
1664, 1665, 1405 デバイスが Defender for Endpoint に登録されている場合、アプリケーション制御イベント ID は Defender for Endpoint によってキャプチャされます。
1899 侵害の兆候の前兆であるコマンド ライン プロセス作成イベントは、デバイスが Defender for Endpoint に登録されている場合に Defender for Endpoint によってキャプチャされます。