Exploit Guard ポリシーを作成してデプロイする
Configuration Manager (現在のブランチ) に適用
Windows Defender Exploit Guard の 4 つのコンポーネントすべてを管理するConfiguration Manager ポリシーを構成して展開できます。 これらのコンポーネントには、次のものが含まれます。
- 攻撃面の縮小
- コントロールされたフォルダー アクセス
- エクスプロイト保護
- ネットワーク保護
Exploit Guard ポリシーの展開のコンプライアンス データは、Configuration Manager コンソール内から入手できます。
注:
Configuration Managerでは、このオプション機能は既定では有効になりません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「 更新プログラムからオプション機能を有効にする」を参照してください。
前提条件
マネージド デバイスは 1709 以降Windows 10実行する必要があります。Windows Server の最小ビルドはバージョン 1809 以降で、Server 2019 までのみです。 構成されているコンポーネントと規則に応じて、次の要件も満たす必要があります。
Exploit Guard コンポーネント | 追加の前提条件 |
---|---|
攻撃面の縮小 | デバイスでは、Microsoft Defender for Endpoint always-on 保護が有効になっている必要があります。 |
コントロールされたフォルダー アクセス | デバイスでは、Microsoft Defender for Endpoint always-on 保護が有効になっている必要があります。 |
エクスプロイト保護 | なし |
ネットワーク保護 | デバイスでは、Microsoft Defender for Endpoint always-on 保護が有効になっている必要があります。 |
Exploit Guard ポリシーを作成する
Configuration Manager コンソールで、[資産とコンプライアンス>のエンドポイント保護] に移動し、[Exploit Guard のWindows Defender] をクリックします。
[ ホーム ] タブの [ 作成 ] グループで、[ 悪用ポリシーの作成] をクリックします。
構成項目の作成ウィザードの [全般] ページで、構成項目の名前と説明 (省略可能) を指定します。
次に、このポリシーで管理する Exploit Guard コンポーネントを選択します。 選択したコンポーネントごとに、追加の詳細を構成できます。
- 攻撃面の縮小: ブロックまたは監査する Office 脅威、スクリプティング脅威、電子メールの脅威を構成します。 このルールから特定のファイルまたはフォルダーを除外することもできます。
- フォルダー アクセスの制御: ブロックまたは監査を構成し、このポリシーをバイパスできるアプリを追加します。 既定で保護されていない追加のフォルダーを指定することもできます。
- Exploit Protection: システム プロセスとアプリの悪用を軽減するための設定を含む XML ファイルを指定します。 これらの設定は、Windows 10 以降のデバイスのWindows Defender Security Center アプリからエクスポートできます。
- ネットワーク保護: 疑わしいドメインへのアクセスをブロックまたは監査するようにネットワーク保護を設定します。
ウィザードを完了してポリシーを作成します。このポリシーは後でデバイスに展開できます。
警告
エクスプロイト保護用の XML ファイルは、マシン間で転送するときにセキュリティで保護する必要があります。 ファイルはインポート後に削除するか、安全な場所に保持する必要があります。
Exploit Guard ポリシーをデプロイする
Exploit Guard ポリシーを作成したら、Exploit Guard ポリシーの展開ウィザードを使用して展開します。 これを行うには、Configuration Manager コンソールを開いて [Assets and complianceEndpoint Protection]\(資産とコンプライアンス>のエンドポイント保護\) を開き、[Exploit Guard Policy の展開] をクリックします。
重要
攻撃面の縮小やフォルダー アクセスの制御など、Exploit Guard ポリシーを展開すると、展開を削除しても Exploit Guard 設定はクライアントから削除されません。
Delete not supported
は、クライアントの Exploit Guard デプロイを削除すると、クライアントのExploitGuardHandler.logに記録されます。
SYSTEM コンテキストで次の PowerShell スクリプトを実行して、これらの設定を削除できます。
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Exploit Guard ポリシー設定のWindows Defender
攻撃面の縮小ポリシーとオプション
攻撃表面の縮小は、Office、スクリプト、およびメールベースのマルウェアによって使用されるベクトルを停止するインテリジェントなルールを使用して、アプリケーションの攻撃面を減らすことができます。 攻撃面の縮小とそれに使用されるイベント ID の詳細については、こちらをご覧ください。
攻撃面縮小ルールから除外するファイルとフォルダー - [ 設定 ] をクリックし、除外するファイルまたはフォルダーを指定します。
Email脅威:
- 電子メール クライアントと Web メールから実行可能なコンテンツをブロックします。
- 未構成
- ブロック
- 監査
- 電子メール クライアントと Web メールから実行可能なコンテンツをブロックします。
Office 脅威:
- Office アプリケーションによる子プロセスの作成をブロックします。
- 未構成
- ブロック
- 監査
- Office アプリケーションによる実行可能コンテンツの作成をブロックします。
- 未構成
- ブロック
- 監査
- Office アプリケーションがコードを他のプロセスに挿入できないようにブロックします。
- 未構成
- ブロック
- 監査
- Office マクロからの Win32 API 呼び出しをブロックします。
- 未構成
- ブロック
- 監査
- Office アプリケーションによる子プロセスの作成をブロックします。
脅威のスクリプティング:
- ダウンロードした実行可能コンテンツを JavaScript または VBScript が起動できないようにブロックします。
- 未構成
- ブロック
- 監査
- 難読化される可能性のあるスクリプトの実行をブロックします。
- Not Configured
- ブロック
- 監査
- ダウンロードした実行可能コンテンツを JavaScript または VBScript が起動できないようにブロックします。
ランサムウェアの脅威: (Configuration Manager バージョン 1802 以降)
- ランサムウェアに対する高度な保護を使用します。
- 未構成
- ブロック
- 監査
- ランサムウェアに対する高度な保護を使用します。
オペレーティング システムの脅威: (Configuration Manager バージョン 1802 以降)
- Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックします。
- 未構成
- ブロック
- 監査
- 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックします。
- 未構成
- ブロック
- 監査
- Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックします。
外部デバイスの脅威: (Configuration Manager バージョン 1802 以降)
- USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックします。
- 未構成
- ブロック
- 監査
- USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックします。
フォルダーアクセスポリシーとオプションの制御
ファイル暗号化ランサムウェアマルウェアなど、悪意のある不審なアプリによって行われた変更から、キー システム フォルダー内のファイルを保護するのに役立ちます。 詳細については、「 フォルダーアクセスの制御 」と、それが使用するイベント ID に関するページを参照してください。
-
フォルダー アクセスの制御を構成する:
- ブロック
- ディスク セクターのみをブロックする (Configuration Manager バージョン 1802 以降)
- ブート セクターに対してのみフォルダーアクセスを有効にし、特定のフォルダーまたは既定の保護されたフォルダーの保護を有効にしません。
- 監査
- 監査ディスク セクターのみ (Configuration Manager バージョン 1802 以降)
- ブート セクターに対してのみフォルダーアクセスを有効にし、特定のフォルダーまたは既定の保護されたフォルダーの保護を有効にしません。
- 無効
- [フォルダーアクセスの制御] を使用してアプリを許可 する - [ アプリの設定 と指定] をクリックします。
- その他の保護されたフォルダー - [ 設定 ] をクリックし、追加の保護されたフォルダーを指定します。
エクスプロイト保護ポリシー
organizationが使用するオペレーティング システム プロセスとアプリに悪用軽減手法を適用します。 これらの設定は、Windows 10以降のデバイス上のWindows Defender Security Center アプリからエクスポートできます。 詳細については、「 Exploit Protection」を参照してください。
Exploit Protection XML: -[ 参照 ] をクリックし、インポートする XML ファイルを指定します。
警告
エクスプロイト保護用の XML ファイルは、マシン間で転送するときにセキュリティで保護する必要があります。 ファイルはインポート後に削除するか、安全な場所に保持する必要があります。
ネットワーク保護ポリシー
インターネットベースの攻撃によるデバイスの攻撃面を最小限に抑えるのに役立ちます。 このサービスは、フィッシング詐欺、悪用、悪意のあるコンテンツをホストする可能性のある疑わしいドメインへのアクセスを制限します。 詳細については、「 ネットワーク保護」を参照してください。
-
ネットワーク保護を構成する:
- ブロック
- 監査
- 無効