攻撃面の減少ルールを有効にする

  • 17 分

攻撃面には、攻撃者が組織のデバイスやネットワークを危険にさらす可能性があるすべての場所が含まれます。 攻撃面の減少とは、組織のデバイスとネットワークを保護して、攻撃者が利用できる攻撃の実行方法を減らすことです。

攻撃面の減少ルールでは、攻撃者によって悪用される可能性の高い特定のソフトウェアの動作を対象とします。 そのような動作には次のものがあります。

  • ファイルのダウンロードまたは実行を試みる実行可能ファイルおよびスクリプトの起動

  • 難読化された、またはその他の疑わしいスクリプトの実行

  • 通常の日常業務中にはアプリが必ずしも開始するわけではない動作の実行。

このようなソフトウェアの動作は、正当なアプリケーションで見られることもありますが、一般にマルウェアに悪用されるため、危険であると見なされることがよくあります。 攻撃面の減少ルールでは、リスクの高い動作を制限し、組織の安全性を維持できるようにします。

それぞれの攻撃面の減少ルールには、次の 4 つの設定のいずれかが含まれます。

  • 未構成: 攻撃面の減少ルールを無効にします

  • ブロック: 攻撃面の減少ルールを有効にします

  • 監査: 攻撃面の減少ルールが有効になっている場合、組織にどのような影響があるかを評価します

  • 警告: 攻撃面の減少ルールを有効にするが、エンド ユーザーがブロックをバイパスできる

攻撃表面の縮小ルール

攻撃面の減少ルールでは現在、以下のルールがサポートされています。

  • メール クライアントと Web メールから実行可能ファイルのコンテンツをブロックする
  • すべての Office アプリケーションによる子プロセスの作成をブロックする
  • Office アプリケーションが実行可能ファイルのコンテンツを作成できないようにする
  • Office アプリケーションが他のプロセスにコードを挿入できないようにする
  • ダウンロードされた実行可能ファイルのコンテンツを、JavaScript または VBScript で起動できないようにする
  • 暗号化されている可能性のあるスクリプトの実行をブロックする
  • Office マクロからの Win32 API 呼び出しをブロックする
  • ランサムウェアに対して高度な保護を使用する
  • Windows ローカル セキュリティ機関サブシステム (lsass.exe) からの資格情報の盗難をブロックする
  • PSExec および WMI コマンドから開始されるプロセス作成をブロックする
  • USB から実行された、信頼されていない署名なしのプロセスをブロックする
  • 普及、経過時間、または信頼されたリストの条件を満たしていない実行可能ファイルの実行をブロックする
  • Office 通信アプリケーションによる子プロセスの作成をブロックする
  • Adobe Reader による子プロセスの作成をブロックする
  • WMI イベント サブスクリプションを使用した永続化をブロックする

攻撃面の減少ルールからファイルとフォルダーを除外する

多くの攻撃面の減少ルールでの評価対象から、ファイルやフォルダーを除外することができます。 つまり、攻撃面の減少ルールでファイルまたはフォルダーに悪意のある動作が含まれていると判断された場合でも、ファイルの実行がブロックされることはありません。したがって、安全でない可能性のあるファイルが実行されデバイスに感染できることも意味します。

エンドポイント ファイルと証明書インジケーターに対して指定された Defender を許可して、証明書とファイル ハッシュに基づいたトリガーから、攻撃面の減少ルールを除外します。

個々のファイルまたはフォルダーを指定できます (フォルダー パスまたは完全修飾リソース名を使用) が、除外を適用するルールを指定することはできません。 除外は、除外されたアプリケーションまたはサービスが開始するときにのみ適用されます。 たとえば、既に実行している更新サービスに対して除外を追加すると、更新サービスは停止して再起動するまで、引き続きイベントをトリガーします。

評価の監査モード

監査モードを使用すると、攻撃面の減少ルールが有効になっている場合に組織に与える影響を評価できます。 基幹業務アプリケーションへの影響を把握できるように、最初にすべてのルールを監査モードで実行することをお勧めします。 多くの基幹業務アプリケーションは、セキュリティへの配慮が不十分なまま作成されており、マルウェアに似たような方法でタスクを実行することがあります。 監査データを監視し、必要なアプリケーションの除外を追加すると、生産性に影響を与えることなく、攻撃面の減少ルールをデプロイできます。

ルールがトリガーされたときの通知

ルールがトリガーされるたびに、通知がデバイスに表示されます。 会社の詳細や連絡先情報によって通知をカスタマイズすることができます。 この通知は、Microsoft Defender ポータル内にも表示されます。

攻撃面の減少ルールを構成する

Windows の次のエディションとバージョンのいずれかを実行しているデバイスに、これらのルールを設定できます。

  • Windows 10 Pro、バージョン 1709 以降
  • Windows 10 Enterprise、バージョン 1709 以降
  • Windows Server、バージョン 1803 (半期チャネル) 以降
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

次のいずれかの方法を使用して、攻撃面の減少ルールを有効にすることができます。

  • Microsoft Intune
  • モバイル デバイス管理 (MDM)
  • Microsoft Endpoint Configuration Manager
  • グループ ポリシー
  • PowerShell

Intune や Microsoft Endpoint Configuration Manager などのエンタープライズ レベルの管理をお勧めします。 エンタープライズ レベルの管理では、起動時に、競合するグループ ポリシーまたは PowerShell 設定がすべて上書きされます。

Intune

デバイス構成プロファイル:

  1. [デバイス構成]、[プロファイル] の順に選択します。 既存のエンドポイント保護プロファイルを選択するか、新しいものを作成します。 新しいものを作成するには、[プロファイルの作成] を選択し、このプロファイルの情報を入力します。 [プロファイルの種類] には [Endpoint protection] (エンドポイント保護) を選択します。 既存のプロファイルを選択した場合、[プロパティ] を選択してから [設定] を選択します。

  2. [Endpoint protection] (エンドポイント保護) ウィンドウで、[Windows Defender Exploit Guard] を選択してから [攻撃面の減少] を選択します。 各ルールに必要な設定を選択します。

  3. [攻撃面の減少] 例外の下で、個々のファイルとフォルダーを入力します。 [インポート] を選択して、攻撃面の減少ルールから除外するファイルとフォルダーを含んだ CSV ファイルをインポートすることもできます。 CSV ファイル内の各行は、次のように書式設定する必要があります。

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. 3 つの構成ウィンドウで [OK] を選択します。 次に、新しいエンドポイント保護ファイルを作成する場合は [作成] を、既存のものを編集する場合は [保存] を選択します。

エンドポイント セキュリティ ポリシー:

  1. [エンドポイントのセキュリティ]、[攻撃の回避] の順に選択します。 既存のルールを選択するか、新たに作成します。 新しく作成するには、[ポリシーの作成] を選択し、このプロファイルの情報を入力します。 プロファイルの種類として、[攻撃の回避規則] を選択します。 既存のプロファイルを選択した場合、[プロパティ] を選択してから [設定] を選択します。

  2. [構成設定] ウィンドウで、[攻撃の回避] を選択し、各ルールに必要な設定を選択します。

  3. [保護する必要がある追加フォルダーの一覧]、[保護されたフォルダーへのアクセス権を持つアプリの一覧]、[Exclude files and paths from attack surface reduction rules](攻撃の回避ルールからファイルとパスを除外する) で、個別のファイルとフォルダーを入力します。 [インポート] を選択して、攻撃面の減少ルールから除外するファイルとフォルダーを含んだ CSV ファイルをインポートすることもできます。 CSV ファイル内の各行は、次のように書式設定する必要があります。

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. 3 つの構成ウィンドウで [次へ] を選び、新しいポリシーを作成している場合は [作成] を、既存のポリシーを編集している場合は [保存] を選択します。

モバイル デバイス管理

モバイル デバイス管理で攻撃面の減少ルールを管理するには、次のようにします。

  • ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 構成サービス プロバイダー (CSP) を使って、各ルールのモードを個別に有効化および設定します。

  • GUID 値の使用については、攻撃面の減少ルールのモバイル デバイス管理リファレンスに従います。

  • OMA-URI パス: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • 値: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • 有効、無効、または監査モードで有効にする値は次のとおりです。

    • 無効化 = 0

    • ブロック (攻撃面の減少ルールを有効にします) = 1

    • 監査 = 2

  • ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 構成サービス プロバイダー (CSP) を使って除外を追加します。

例:

  • OMA-URI パス: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • 値: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Microsoft Endpoint Configuration Manager で攻撃面の減少ルールを管理するには、次のようにします。

  1. Microsoft Endpoint Configuration Manager で、[資産とコンプライアンス]、[エンドポイント保護]、[Windows Defender Exploit Guard] の順に移動します。

  2. [ホーム]、[Exploit Guard ポリシーの作成] の順に選択します。

  3. 名前と説明を入力し、[攻撃面の減少] を選択して、[次へ] を選択します。

  4. アクションをブロックまたは監査するルールを選択し、[次へ] を選択します。

  5. 設定を確認し、[次へ] を選択してポリシーを作成します。

  6. ポリシーが作成されたら、[閉じる] を選択します。

グループ ポリシー

グループ ポリシーで攻撃面の減少ルールを管理するには、次のようにします。

警告

Intune、Configuration Manager、または別のエンタープライズ レベルの管理プラットフォームを使用してコンピューターとデバイスを管理している場合は、起動時に競合するグループ ポリシー設定はすべて、管理ソフトウェアによって上書きされます。

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] を選択します。

  2. グループ ポリシー管理エディターで、[コンピューターの構成] にアクセスし、[管理用テンプレート] を選択します。

  3. [Windows コンポーネント]、[Microsoft Defender ウイルス対策]、[Windows Defender Exploit Guard]、[攻撃面の減少] までツリーを展開します。

  4. [Configure Attack surface reduction rules] (攻撃面の減少ルールを構成する) を選択し、[有効] を選択します。 その後、オプション セクションで各ルールの個別の状態を設定できます。

  5. [表示...] を選択し、次のように [値の名前] 列にルール ID を、[値] 列に選択した状態を入力します。

    無効化 = 0 ブロック (攻撃面の減少ルールを有効にします) = 1 監査 = 2

  6. 攻撃面の減少ルールからファイルとフォルダーを除外するには、[Exclude files and paths from Attack surface reduction rules] (攻撃面の減少ルールからファイルとパスを除外する) 設定を選択し、オプションを [有効] に設定します。 [表示] を選択し、[値の名前] 列に各ファイルまたはフォルダーを入力します。 各項目の [値] 列に「0」と入力します。

PowerShell

PowerShell で攻撃面の減少ルールを管理するには、次のようにします。

警告

Intune、Configuration Manager、または別のエンタープライズ レベルの管理プラットフォームを使用してコンピューターとデバイスを管理している場合は、起動時に競合する PowerShell 設定はすべて、管理ソフトウェアによって上書きされます。 ユーザーが PowerShell を使用して値を定義できるようにするには、管理プラットフォームでルールの [ユーザー定義] オプションを使用します。

  1. [スタート] メニューで「PowerShell」と入力し、[Windows PowerShell] を右クリックして、[管理者として実行] を選択します。

  2. 次のコマンドレットを入力します。

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. 監査モードで攻撃面の減少ルールを有効にするには、次のコマンドレットを使用します。

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. 攻撃面の減少ルールをオフにするには、次のコマンドレットを使用します。

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. ルールごとに状態を個別に指定する必要がありますが、コンマ区切り一覧でルールと状態を組み合わせることができます。

  6. 次の例では、最初の 2 つのルールは有効になり、3 番目のルールは無効になって、4 番目のルールは監査モードで有効になります。

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. また、Add-MpPreference PowerShell の動詞を使用して、既存の一覧に新しい規則を追加することもできます。

  8. Set-MpPreference は、常に既存のルール セットを上書きします。 既存のセットに追加する場合は、代わりに Add-MpPreference を使用する必要があります。 ルールとその現在の状態の一覧を取得するには、Get-MpPreference を使用します。

  9. 攻撃面の減少ルールからファイルとフォルダーを除外するには、次のコマンドレットを使用します。

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. 引き続き Add-MpPreference -AttackSurfaceReductionOnlyExclusions を使用して、さらにファイルとフォルダーを一覧に追加します。

重要

Add-MpPreference を使用して、アプリを一覧に付加または追加します。 Set-MpPreference コマンドレットを使用すると、既存の一覧が上書きされます。

攻撃面の減少イベントの一覧

すべての攻撃面の減少イベントは、Windows イベント ビューアーの [アプリケーションとサービス ログ] > [Microsoft] > [Windows] の下に置かれています。