OSConfig を使用して App Control for Business を構成する
App Control for Business は、実行が許可されているソフトウェアの明示的なリストを適用することによって攻撃対象領域を減らすソフトウェア ベースのセキュリティ層です。 Microsoft では、Windows Server 2025 の既定のポリシーを開発しました。このポリシーは、Windows PowerShell コマンドレットを使用してサーバーに実装できます。 アプリ コントロールの実装は、OSConfig セキュリティ構成プラットフォームを通じて容易になり、次の 2 つの主要な操作モードが提供されます。
- 監査モード: イベントの記録中に信頼されていないコードを実行できるようにします。
- 強制モード: イベントの記録中に、信頼されていないコードの実行を禁止します。
これらのセキュリティ イベント ログの詳細については、「 App Control イベントの管理 と アプリ コントロール イベント タグの管理に関するページを参照してください。
アプリ制御は Windows Server 2025 のコンポーネントであるため、ポリシーを展開すると、PowerShell を使用して監査モードと強制モードに簡単にアクセスできます。 既定では、監査モードのアプリ制御ポリシーは Window Server 2025 では設定されません。 代わりに、企業は OSConfig ツールを使用してこれらのポリシーを追加できます。 OSConfig には、特定のビジネス ニーズを満たすために補足ポリシーを使用してカスタマイズできる基本ポリシー (署名なし) が含まれています。 このセキュリティ強化の詳細については、「 Application Control for Windows」を参照してください。
Note
Azure Monitor ブックを使用すると、App Control がアクティブになったときにオペレーティング システムによって生成される監査イベントまたはブロック イベントを確認するプロセスが簡略化されます。 このブックは、ファイル監査とブロック アクティビティに関する分析情報と共に次の情報を提供します。
- App Control for Business の Windows イベント ログを収集して Log Analytics ワークスペースに送信する。
- さまざまなダッシュボード、グラフ、フィルター、エクスポート機能を使用して、ファイルとポリシーのイベント アクティビティを識別します。 これらの機能は、アプリ制御ポリシーの効果と状態の分析とトラブルシューティングに役立ちます。
- ブック データをエクスポートし、WDAC ウィザードで取り込むことで、アプリ制御ポリシーを調整します。
App Control for Business の Azure Monitor ブックの使用を開始するには、「 ビジネス向け App Control (WDAC) イベントの分析情報を取得する方法を参照してください。
前提条件
運用環境で署名された Windows Server 2025 ビルドをデバイス上で実行している必要があります。 この要件により、App Control for Business ポリシーへの準拠が保証されます。
注意事項
フライト署名されたバイナリは許可されません。 この要件に準拠しないと、デバイスを起動できません。
OSConfig PowerShell モジュールは、サーバー デバイスにインストールする必要があります。 詳細については、「 OSConfig PowerShell モジュールのインストール を参照してください。
クライアント デバイスで Windows 10 バージョン 1909 以降を実行しており、 WDAC ウィザード インストールされている必要があります。
Note
クライアント デバイスに .NET Desktop Runtime 8.0 以降がインストールされていない場合、WDAC ウィザードによって、このアプリケーションをダウンロードしてインストールするように求められます。
既定のポリシーを管理する
既定のアプリ制御ポリシーを監査モードで構成するには、管理者として PowerShell を開き、次のコマンドを実行します。
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Audit -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Audit -Default
適用モードで既定のアプリ制御ポリシーを構成するには、管理者として PowerShell を開き、次のコマンドを実行します。
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Enforce -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Enforce -Default
イベント ログの監視
アプリ制御ポリシーを適用した後にキャプチャされたイベントを表示するには、デバイスで実行するサードパーティ製アプリケーションを選択します。 アプリ制御ポリシーを監査モードで設定した場合は、オペレーティング システムがサード パーティ製アプリケーションのイベント ID 3076 を出力しているかどうかを確認します。 ポリシーを強制モードで設定する場合は、オペレーティング システムによって生成されたイベント ID が 3077かどうかを確認します。
システムは、サード パーティ製アプリケーションによる制限付きコンテンツへのアクセスの試行を検出し、アクセスをブロックするための対策を取ります。 これらのイベント ログを表示およびエクスポートするには、次の手順に従います。
- Startを右クリックし、[イベント ビューアー] を選択します。
- 左側のウィンドウで、 Applications and Service Logs\Microsoft\Windows\CodeIntegrity\Operational に移動します。
- 中央のウィンドウで、監査モードの場合はイベント ID 3076 、強制モードの場合は 3077 を探します。
補足ポリシーを構成する
追加のアプリ制御ポリシーを作成するには、次の手順に従います。
.evtxログ ファイルをサーバーからクライアント デバイスにコピーします。- クライアント デバイスで、 WDAC ウィザードを開きます。
- Home画面で、Policy エディターを選択します。
- ポリシー エディター画面で、WDAC ポリシーにイベント ログ変換を選択します。 次に、 Parse イベント ログ evtx ファイルからポリシーにParse ログ ファイル 選択。
- ポリシーに変換するイベント ログの選択ダイアログで、
.evtxファイルを見つけて、Open を選択します。 プロンプトで OK を選択し、 次へを選択します。 - File Rules 画面の Filename で、ポリシーに追加するファイルを選択します。
- [ Rule の種類で、 Path を選択し、 + 許可の追加を選択します。
- ポリシーに追加するすべての項目に対して手順 7 を繰り返し、 [次へ] を選択します。
Note
既定では、補足ポリシーは XML 形式で C:\Users\Username\Documents に格納されます。
補足ポリシーが生成されたら、XML ファイルをサーバーにコピーし、次のスクリプトを実行します。
$policyPath = "<Path to the XML policy file>"
# Reset GUID (best practice)
Set-CIPolicyIdInfo -FilePath $policyPath -ResetPolicyID
# Set policy version (VersionEx in the XML file)
$policyVersion = "1.0.0.1"
Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
# Set policy info (PolicyName and PolicyID in the XML file)
Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "<App name>-Policy_$policyVersion" -PolicyName "<App name>-Policy" # E.g. Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Chrome-Policy_$policyVersion" -PolicyName "Chrome-Policy"
$base = "{9214D8EE-9B0F-4972-9073-A04E917D7989}"
Set-CIPolicyIdInfo -FilePath $policyPath -SupplementsBasePolicyID $base
#Set the new policy into the system
Set-OSConfigDesiredConfiguration -Scenario AppControl -Name Policies -Value $policyPath
補足ポリシーが適用されたことを確認するには、Monitor イベント ログで前述したようにイベント ID 3076および3077を監視します。 オペレーティング システムで新しいイベントが生成されなかったことを確認します。
クエリ ポリシー
環境内で現在有効になっているポリシーを表示するには、次のコマンドを実行します。
(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $true }
環境内で現在非アクティブなポリシーを表示するには、次のコマンドを実行します。
(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $false }
これらのクエリの出力は、ポリシー構成のニーズによって異なります。