マネージド インストーラーと ISG テクニカル リファレンスとトラブルシューティング ガイド
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
マネージド インストーラーとインテリジェント セキュリティ グラフ (ISG) ログ イベントの有効化
オプションのマネージド インストーラー診断イベントを有効にする方法については、「 App Control Events について」を参照してください。
fsutil を使用してマネージド インストーラー (MI) の拡張属性を照会する
マネージド インストーラー (MI) が有効になっている App Control for Business を使用しているお客様は、fsutil.exe を使用して、マネージド インストーラー プロセスによってファイルが作成されたかどうかを判断できます。 この検証は、fsutil.exe を使用してファイルの拡張属性 (EA) に対してクエリを実行し、KERNEL を探すことによって行われます。SMARTLOCKER。ORIGINCLAIM EA。 次に、出力の最初の行のデータを使用して、ファイルがマネージド インストーラーによって作成されたかどうかを識別できます。 たとえば、application.exe というファイルの fsutil.exe 出力を見てみましょう。
例:
fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe
Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:
Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e
上記の出力から、"0000:" というラベルが付いたデータの最初の行を見つけ、その後に 16 個の 2 文字セットが続きます。 4 つのセットごとに、ULONG と呼ばれるグループが形成されます。 最初の ULONG の先頭にある 2 文字セットは、次に示すように常に "01" になります。
0000: 01
00 00 00 00 00 00 00 00 00 01 00 00 00
出力の 5 番目の位置 (2 番目の ULONG の先頭) に "00" がある場合は、EA がマネージド インストーラーに関連していることを示します。
0000: 01 00 00 00 00
00 00 00 00 00 00 01 00 00 00
最後に、出力の 9 番目の位置 (3 番目の ULONG の先頭) の 2 文字セットは、ファイルがマネージド インストーラーとして実行されているプロセスによって作成されたかどうかを示します。 値 "00" は、ファイルがマネージド インストーラー プロセスによって直接書き込まれたこと、および App Control ポリシーがマネージド インストーラーを信頼している場合に実行されることを意味します。
0000: 01 00 00 00 00 00 00 00
00 00 00 01 00 00 00
代わりに、3 番目の ULONG の開始値が "02" の場合は、"子の子" を示します。 "子の子" は、マネージド インストーラーによってインストールされた何かによって作成されたすべてのファイルに設定されます。 ただし、ファイルは、マネージド インストーラーが作業を完了した 後 に作成されました。 そのため、ポリシーに許可する他の規則がない限り、このファイルの実行は許可 されません 。
まれに、この位置に他の値が表示されることがありますが、ポリシーがマネージド インストーラーを信頼している場合にも実行されます。
fsutil を使用したインテリジェント セキュリティ グラフ (ISG) の拡張属性のクエリ
ISG に従って評判の良いインストーラーを実行すると、インストーラーがディスクに書き込むファイルは、インストーラーから評判を継承します。 ISG 継承された信頼を持つこれらのファイルには、KERNEL も含まれます。SMARTLOCKER。マネージド インストーラーに対して上記のように設定された ORIGINCLAIM EA。 FSutil から出力の 5 番目の位置 (2 番目の ULONG の開始) で値 "01" を探すことで、EA が ISG によって作成されたことを識別できます。
0000: 01 00 00 00 01
00 00 00 00 00 00 01 00 00 00
マネージド インストーラーと ISG のその他のトラブルシューティング手順
マネージド インストーラーと ISG の両方が、一部の機能を提供するために AppLocker に依存しています。 次の手順を使用して、AppLocker が構成され、正しく実行されていることを確認します。
AppLocker サービスが実行されていることを確認します。 管理者特権の PowerShell ウィンドウで、次を実行し、appidsvc と AppLockerFltr の両方に対して STATE が RUNNING と表示されていることを確認します。
sc.exe query appidsvc SERVICE_NAME: appidsvc TYPE : 30 WIN32 STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 sc.exe query AppLockerFltr SERVICE_NAME: applockerfltr TYPE : 1 KERNEL_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
そうでない場合は、管理者特権の PowerShell ウィンドウから appidtel を実行し、もう一度チェックします。
マネージド インストーラーの場合は、AppCache.datやその他の *のチェック。%windir%\System32\AppLocker の下に作成された AppLocker ファイル。 は最小限に抑える必要があります。EXE、DLL、MANAGEDINSTALLER の各規則コレクション用に作成された AppLocker" ファイル。 これらのファイルが作成されていない場合は、次の手順に進み、AppLocker ポリシーが正しく適用されていることを確認します。
マネージド インストーラーのトラブルシューティングの場合は、AppLocker の有効なポリシーが正しいことをチェックします。 管理者特権の PowerShell ウィンドウから:
Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
次に、作成した XML ファイルを開き、予期した規則が含まれていることを確認します。 特に、ポリシーには、EXE、DLL、MANAGEDINSTALLER RuleCollections ごとに少なくとも 1 つのルールが含まれている必要があります。 RuleCollections は、AuditOnly または Enabled に設定できます。 さらに、EXE および DLL RuleCollections には、「 App Control for Business を使用してマネージド インストーラーによって展開されたアプリを自動的に許可する」に示すように、RuleCollectionExtensions 構成を含める必要があります。