参照コンピューターを使用してアプリ制御ポリシーを作成する
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
このセクションでは、許可するソフトウェアで既に構成されている 参照コンピューターを使用して 、App Control for Business ポリシーを作成するプロセスについて説明します。 この方法は、特定の機能目的専用の固定ワークロード デバイスに対して使用でき、同じ機能ロールを提供する他のデバイスと共通の構成属性を共有できます。 固定ワークロード デバイスの例としては、Active Directory ドメイン コントローラー、Secure 管理 Workstations、医薬品医薬品混合装置、製造デバイス、レジ、ATM などがあります。この方法は、"in the wild" システムで App Control を有効にして、ユーザーの生産性への潜在的な影響を最小限に抑えるためにも使用できます。
注
このトピックで説明する一部の App Control for Business オプションは、Windows 10 バージョン 1903 以降、またはWindows 11でのみ使用できます。 このトピックを使用して、独自のorganizationのアプリ制御ポリシーを計画する場合は、マネージド クライアントがこれらの機能のすべてまたは一部を使用できるかどうかを検討し、クライアントで使用できない可能性がある機能への影響を評価します。 特定のorganizationのニーズを満たすために、このガイダンスを適応させる必要がある場合があります。
一般的な App Control for Business 展開シナリオで説明されているように、Lamna Healthcare Company (Lamna) の例を使用して、このシナリオを説明します。 Lamna は、管理対象デバイスで不要なアプリケーションや未承認のアプリケーションが実行されるのを防ぐためにアプリ制御を使用するなど、より強力なアプリケーション ポリシーを採用しようとしています。
Alice Pena は、アプリ コントロールのロールアウトを任された IT チームリーダーです。
参照デバイスを使用してカスタム 基本ポリシーを作成する
Alice は以前、organizationのフル マネージド エンド ユーザー デバイスのポリシーを作成しました。 これで、アプリ コントロールを使用して Lamna の重要なインフラストラクチャ サーバーを保護したいと考えています。 Lamna のインフラストラクチャ システムのイメージングプラクティスは、理想的なシステムの外観を示す基準として "ゴールデン" イメージを確立し、そのイメージを使用して、より多くの会社の資産を複製することです。 Alice は、これらの同じ "ゴールデン" イメージ システムを使用してアプリ制御ポリシーを作成することにしました。これにより、インフラストラクチャ サーバーの種類ごとに個別のカスタム 基本ポリシーが作成されます。 イメージングと同様に、モデル、部署、アプリケーション セットなどに基づいて、複数のゴールデン コンピューターからポリシーを作成する必要があります。
注
参照コンピューターがウイルスやマルウェアに感染していないことを確認し、アプリ制御ポリシーを作成する前にスキャンするソフトウェアをインストールします。
ポリシーを作成する前に、インストールされている各ソフトウェア アプリケーションが信頼できるものとして検証されている必要があります。
参照コンピューターを確認し、任意の DLL を読み込んでコードやスクリプトを実行する機能を持つソフトウェアがないか調べることをお勧めします。このようなコードやスクリプトにより、PC が脆弱な状態になる場合があります。 たとえば、スクリプトを実行しない場合に削除できる msbuild.exe (Visual Studio と.NET Frameworkの一部) などの開発またはスクリプト作成を目的としたソフトウェアが含まれます。 参照コンピューターでは、このようなソフトウェアを削除または無効化できます。
Alice は、Lamna の重要なインフラストラクチャ サーバーの "信頼の円" に到達するための次の重要な要因を特定します。
- すべてのデバイスで Windows Server 2019 以降が実行されています。
- すべてのアプリは一元的に管理され、デプロイされます。
- 対話型ユーザーなし。
上記に基づいて、Alice はポリシーの擬似規則を定義します。
承認する "Windows の動作" ルール:
- Windows
- WHQL (サード パーティ製カーネル ドライバー)
- Windows ストア署名済みアプリ
デバイスで検出されたすべての既存のアプリ バイナリを承認する スキャンされたファイル の規則
アプリ制御ポリシーを作成するために、Alice は管理者特権のWindows PowerShell セッションで次の各コマンドを順番に実行します。
変数を初期化します。
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName="FixedWorkloadPolicy_Audit" $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml" $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"New-CIPolicy を使用して、インストールされているアプリケーションのシステムをスキャンして、新しいアプリ制御ポリシーを作成します。
New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt注
- –Fallback パラメーターを追加して、–Level パラメーターで指定した最優先するファイル規則のレベルで検出されなかったすべてのアプリケーションをキャッチすることができます。 ファイル ルール レベルのオプションの詳細については、「 App Control for Business のファイル ルール レベル」を参照してください。
- アプリ制御ポリシーで特定のドライブのみをスキャンするように指定するには、 -ScanPath パラメーターの後にパスを指定します。 このパラメーターがないと、ツールは既定で C ドライブをスキャンします。
- -UserPEs パラメーターを指定すると (スキャンにユーザー モードの実行可能ファイルを含めるために)、ルール オプション 0 Enabled:UMCI がアプリ制御ポリシーに自動的に追加されます。 -UserPEs を指定しない場合、ポリシーはユーザー モードの実行可能ファイルが空になり、ドライバーなどのカーネル モード バイナリに対する規則のみが含まれます。 つまり、許可リストにはアプリケーションは含まれません。 このようなポリシーを作成し、後でルール オプション 0 Enabled:UMCI を追加すると、アプリケーションを起動しようとすると、App Control for Business からの応答が発生します。 監査モードでは、応答によりイベントがログに記録され、実施モードでは、応答によりアプリケーションがブロックされます。
- 補足ポリシーのサポートなど、Windows 10 1903 以降のポリシーを作成するには、-MultiplePolicyFormat を使用します。
- スキャンから除外するパスのリストを指定するには、 -OmitPaths オプションを使用し、パスのコンマ区切りのリストを指定します。
- 上の例に含まれている
3> CIPolicylog.txtは、テキスト ファイル CIPolicylog.txt に警告メッセージをリダイレクトしています。
新しいポリシーを WindowsDefault_Audit ポリシーとマージして、すべての Windows バイナリとカーネル ドライバーが読み込まれるようにします。
Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy新しいポリシーにわかりやすい名前と初期バージョン番号を指定します。
Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"ポリシー ルールを設定するように、マージされたポリシーを変更します。
Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security必要に応じて、署名者またはファイルルールをさらに追加して、organizationのポリシーをさらにカスタマイズします。
ConvertFrom-CIPolicy を使用して、アプリ制御ポリシーをバイナリ形式に変換します。
[xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip" ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin基本ポリシー XML と関連付けられたバイナリを、GitHub などのソース管理ソリューションまたはドキュメント管理ソリューション (Office 365 SharePoint など) にアップロードします。
Alice は、監査モードで展開する準備ができている Lamna の重要なインフラストラクチャ サーバーの初期ポリシーを使用できるようになりました。
使用中のクライアント デバイスへのユーザーの影響を最小限に抑えるカスタム 基本ポリシーを作成する
Alice は以前、organizationのフル マネージド デバイスのポリシーを作成しました。 Alice には、Lamna のデバイス ビルド プロセスの一部としてフル マネージド デバイス ポリシーが含まれているため、すべての新しいデバイスが App Control を有効にして始まります。 既に使用されているシステムにポリシーを展開する準備をしていますが、ユーザーの生産性の中断を引き起こすことを心配しています。 そのリスクを最小限に抑えるために、Alice はそれらのシステムに対して異なるアプローチを取ることにしました。 彼女は引き続き、監査モードでフル マネージド デバイス ポリシーをこれらのデバイスに展開しますが、適用モードでは、フル マネージド デバイス ポリシー ルールを、以前にインストールしたすべてのソフトウェアのデバイスをスキャンして作成されたポリシーとマージします。 このようにして、各デバイスは独自の"ゴールデン"システムとして扱われます。
Alice は、Lamna のフル マネージドの使用中デバイスの "信頼の円" に到達するための次の重要な要因を特定します。
- Lamna の フル マネージド デバイスについて説明されているすべて。
- ユーザーは、引き続き実行する必要があるアプリをインストールしました。
上記に基づいて、Alice はポリシーの擬似規則を定義します。
- フル マネージド デバイス ポリシーに含まれるすべてのもの
- デバイスで検出されたすべての既存のアプリ バイナリを承認する スキャンされたファイル の規則
Lamna の既存の使用中のデバイスの場合、Alice はフル マネージド デバイス ポリシー XML と共にスクリプトをデプロイします (変換されたアプリ制御ポリシー バイナリではありません)。 その後、スクリプトは前のセクションで説明したようにクライアントでローカルにカスタム ポリシーを生成しますが、DefaultWindows ポリシーとマージする代わりに、スクリプトは Lamna のフル マネージド デバイス ポリシーとマージされます。 Alice は、この異なるユース ケースの要件に合わせて、上記の手順も変更します。