Windows Defender アプリケーション制御 (WDAC) ポリシーを適用する
注
Windows Defender Application Control (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。
1 つ以上の Windows Defender アプリケーション制御ポリシーが監査モードで広く展開されている必要があります。 これらのポリシーを使用してデバイスから収集されたイベントを分析し、適用する準備ができました。 WDAC ポリシーを強制モードで準備して展開するには、次の手順に従います。
注
この記事で説明する手順の一部は、Windows 10 バージョン 1903 以降または Windows 11 にのみ適用されます。 このトピックを使用して独自の組織の WDAC ポリシーを計画する場合は、マネージド クライアントがこれらの機能のすべてまたは一部を使用できるかどうかを検討してください。 以前のバージョンの Windows 10 および Windows Server を実行しているクライアントで使用できない可能性がある機能に対する影響を評価します。 特定の組織のニーズを満たすために、このガイダンスを適応させる必要がある場合があります。
WDAC 基本 ポリシーを監査から適用に変換する
一般的な Windows Defender アプリケーション制御の展開シナリオで説明されているように、Lamna Healthcare Company (Lamna) の例を使用して、このシナリオを説明します。 Lamna は、アプリケーション制御を使用して、不要なアプリケーションや未承認のアプリケーションが管理対象デバイスで実行されるのを防ぐなど、より強力なアプリケーション ポリシーを採用しようとしています。
Alice Pena は、Lamna の WDAC ロールアウトを担当する IT チームリーダーです。
Alice は、組織の フル マネージド デバイスのポリシーを以前に作成してデプロイしました。 「監査イベントを 使用して WDAC ポリシー ルールを作成 し、再デプロイする」の説明に従って、監査イベント データに基づいてポリシーを更新しました。 残りの監査イベントはすべて想定どおりであり、Alice は強制モードに切り替える準備ができています。
使用する変数を初期化し、監査バージョンをコピーして適用されるポリシーを作成します。
$EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced" $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml" $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml" cp $AuditPolicyXML $EnforcedPolicyXMLSet-CIPolicyIdInfo を使用して、新しいポリシーに一意の ID とわかりやすい名前を付けます。 ID と名前を変更すると、適用されるポリシーを監査ポリシーと並べて展開できます。 時間の経過と同時に WDAC ポリシーを強化する予定がある場合は、この手順を実行します。 監査ポリシーをインプレースで置き換える場合は、この手順をスキップできます。
$EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)[必要に応じて]Set-RuleOption を使用して、ルール オプション 9 ("Advanced Boot Options Menu") と 10 ("Boot Audit on Failure") を有効にします。 オプション 9 を使用すると、ユーザーはプレブート メニューから単一のブート セッションに対する WDAC の適用を無効にすることができます。 オプション 10 では、ブート クリティカルなカーネル モード ドライバーがブロックされている場合にのみ、ポリシーを適用から監査に切り替えるよう Windows に指示します。 新しい適用ポリシーを最初のデプロイ リングにデプロイする場合は、これらのオプションを強くお勧めします。 次に、問題が見つからない場合は、オプションを削除してデプロイを再起動できます。
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9 Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10Set-RuleOption を使用して、ポリシーを適用に変更する監査モード ルール オプションを削除します。
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -DeleteConvertFrom-CIPolicy を使用して、新しい WDAC ポリシーをバイナリに変換します。
注
上記の手順 2 で -ResetPolicyID を使用しなかった場合は、次のコマンドの$EnforcedPolicyIDを、基本ポリシー XML にある PolicyID 属性に置き換える必要があります。
$EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip" ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
適用される基本ポリシーで使用するために必要な 補足 ポリシーのコピーを作成する
適用されたポリシーには、前の手順で一意の PolicyID が与えられたため、適用されたポリシーで使用するために必要な補足ポリシーを複製する必要があります。 補足ポリシーは、変更する基本ポリシーから常に監査または適用モードを継承します。 適用ベース ポリシーの PolicyID をリセットしなかった場合は、この手順をスキップできます。
使用する変数を初期化し、現在の補足ポリシーのコピーを作成します。 前の手順の一部の変数とファイルも使用されます。
$SupplementalPolicyName = "Lamna_Supplemental1" $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml" $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"Set-CIPolicyIdInfo を使用して、新しい補足ポリシーに一意の ID とわかりやすい名前を付け、補足する基本ポリシーを変更します。
$SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)注
Set-CIPolicyIdInfo が Windows 10 バージョンで新しい PolicyID 値を出力しない場合は、XML から PolicyId 値を直接取得する必要があります。
ConvertFrom-CIPolicy を使用して、新しい Windows Defender アプリケーション制御補助ポリシーをバイナリに変換します。
$EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml" ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary更新するその他の補足ポリシーがある場合は、上記の手順を繰り返します。
適用されたポリシーと補足ポリシーをデプロイする
基本ポリシーが適用モードになったので、マネージド エンドポイントへのデプロイを開始できます。 ポリシーの展開の詳細については、「 Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」を参照してください。