TOPアプリ/OS > Windows環境のアプリケーションやドライバーの制御にお勧...

アプリ/OS

Windows環境のアプリケーションやドライバーの制御にお勧め、WDAC(後)

2022/04/14

Susan Bradley CSO

 企業のWindows環境で利用するアプリケーションやドライバーは、ホワイトリストで明示的に許可したもの以外は動作を認めないようにブロックするのが理想的だ。それを実現するための機能としては、「Windows Defender Application Control(WDAC)」がある。

前回から続く)

Credit: MethodShop / Microsoft
Credit: MethodShop / Microsoft

 その他には、以下のようなポリシーがある。

  • WHQL:デフォルトでは、WHQL(Windows Hardware Quality Labs)の署名のないレガシードライバーの動作が認められているが、このルールを有効にすると、WHQLの署名がないドライバーは動作できなくなる。Windows 10用のカーネルドライバーにはWHQLの署名が必要。
  • Flight Signing:正式リリース前のプレビュー版のバイナリを認めず、リリース版のバイナリのみを動作させたい場合に使用するオプション。
  • EV Signers:ドライバーにWHQLの署名が付いていることに加え、EV(Extended Verification)証明書を持つパートナーが提出したものであることを義務づける。Windows 10以降のドライバーはすべてこの要件を満たす。
  • Boot Audit on Failure:監査モードでない場合に使用するオプション。スタートアップ時にドライバーがエラーとなった場合に、ポリシーを監査モードに切り替え、Windowsの起動を進める。管理者はその後、イベントログでエラーの理由を検証できる。
  • Script Enforcement:スクリプトの適用オプションを無効化する。この場合、署名なしのPowerShellスクリプトや対話型PowerShellは、Constrained Languageモードへの限定がなくなる。HTAファイルの実行にはこのオプションが必要。Windows 10の1709、1803、1809の各バージョンで2019 10C LCU以降を適用している場合か、1903(May 2019 Update)以降のバージョンで利用できる。それ以外のバージョンのWindows 10で使用した場合、予期せぬ結果が生じる可能性がある。
  • Enforce Store Applications:Windowsのユニバーサルアプリ(Microsoft Storeアプリ)にもWDACポリシーを適用するためのオプション。
  • Managed Installer:管理インストーラーでインストールされたアプリケーションを自動で許可するためのオプション。
  • Intelligent Security Graph Authorization:MicrosoftのIntelligent Security Graph(ISG)で、問題のない既知のアプリケーションと評価されているアプリケーションを、自動で許可するためのオプション。
  • Invalidate EAs on Reboot:上記のISGのオプションを使用した場合、WDACが動作を許可したファイルには、そのことを示す拡張ファイル属性が付く。この許可を時々再評価したい場合に、こちらのオプションを使う。
  • Allow Supplemental Policies:ベースとなるポリシーにこのオプションを設定することで、補足的なポリシーによる拡張が可能となる。Windows 10のバージョン1903以降でのみ使用できる。
  • Runtime FilePath Rule Protection:管理者のみが書き込み可能なパスに限りFilePathルールを認めるデフォルトのランタイムチェックを無効化する。Windows 10のバージョン1903以降でのみ使用できる。
  • Dynamic Code Security:.NETアプリケーションや動的ライブラリーへのポリシー適用を可能にするためのオプション。Windows 10のバージョン1803以降でのみ使用できる。
  • Revoked Expired As Unsigned:ユーザーモードのプロセスやコンポーネントに関して、期限切れや失効となった証明書で署名されたバイナリを無署名のバイナリとして扱うためのオプション。

↑ページ先頭へ