Configuration Managerを使用したアプリケーション制御管理のWindows Defender

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Windows Defender アプリケーション制御は、マルウェアやその他の信頼されていないソフトウェアからデバイスを保護するように設計されています。 承認されたコード (既知) のみを実行できるようにすることで、悪意のあるコードの実行を防ぎます。

Application Control は、PC で実行できるソフトウェアの明示的なリストを適用するソフトウェア ベースのセキュリティ レイヤーです。 アプリケーションコントロールには、ハードウェアまたはファームウェアの前提条件はありません。 Configuration Managerで展開されたアプリケーション制御ポリシーを使用すると、この記事で説明する最小 Windows バージョンと SKU 要件を満たす対象のコレクション内のデバイスに対してポリシーを有効にすることができます。 必要に応じて、Configuration Managerを介して展開されたアプリケーション制御ポリシーのハイパーバイザー ベースの保護を、対応するハードウェアのグループ ポリシーを使用して有効にすることができます。

詳細については、「Windows Defender アプリケーション制御のデプロイ ガイド」を参照してください。

注:

この機能は、以前は 構成可能なコード整合性Device Guard として知られていました。

Configuration Managerでのアプリケーション制御の使用

Configuration Managerを使用して、アプリケーション制御ポリシーをデプロイできます。 このポリシーを使用すると、コレクション内のデバイスでアプリケーション制御を実行するモードを構成できます。

次のいずれかのモードを構成できます。

  1. 適用が有効 - 信頼された実行可能ファイルのみが実行できます。
  2. 監査のみ - すべての実行可能ファイルの実行を許可しますが、ローカル クライアント イベント ログで実行される信頼されていない実行可能ファイルをログに記録します。

アプリケーション制御ポリシーをデプロイすると何が実行できますか?

アプリケーション制御を使用すると、管理するデバイスで実行できる操作を強く制御できます。 この機能は、不要なソフトウェアを実行できないことが重要な高セキュリティ部門のデバイスに役立ちます。

ポリシーをデプロイすると、通常、次の実行可能ファイルを実行できます。

  • Windows OS コンポーネント
  • Windows ハードウェア 品質ラボ署名を使用したハードウェア デベロッパー センター ドライバー
  • Windows ストア アプリ
  • Configuration Manager クライアント
  • アプリケーション制御ポリシーを処理した後、デバイスがインストールするConfiguration Managerを介して展開されたすべてのソフトウェア
  • 組み込みの Windows コンポーネントへの更新:
    • Windows Update
    • Windows Update for Business
    • Windows Server Update Services
    • Configuration Manager
    • 必要に応じて、Microsoftインテリジェント セキュリティ グラフ (ISG) によって決定される評判の良いソフトウェア。 ISG には、Windows Defender SmartScreen やその他のMicrosoft サービスが含まれています。 このソフトウェアを信頼するには、デバイスWindows Defender SmartScreen とバージョン 1709 以降Windows 10実行している必要があります。

重要

これらの項目には、インターネットまたはサードパーティ製のソフトウェア更新プログラムから自動的に更新される Windows に組み込まれていないソフトウェアは含まれません。 この制限は、一覧表示されている更新メカニズムによってインストールされているか、インターネットからインストールされているかに関係なく適用されます。 Application Control では、Configuration Manager クライアント経由で展開されるソフトウェアの変更のみが許可されます。

サポートされるオペレーティング システム

Configuration Managerでアプリケーション制御を使用するには、サポートされているバージョンのデバイスが実行されている必要があります。

  • Windows 11 以降の Enterprise エディション
  • Windows 10以降の Enterprise エディション
  • Windows Server 2019 以降

ヒント

Configuration Manager バージョン 2006 以前で作成された既存のアプリケーション制御ポリシーは、Windows Server では機能しません。 Windows Server をサポートするには、新しいアプリケーション制御ポリシーを作成します。

始める前に

  • デバイスでポリシーが正常に処理されると、Configuration Managerは、そのクライアントのマネージド インストーラーとして構成されます。 ポリシーが処理されると、Configuration Managerによって展開されたソフトウェアが自動的に信頼されます。 デバイスがアプリケーション制御ポリシーを処理する前に、Configuration Managerによってインストールされたソフトウェアは自動的に信頼されません。

    注:

    たとえば、タスク シーケンスの [アプリケーションのインストール] ステップを使用して、OS の展開中にアプリケーションをインストールすることはできません。 詳細については、「 タスク シーケンスの手順 - アプリケーションのインストール」を参照してください。

  • アプリケーション制御ポリシーの既定のコンプライアンス評価スケジュールは毎日です。 このスケジュールは、ポリシーのデプロイ中に構成できます。 ポリシー処理で問題が発生した場合は、コンプライアンス評価スケジュールをより頻繁に構成します。 たとえば、1 時間ごとです。 このスケジュールは、エラーが発生した場合にクライアントがアプリケーション制御ポリシーを処理する頻度を決定します。

  • 選択した適用モードに関係なく、アプリケーション制御ポリシーを展開するときに、デバイスはファイル拡張子を持つ HTML アプリケーションを .hta 実行できません。

アプリケーション制御ポリシーを作成する

  1. 構成マネージャー コンソールで、[資産とコンプライアンス] ワークスペースに移動します。

  2. [Endpoint Protection] を展開し、[Windows Defender アプリケーション制御] ノードを選択します。

  3. リボンの [ ホーム ] タブの [ 作成 ] グループで、[ アプリケーション制御ポリシーの作成] を選択します。

  4. アプリケーション制御ポリシーの作成ウィザードの [全般] ページで、次の設定を指定します。

    • [名前]: このアプリケーション制御ポリシーの一意の名前を入力します。

    • 説明: 必要に応じて、Configuration Manager コンソールで識別するのに役立つポリシーの説明を入力します。

    • すべてのプロセスに対してこのポリシーを適用できるように、デバイスの再起動を強制します。デバイスがポリシーを処理した後、コンピューターの再起動のクライアント 設定 に従ってクライアントで 再起動がスケジュールされます。 デバイスで現在実行されているアプリケーションは、再起動後まで新しいアプリケーション制御ポリシーを適用しません。 ただし、ポリシーの適用後に起動されたアプリケーションでは、新しいポリシーが適用されます。

    • 強制モード: 次のいずれかの適用方法を選択します。

      • 適用が有効: 信頼されたアプリケーションのみが実行できます。

      • 監査のみ: すべてのアプリケーションの実行を許可しますが、実行する信頼されていないプログラムをログに記録します。 監査メッセージは、ローカル クライアント イベント ログにあります。

  5. アプリケーション制御ポリシーの作成ウィザードの [包含] タブで、インテリジェント セキュリティ グラフによって信頼されているソフトウェアを承認するかどうかを選択します。

  6. デバイス上の特定のファイルまたはフォルダーの信頼を追加する場合は、[ 追加] を選択します。 [ 信頼されたファイルまたはフォルダーの追加 ] ダイアログ ボックスで、信頼するローカル ファイルまたはフォルダー パスを指定できます。 接続するアクセス許可を持つリモート デバイス上のファイルまたはフォルダー パスを指定することもできます。 アプリケーション制御ポリシーで特定のファイルまたはフォルダーに対する信頼を追加すると、次のことができます。

    • マネージド インストーラーの動作に関する問題を解決します。

    • Configuration Managerでデプロイできない基幹業務アプリを信頼します。

    • OS 展開イメージに含まれているアプリを信頼します。

  7. ウィザードを終了します。

アプリケーション制御ポリシーをデプロイする

  1. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動します。

  2. [Endpoint Protection] を展開し、[Windows Defender アプリケーション制御] ノードを選択します。

  3. ポリシーの一覧から、展開するポリシーを選択します。 リボンの [ ホーム ] タブの [ 展開 ] グループで、[ アプリケーション制御ポリシーの展開] を選択します。

  4. [ アプリケーション制御ポリシーの展開 ] ダイアログ ボックスで、ポリシーを展開するコレクションを選択します。 次に、クライアントがポリシーを評価するタイミングのスケジュールを構成します。 最後に、構成されたメンテナンス期間の外部でクライアントがポリシーを評価できるかどうかを選択します。

  5. 完了したら、[ OK] を選択して ポリシーをデプロイします。

アプリケーション制御ポリシーを監視する

一般に、 コンプライアンス設定の監視 に関する記事の情報を使用します。 この情報は、デプロイされたポリシーがすべてのデバイスに正しく適用されていることを監視するのに役立ちます。

アプリケーション制御ポリシーの処理を監視するには、デバイスで次のログ ファイルを使用します。

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

特定のソフトウェアがブロックまたは監査されていることを確認するには、次のローカル クライアント イベント ログを参照してください。

  • 実行可能ファイルをブロックおよび監査する場合は、アプリケーションとサービス ログ>Microsoft>Windows>Code Integrity> Operational を使用します

  • Windows インストーラーとスクリプト ファイルのブロックと監査を行う場合は、アプリケーションとサービス のログ>Microsoft>Windows>AppLocker>MSI とスクリプトを使用します。

セキュリティとプライバシーに関する情報

  • ポリシーが監査のみまたは強制有効モードで展開されているが、ポリシーを適用するために再起動されていないデバイスは、インストールされている信頼されていないソフトウェアに対して脆弱です。 この状況では、デバイスが再起動した場合や、 適用が有効 なモードでポリシーを受け取った場合でも、ソフトウェアが引き続き実行される可能性があります。

  • アプリケーション制御ポリシーの有効性を高めるために、まずラボ環境でデバイスを準備します。 適用が有効なポリシーを展開し、デバイスを再起動します。 アプリが動作することを確認したら、デバイスをユーザーに渡します。

  • 適用が有効になっているポリシーを展開し、後で監査のみのポリシーを同じデバイスに展開しないでください。 この構成により、信頼されていないソフトウェアの実行が許可される可能性があります。

  • Configuration Managerを使用してデバイスでアプリケーション制御を有効にしても、ローカル管理者権限を持つユーザーがアプリケーション制御ポリシーを回避したり、信頼されていないソフトウェアを実行したりできなくなります。

  • ローカル管理者権限を持つユーザーがアプリケーション制御を無効にできないようにする唯一の方法は、署名されたバイナリ ポリシーをデプロイすることです。 この展開はグループ ポリシーを通じて可能ですが、現在Configuration Managerではサポートされていません。

  • デバイスで管理インストーラーとしてConfiguration Managerを設定すると、Windows AppLocker ポリシーが使用されます。 AppLocker は、マネージド インストーラーの識別にのみ使用されます。 すべての適用は、アプリケーション制御で行われます。

次の手順

マルウェア対策ポリシーおよびファイアウォール設定の管理