Windows Defender アプリケーション制御 (WDAC) が適用されたインフラストラクチャの管理

  • [アーティクル]

適用対象: Windows Admin Center プレビュー

Windows Defender アプリケーション制御 (WDAC) を使うと、ユーザーが実行できるアプリケーションと、システム コア (カーネル) で実行されるコードを制限することによって、多くのセキュリティの脅威を軽減できます。 アプリケーション制御ポリシーは、署名されていないスクリプトと MSI もブロックし、Windows PowerShell を制約付き言語モードで実行するように制限できます。 詳細については、「Windows のアプリケーション制御」を参照してください。

WDAC が適用された環境に Windows Admin Center をインストールして管理するには、追加の構成が必要です。 このドキュメントでは、WDAC が適用された環境を管理する場合のこれらの要件と既知の問題について説明します。

要件

このセクションでは、Windows Admin Center を使用して WDAC が適用されたインフラストラクチャ (サーバー、クライアント マシン、またはクラスター) を管理するための要件について説明します。

ポリシーの要件

ユース ケースに応じて、基本または補足ポリシーの一部として 1 つ以上の証明書を許可リストに登録する必要があります。 基本または補足ポリシーの展開の詳細について確認してください。

ケース [1]: WDAC が適用されているのは、管理対象ノードのみである。

ケース [2]: 管理対象ノードと Windows Admin Center を展開するマシンの両方に WDAC が適用されている。

ケース [1] の場合、管理対象ノード上の WDAC ポリシーの許可リストに登録する必要があるのは、次の署名者ルールのみです。

<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> 
  <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 
  <CertPublisher Value="Microsoft Corporation" /> 
</Signer>

ケース [2] の場合:

  • 上記の署名者ルールを管理対象ノードと Windows Admin Center を展開するマシンの両方の許可リストに登録する必要があります。
  • さらに、次の署名者およびファイル/ハッシュ ルールを Windows Admin Center を展開するコンピューターでのみ許可リストに登録する必要があります。

署名者ルール:

<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> 
  <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 
  <CertPublisher Value="Microsoft 3rd Party Application Component" /> 
</Signer>

ファイル/ハッシュ ルール:

<FileRules>
    <!--Requirement from WAC to allow files from WiX-->
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
  </FileRules>

注意

署名者と許可 ID (署名者 ID="ID_SIGNER_S_XXXXX") は、ポリシー作成ツールまたはスクリプトによって自動的に生成されます。 詳細については、WDAC のドキュメントを参照してください

ヒント

WDAC ウィザード ツールは、WDAC ポリシーの作成や編集に非常に役立ちます。 ウィザードまたは PowerShell コマンドのどちらを使用して新しいポリシーを作成する場合も、バイナリで "Publisher" ルールを使用してルールを生成することに注意してください。 たとえば、ウィザードを使用する場合、Windows Admin Center の .msi に基づいてケース [1] の WDAC ポリシーを生成できます。 ケース [2] の場合もウィザードを使用できますが、WDAC ポリシーを手動で編集して、一覧表示されている署名者およびハッシュ ルールを含める必要があります。

ネットワーク要件

既定では、Windows Admin Center は HTTP (ポート 5985) または HTTPS (ポート 5986) 経由で WINRM を介してサーバーと通信します。 WDAC が適用されたインフラストラクチャの場合、Windows Admin Center には、管理されているノード (TCP ポート 445) への SMB アクセスも必要です。

アクセス許可

SMB ポート 445 経由の UNC パスに基づくファイル転送は、Windows Admin Center がこれらの環境を管理するうえで不可欠です。 管理対象サーバーまたはクラスターの管理者であり、ファイル転送がセキュリティ ポリシーによってブロックされていないことを確認します。

PowerShell 実行ポリシー

デフォルトの PowerShell ExecutionPolicy は、Windows 管理 Center で Windows Defender アプリケーション制御が適用されたコンピューターを管理するのに十分です。 ただし、コンピューターでデフォルトの ExecutionPolicy が変更された場合は、署名されたスクリプトの読み込みと実行を許可するように LocalMachine のスコープが RemoteSigned に設定されていることを確認する必要があります。 これは PowerShell のセキュリティ機能であり、変更は適切かつ必要な場合にのみ行う必要があります。

インストールと接続

[インストール中]

通常と同じように、WDAC が適用されたサーバーまたはクライアント コンピューターに Windows Admin Center をインストールします。 上記の要件が満たされている場合は、Windows Admin Center が通常通りインストールされて機能します。

接続します。

通常と同じように、WDAC が適用されたサーバー、クライアント、またはクラスターのマシンに接続します。 サーバーに接続すると、[概要] ページの [PowerShell 言語モード] フィールドで強制実行ステータスを追跡できます。 このフィールドの値が "制約付き" の場合、WDAC が強制されます。

WDAC が適用されたクラスターに初めて接続する場合、Windows Admin Center がクラスターへの接続を設定するまでに数分かかる場合があります。 後続の接続には遅延はありません。

注意

管理対象ノードの WDAC 適用状態を変更する場合、この変更が反映されるまで、Windows Admin Center を少なくとも 30 秒間使用しないでください。

既知の問題

  • 現時点では、Azure Stack HCI と Resource Bridge への Windows Admin Center を介した Azure Kubernetes Service の展開は、WDAC が適用された環境ではサポートされていません。 また、Azure Stack HCI でのリモート サポートおよび GPU 拡張機能の使用は現在サポートされていません。

  • 現在、単一サーバーでの RBAC の使用はサポートされていません。

  • 証明書ツールの特定の操作は現在サポートされていません。

トラブルシューティング

  • "モジュールが見つかりません" または "接続に失敗しました" エラー
    1. Windows Admin Center によって管理対象ノードにファイルが正常に転送されたかどうかを確認するには、管理対象ノード上の %PROGRAMFILES%\WindowsPowerShell\Modules フォルダーに移動し、Microsoft.SME.* という名前のモジュールがそのフォルダーに存在することを確認します
    2. 存在しない場合は、Windows Admin Center からサーバーまたはクラスターに再接続します
    3. Windows Admin Center がインストールされているマシンが、管理対象ノード上の TCP ポート 445 にアクセスできることを確認します