複数の Windows Defender アプリケーション制御ポリシーを使用する

Windows 10 バージョン 1903 および Windows Server 2022 以降では、デバイスに複数の Windows Defender アプリケーション制御 (WDAC) ポリシーを並行して展開できます。 32 を超えるアクティブなポリシーを許可するには、2024 年 4 月 9 日以降にリリースされた Windows セキュリティ更新プログラムをインストールし、デバイスを再起動します。 これらの更新プログラムでは、特定のデバイスに一度にデプロイできるポリシーの数に制限はありません。 2024 年 4 月 9 日以降にリリースされた Windows セキュリティ更新プログラムをインストールするまで、デバイスは 32 個のアクティブ なポリシーに制限されており、その数を超えてはなりません。

複数のサイド バイ サイド ポリシーが役立つ一般的なシナリオを次に示します。

1. 並べて適用および監査する
   • 適用モードで展開する前にポリシーの変更を検証するために、ユーザーは監査モードの基本ポリシーを既存の強制モードの基本ポリシーと並行して展開できるようになりました
2. 複数の基本ポリシー
   • ユーザーは、異なるスコープ/意図を持つポリシーのより単純なポリシー ターゲットを許可するために、2 つ以上の基本ポリシーを同時に適用できます
   • デバイスに 2 つの基本ポリシーが存在する場合、アプリケーションは両方のポリシーを渡して実行する必要があります
3. 補足ポリシー
   • ユーザーは、1 つ以上の補足ポリシーを展開して、基本ポリシーを展開できます
   • 補助ポリシーは 1 つの基本ポリシーを展開し、複数の補助ポリシーで同じ基本ポリシーを展開できます
   • 補足ポリシーの場合、基本ポリシーまたはその補足ポリシーまたはポリシーによって許可されるアプリケーションは実行されます

基本ポリシーと補足ポリシーの相互作用

• 複数の基本ポリシー: 交差
  • 両方のポリシーで許可されているアプリケーションのみが、ブロック イベントを生成せずに実行されます
• 基本 + 補足ポリシー: 共用体
  • 基本ポリシーまたは補足ポリシーの実行によって許可されるファイル

複数のポリシー形式での WDAC ポリシーの作成

複数のポリシーを存在させ、1 つのシステムで有効にするには、新しい複数ポリシー形式を使用してポリシーを作成する必要があります。 New-CIPolicy の "MultiplePolicyFormat" スイッチは、ポリシー ID に対して 1) 一意の値が生成され、2) 基本ポリシーとして設定されたポリシーの種類になります。 次の例では、複数のポリシー形式で新しいポリシーを作成するプロセスについて説明します。

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

必要に応じて、新しい基本ポリシーで補足ポリシーを許可するように選択できます。

Set-RuleOption -FilePath ".\policy.xml" -Option 17

補助ポリシーを許可する署名付き基本ポリシーの場合は、補助署名者が定義されていることを確認します。 補足署名者を提供するには、Add-SignerRule の補助スイッチを使用します。

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

補足ポリシーの作成

補足ポリシーを作成するには、前に示したように、複数のポリシー形式で新しいポリシーを作成することから始めます。 そこから、Set-CIPolicyIdInfo を使用して補足ポリシーに変換し、展開する基本ポリシーを指定します。 ベース ポリシーを指定するには、SupplementsBasePolicyID または BasePolicyToSupplementPath を使用できます。

• "SupplementsBasePolicyID": 補足ポリシーが適用される基本ポリシーの GUID
• "BasePolicyToSupplementPath": 補足ポリシーが適用される基本ポリシー ファイルへのパス

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

ポリシーのマージ

ポリシーをマージするときは、指定した左端または最初のポリシーのポリシーの種類と ID が使用されます。 左端が ID <ID> を持つ基本ポリシーの場合、後続のポリシーの GUID と種類に関係なく、マージされたポリシーは ID <ID> を持つ基本ポリシーです。

複数のポリシーをデプロイする

複数の Windows Defender アプリケーション制御ポリシーを展開するには、ポリシー ファイルを適切なフォルダーにコピー *.cip するか、ApplicationControl CSP を使用してローカルに展開する必要があります。

複数のポリシーをローカルに展開する

新しい複数のポリシー形式を使用してポリシーをローカルに展開するには、次の手順に従います。

1. バイナリ ポリシー ファイルの名前付け形式 {PolicyGUID}.cipが正しいことを確認します。
   • バイナリ ポリシー ファイルの名前が、ポリシーの PolicyID GUID とまったく同じであることを確認します
   • たとえば、ポリシー XML に として <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>ID がある場合、バイナリ ポリシー ファイルの正しい名前は になります {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip。
2. バイナリ ポリシーを にコピーします C:\Windows\System32\CodeIntegrity\CiPolicies\Active。
3. システムを再起動します。

ApplicationControl CSP を使用した複数のポリシーのデプロイ

複数の Windows Defender アプリケーション制御ポリシーは、ApplicationControl 構成サービス プロバイダー (CSP) を介して MDM サーバーから管理できます。 CSP では、再起動なしのポリシーのデプロイもサポートされます。

ただし、ポリシーが MDM サーバーから登録解除されると、CSP は、CSP によって追加されたポリシーだけでなく、アクティブにデプロイされていないすべてのポリシーを削除しようとします。 この動作は、個々のポリシーを適用するために使用された展開方法がシステムで認識されていないために発生します。

Microsoft Intune のカスタム OMA-URI 機能を使用して、必要に応じて複数のポリシーを展開する方法の詳細については、「 ApplicationControl CSP」を参照してください。