App Control for Business ライフサイクル ポリシー管理を計画する

この記事では、App Control for Business ポリシーを管理および管理するためのプロセスを確立するために必要な決定について説明します。

ポリシー XML ライフサイクル管理

App Control を実装する最初の手順は、ポリシーを時間の経過と同時に管理および管理する方法を検討することです。 App Control for Business ポリシーを管理するプロセスを開発することで、アプリ コントロールが引き続き、organizationでのアプリケーションの実行を許可する方法を効果的に制御し続けるのに役立ちます。

ほとんどの App Control for Business ポリシーは、時間の経過と共に進化し、有効期間中に一連の識別可能なフェーズを進めます。 通常、これらのフェーズは次のとおりです。

1. ポリシーの "信頼の円" を定義 (または絞り込む) し、ポリシー XML の監査モード バージョンを構築します。 監査モードでは、ブロック イベントが生成されますが、ファイルの実行は禁止されません。
2. 監査モード ポリシーを 目的のデバイスに展開します。
3. 予期しないブロックまたは不要なブロックに対処するために、目的のデバイスから監査ブロック イベントを監視し、必要に応じてルールを追加/編集/削除します。
4. 残りのブロック イベントが期待値を満たすまで、手順 2 ~ 3 を繰り返します。
5. ポリシーの適用モード バージョンを生成 します。 強制モードでは、ポリシーで許可されていないファイルの実行が禁止され、対応するブロック イベントが生成されます。
6. 適用モード ポリシーを 目的のデバイスに展開します。 ポリシーを広範に展開する前に、強制ポリシーの段階的ロールアウトを使用して問題を検出して対応することをお勧めします。
7. 必要な "信頼の円" が変更されたら、手順 1 から 6 を繰り返します。

ソース管理またはドキュメント管理ソリューションでアプリ制御ポリシーを保持する

App Control for Business ポリシーを効果的に管理するには、App Control ポリシー管理を担当するすべてのユーザーがアクセスできる中央リポジトリにポリシー XML ドキュメントを格納して管理する必要があります。 GitHub などのソース管理ソリューション、またはバージョン管理を提供し、XML ドキュメントに関するメタデータを指定できるようにする、Office 365 SharePoint などのドキュメント管理ソリューションをお勧めします。

ポリシーごとに PolicyName、PolicyID、およびバージョンのメタデータを設定する

Set-CIPolicyIDInfo コマンドレットを使用して、各ポリシーにわかりやすい名前を付け、一意のポリシー ID を設定します。 これらの一意の属性は、App Control for Business イベントを確認するとき、またはポリシー XML ドキュメントを表示するときに、各ポリシーを区別するのに役立ちます。 PolicyId には文字列値を指定できますが、複数のポリシー形式を使用するポリシーの場合は、-ResetPolicyId スイッチを使用してポリシーの一意の ID を自動生成することをお勧めします。

さらに、 Set-CIPolicyVersion コマンドレットを使用して、ポリシーを変更するときにポリシーの内部バージョン番号をインクリメントすることをお勧めします。 バージョンは、標準の 4 部構成のバージョン文字列 ("1.0.0.0" など) として定義する必要があります。

ポリシー ルールの更新

新しいアプリが展開されたとき、または既存のアプリがソフトウェア発行元によって更新されたときにポリシーを変更して、アプリが正しく実行されるようにする必要がある場合があります。 ポリシー ルールの更新が必要かどうかは、ポリシーに含まれるルールの種類によって大きく異なります。 コード署名証明書に基づく規則は、アプリの変更に対する最も回復性を提供しますが、ファイル属性またはハッシュに基づく規則では、アプリが変更されたときに更新が必要な可能性が最も高くなります。 または、App Control マネージド インストーラー 機能を使用し、マネージド インストーラーを通じてすべてのアプリとその更新プログラムを一貫してデプロイする場合は、ポリシーの更新が必要な可能性が低くなります。

App Control イベント管理

アプリ コントロールがプロセスをブロックするたびに、イベントは CodeIntegrity\Operational または AppLocker\MSI およびスクリプト Windows イベント ログのいずれかに書き込まれます。 イベントは、実行しようとしたファイル、そのファイルとその署名の属性、およびブロックされたファイルを実行しようとしたプロセスについて説明します。

これらのイベントを中央の場所に収集すると、App Control for Business ポリシーを維持し、ルール構成の問題のトラブルシューティングを行うのに役立ちます。 Azure Monitor エージェントを使用して、分析のために App Control イベントを自動的に収集できます。

さらに、Microsoft Defender for Endpointは、高度なハンティング機能を使用してクエリを実行できるアプリ コントロール イベントを収集します。

アプリケーションとユーザーのサポート ポリシー

考慮事項は次のとおりです。

• ブロックされたアプリケーションに対して提供されるエンド ユーザー サポートの種類は何ですか?
• 新しいルールはどのようにポリシーに追加されますか?
• 既存のルールはどのように更新されますか?
• イベントはレビューのために転送されますか?

ヘルプ デスクのサポート

organizationにヘルプ デスク サポート部門が確立されている場合は、App Control for Business ポリシーを展開するときに次の点を考慮してください。

• サポート部門が新しいポリシーの展開に必要なドキュメントは何ですか?
• 各ビジネス グループの重要なプロセスは、アプリ制御ポリシーの影響を受けるワークフローとタイミングの両方にあり、サポート部門のワークロードにどのような影響を与える可能性がありますか?
• サポート部門の連絡先は誰ですか?
• サポート部門は、エンド ユーザーと、App Control for Business ルールを管理するリソースとの間のアプリコントロールの問題をどのように解決しますか?

エンド ユーザーのサポート

App Control for Business は承認されていないアプリの実行を妨げているため、organizationはエンド ユーザーサポートを提供する方法を慎重に計画することが重要です。 考慮事項は次のとおりです。

• イントラネット サイトを、ブロックされたアプリを実行しようとするユーザーのサポートの最前線として使用しますか?
• ポリシーの例外をどのようにサポートしますか? ブロックされたアプリへのアクセスを一時的に許可するスクリプトの実行をユーザーに許可しますか?

プランを文書化する

organizationで App Control for Business ポリシーを管理する方法を決定したら、結果を記録します。

• エンド ユーザー サポート ポリシー。 ブロックされたアプリの実行を試みたユーザーからの呼び出しを処理するために使用するプロセスを文書化し、必要に応じて管理者が App Control for Business ポリシーを更新できるように、サポート担当者に明確なエスカレーション手順があることを確認します。
• イベント処理。 イベントがストアと呼ばれる中央の場所で収集されるかどうか、そのストアのアーカイブ方法、およびイベントが分析のために処理されるかどうかを文書化します。
• ポリシー管理。 計画されているポリシー、ポリシーの管理方法、および時間の経過に伴うルールの管理方法について詳しく説明します。