ウィザードを使用した新しい補足ポリシーの作成
注
Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。
バージョン 1903 Windows 10以降、Windows Defender アプリケーション制御 (WDAC) では、デバイス上の複数のアクティブ なポリシーの作成がサポートされています。 1 つ以上の補足ポリシーを使用すると、お客様は WDAC 基本ポリシー を拡張して、ポリシーの信頼の輪を広げることができます。 補助ポリシーは 1 つの基本ポリシーのみを展開できますが、複数の補助ポリシーで同じ基本ポリシーを展開できます。 補足ポリシーを使用すると、ベースまたはその補足ポリシーによって許可されるアプリケーションの実行が許可されます。
アプリケーション制御に関する前提条件については、 WDAC 設計ガイドを参照してください。 このページでは、補足アプリケーション制御ポリシーを作成し、ポリシー オプションを構成し、署名者とファイルルールを構成する手順について説明します。
基本ポリシーの展開
[新しいポリシー] ページで [補足ポリシーの種類] を選択すると、ポリシー名とファイル ダイアログ フィールドを使用して補足ポリシーの名前と保存を行うことができます。 次の手順では、展開する基本ポリシーを選択する必要があります。 基本ポリシーを展開するには、ベースで補足ポリシーを許可する必要があります。 WDAC ウィザードは、基本ポリシーで補足が許可されているかどうかを確認し、次の確認を示します。
基本ポリシーが補足ポリシー用に構成されていない場合、ウィザードはポリシーを補足可能なポリシーに変換しようとします。 成功すると、追加ポリシーの許可ルールの追加が完了したことを示すダイアログがウィザードに表示されます。
補足できないポリシー (たとえば、別の補足ポリシー) はウィザードによって検出され、次のエラーが表示されます。 補足できるのは基本ポリシーのみです。 補足ポリシーの詳細については、複数のポリシーに関 する記事を参照してください。
ポリシー規則の構成
ページの起動時に、ポリシー ルールは、前のページから選択した基本ポリシーに応じて自動的に有効または無効になります。 補足ポリシー規則のほとんどは、基本ポリシーから継承されます。 ウィザードは、基本ポリシーを自動的に解析し、基本ポリシー規則に一致するように必要な補足ポリシー規則を設定します。 継承されたポリシー ルールは淡色表示され、ユーザー インターフェイスでは変更できません。
ルールタイトルにカーソルを置くと、ページの下部にルールの簡単な説明が表示されます。
構成可能な補足ポリシー 規則の説明
補足ポリシーでは、3 つのポリシー 規則のみを構成できます。 次の表では、左端の列から始まる各ポリシー 規則について説明します。 [+ 詳細オプション] ラベルを選択すると、ポリシー ルールの別の列である高度なポリシー ルールが表示されます。
| 規則のオプション | 説明 |
|---|---|
| インテリジェント セキュリティ グラフの承認 | このオプションを使用して、Microsoft のインテリジェント セキュリティ グラフ (ISG) によって定義された "既知の良好な" 評判を持つアプリケーションを自動的に許可します。 |
| マネージド インストーラー | このオプションを使用すると、管理インストーラーとして定義されているソフトウェア配布ソリューション (Microsoft Configuration Managerなど) によってインストールされたアプリケーションが自動的に許可されます。 |
| ランタイム FilePath ルール保護を無効にする | このオプションは、管理者のみが書き込み可能なパスに対して FilePath ルールのみを許可する既定のランタイム チェックを無効にします。 |
カスタム ファイルルールの作成
アプリケーション制御ポリシーのファイル 規則は、アプリケーションが識別され、信頼されるレベルを指定します。 ファイル ルールは、アプリケーション制御ポリシーで信頼を定義するためのメインメカニズムです。 [ + カスタム ルール] を選択すると、カスタム ファイル ルールの条件パネルが開き、ポリシーの対象となるファイル ルールを作成およびカスタマイズできます。 ウィザードでは、次の 4 種類のファイル 規則がサポートされています。
発行元ルール
Publisher ファイル 規則の種類では、コード署名証明書チェーンのプロパティを使用して、ファイル規則をベースにします。 参照ファイルと呼ばれる規則の基準となる ファイルが選択されたら、スライダーを使用してルールの特異性を示します。 次の表は、スライダーの配置、対応する Windows Defender アプリケーション制御 (WDAC) ルール レベル、およびその説明の関係を示しています。 テーブルと UI スライダーの配置が低いほど、ルールの特異性が高くなります。
| ルール条件 | WDAC ルール レベル | 説明 |
|---|---|---|
| CA の発行 | PCACertificate | 使用可能な最高の証明書が署名者に追加されます。 この証明書は通常、PCA 証明書であり、ルート証明書の 1 つ下のレベルです。 この証明書によって署名されたすべてのファイルが影響を受ける。 |
| Publisher | 発行元 | この規則は、PCACertificate 規則とリーフ証明書の共通名 (CN) の組み合わせです。 メジャー CA によって署名されたが、特定の会社 (デバイス ドライバー発行元など) のリーフを持つファイルは影響を受けます。 |
| ファイルのバージョン | SignedVersion | この規則は、PCACertificate ルールと Publisher ルールとバージョン番号の組み合わせです。 指定したバージョン以上のバージョンを持つ、指定された発行元からの何ものも影響を受ける。 |
| ファイル名 | FilePublisher | 最も具体的です。 ファイル名、発行元、PCA 証明書と最小バージョン番号の組み合わせ。 指定した名前で、指定したバージョン以上の発行元からのファイルが影響を受けます。 |
Filepath 規則
ファイルパス 規則は、変更可能なアクセス許可に基づいているため、明示的な署名者ルールと同じセキュリティ保証を提供しません。 ファイルパス規則を作成するには、[ 参照 ] ボタンを使用してファイルを選択します。
ファイル属性ルール
ウィザードでは、認証されたファイル属性に基づく ファイル名ルール の作成がサポートされています。 ファイル名ルールは、アプリケーションとその依存関係 (DLL など) がすべて同じ製品名を共有する場合に役立ちます。たとえば、 このルール レベルを使用すると、ユーザーは製品名ファイル名に基づいてターゲット ポリシーを簡単に作成できます。 ルールを作成するファイル属性を選択するには、ウィザードのスライダーを目的の属性に移動します。 次の表では、ルールを作成するためにサポートされている各ファイル属性について説明します。
| 規則のレベル | 説明 |
|---|---|
| 元のファイル名 | バイナリの元のファイル名、またはファイルが最初に作成された名前を指定します。 |
| ファイルの説明 | バイナリの開発者が提供するファイルの説明を指定します。 |
| 製品名 | バイナリが出荷される製品の名前を指定します。 |
| 内部名 | バイナリの内部名を指定します。 |
ファイル ハッシュ規則
最後に、ウィザードでは、ファイルのハッシュを使用したファイル ルールの作成がサポートされています。 このレベルは固有ですが、現在の製品バージョンのハッシュ値を維持するために余分な管理オーバーヘッドが発生する可能性があります。 バイナリが更新されるたびにハッシュ値が変更されるので、ポリシーの更新が必要となります。 既定では、指定したファイル ルール レベルを使用してファイル ルールを作成できない場合に、フォールバックとしてファイル ハッシュが使用されます。
署名規則の削除
ページの左側のテーブルには、テンプレート内の許可ルールと拒否ルール、および作成したカスタム ルールが文書化されています。 ルールリストテーブルからルールを選択することで、ポリシーからルールを削除できます。 ルールが強調表示されたら、テーブルの下にある削除ボタンを押します。 もう一度、別の確認を求めるメッセージが表示されます。 ポリシーとルール テーブルからルールを削除する場合に選択 Yes します。