インテリジェント セキュリティ グラフ (ISG) で評判の良いアプリを承認する

IT 管理システムを使用してアプリケーションをデプロイおよび管理しない組織では、アプリ コントロールを実装するのが困難な場合があります。 このような環境では、ユーザーは作業に使用するアプリケーションを取得できるため、効果的なアプリ制御ポリシーを構築するのが困難になります。

エンド ユーザーの摩擦とヘルプデスクの呼び出しを減らすために、App Control for Business を設定して、Microsoft のインテリジェント セキュリティ グラフ (ISG) が既知の評判を持つと認識するアプリケーションを自動的に許可するように設定できます。 ISG オプションを使用すると、organizationでアプリ エコシステムの制御が制限されている場合でも、組織はアプリ制御の実装を開始できます。 ISG の詳細については、「 Microsoft Graph の主要なサービスと機能」の「セキュリティ」セクションを参照してください。

アプリ コントロールは ISG とどのように連携しますか?

ISG はアプリの "リスト" ではありません。 代わりに、SmartScreen と Microsoft Defender ウイルス対策Microsoft Defender機能する、同じ膨大なセキュリティ インテリジェンスと機械学習分析を使用して、アプリケーションを "既知の良い"、"既知の悪い"、または "不明" の評判を持つと分類するのに役立ちます。 このクラウドベースの AI は、Windows エンドポイントやその他のデータ ソースから収集され、24 時間ごとに処理される数兆のシグナルに基づいています。 その結果、クラウドからの決定が変わる可能性があります。

アプリコントロールでは、ポリシーによって明示的に許可または拒否されていないバイナリと、マネージド インストーラーによってインストールされていないバイナリのみが ISG によってチェックされます。 このようなバイナリが、ISG オプションを使用して App Control が有効になっているシステムで実行されると、アプリ コントロールはハッシュと署名情報をクラウドに送信することで、ファイルの評判をチェックします。 ファイルに "既知の良好な" 評判があると ISG から報告された場合、ファイルの実行が許可されます。 それ以外の場合は、アプリ コントロールによってブロックされます。

評判の良いファイルがアプリケーション インストーラーの場合、インストーラーの評判はディスクに書き込むすべてのファイルに渡されます。 これにより、アプリをインストールして実行するために必要なすべてのファイルが、インストーラーから肯定的な評判データを継承します。 インストーラーの評判に基づいて承認されたファイルには、$KERNELがあります。SMARTLOCKER。ORIGINCLAIM カーネル拡張属性 (EA) がファイルに書き込まれます。

App Control は、ファイル上の評判データを定期的に再クエリします。 さらに、企業は、再起動時に 有効:無効な EA オプションを使用して、キャッシュされた評判の結果を再起動時にフラッシュすることを指定できます。

アプリ制御ポリシーの ISG 承認の構成

ISG の設定は、任意の管理ソリューションを使用して簡単に行うことができます。 ISG オプションの構成には、次の基本的な手順が含まれます。

• アプリ制御ポリシー XML で [Enabled:Intelligent Security Graph authorization ] オプションが設定されていることを確認します
• App Control がクライアントで ISG を正しく使用できるようにするために必要なサービスを有効にする

アプリ制御ポリシー XML で ISG オプションが設定されていることを確認します

Microsoft Intelligent Security Graph に基づいてアプリとバイナリを許可するには、アプリ制御ポリシーで [Enabled:Intelligent Security Graph authorization ] オプションを指定する必要があります。 この手順は、Set-RuleOption コマンドレットを使用して実行できます。 また、再起動のたびに ISG の結果が再び検証されるように、[ 再起動時に EA を有効にする:無効にする] オプションも設定する必要があります。 ISG オプションは、インターネットに定期的にアクセスできないデバイスには推奨されません。 次の例は、両方のオプション セットを示しています。

<Rules>
    <Rule>
      <Option>Enabled:Unsigned System Integrity Policy</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Advanced Boot Options Menu</Option>
    </Rule>
    <Rule>
      <Option>Required:Enforce Store Applications</Option>
    </Rule>
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Intelligent Security Graph Authorization</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Invalidate EAs on Reboot</Option>
    </Rule>
</Rules>

App Control がクライアントで ISG を正しく使用できるようにするために必要なサービスを有効にする

ISG で使用されるヒューリスティックが正しく機能するためには、Windows の他のコンポーネントを有効にする必要があります。 これらのコンポーネントを構成するには、 c:\windows\system32で appidtel 実行可能ファイルを実行します。

appidtel start

この手順は、CSP によって必要なコンポーネントが有効になるので、MDM 経由でデプロイされるアプリ制御ポリシーには必要ありません。 この手順は、ISG がConfiguration Managerの App Control 統合を使用して構成されている場合にも必要ありません。

ISG オプションに関するセキュリティに関する考慮事項

ISG はヒューリスティック ベースのメカニズムであるため、明示的な許可または拒否規則と同じセキュリティ保証は提供されません。 これは、ユーザーが標準のユーザー権限を使用して操作する場合や、Microsoft Defender for Endpointなどのセキュリティ監視ソリューションが使用される場合に最適です。

カーネル特権で実行されているプロセスは、ISG 拡張ファイル属性を設定して、バイナリが既知の評判を持っているように見せかけることで、アプリ制御を回避できます。

また、ISG オプションはアプリ インストーラーからディスクに書き込むバイナリに評判を渡すので、場合によってはファイルをオーバーオーソライズできます。 たとえば、インストーラーが完了時にアプリを起動した場合、その初回実行時にアプリが書き込むファイルも許可されます。

ISG の使用に関する既知の制限事項

ISG では "既知の問題" であるバイナリのみが許可されるため、正当なソフトウェアが安全に実行できるかどうかを ISG が予測できない場合があります。 その場合、アプリコントロールによってソフトウェアがブロックされます。 この場合は、アプリコントロールポリシーでルールを持つソフトウェアを許可するか、アプリコントロールポリシーで信頼されている証明書によって署名されたカタログを展開するか、アプリコントロール管理インストーラーからソフトウェアをインストールする必要があります。 実行時にバイナリを動的に作成するインストーラーまたはアプリケーション、および自己更新アプリケーションでは、この現象が発生する可能性があります。

パッケージ化されたアプリは ISG ではサポートされていないため、アプリ制御ポリシーで個別に承認する必要があります。 パッケージ化されたアプリは強力なアプリ ID を持ち、署名する必要があるため、アプリコントロール ポリシーを使用して パッケージ化されたアプリを簡単に承認 できます。

ISG はカーネル モード ドライバーを承認しません。 アプリ制御ポリシーには、必要なドライバーの実行を許可する規則が必要です。