Microsoft が推奨するブロックの規則
設定対策?
Microsoft が推奨するブロックの規則 より抜粋 [#a9eee14d] †
Windows Defender Application Control などのアプリケーションのホワイトリスト ポリシーを回避するために攻撃者によって使われる可能性があります。
- addinprocess.exe
- addinprocess32.exe
- addinutil.exe
- bash.exe
- bginfo.exe[1]
- cdb.exe
- csi.exe
- dbghost.exe
- dbgsvc.exe
- dnx.exe
- fsi.exe
- fsiAnyCpu.exe
- kd.exe
- ntkd.exe
- lxssmanager.dll
- msbuild.exe[2]
- mshta.exe
- ntsd.exe
- rcsi.exe
- system.management.automation.dll
- windbg.exe
- wmic.exe
ソフトウェア アプリケーションによっては、他のコードの実行を意図的に許可するものがあります。 このような種類のアプリケーションは、Windows Defender Application Control ポリシーでブロックする必要があります。 また、セキュリティの脆弱性や Windows Defender Application Control のバイパスの可能性を修正するためにアプリケーションのバージョンがアップグレードされた場合は、WDAC ポリシーに、そのアプリケーションの以前の安全でないバージョンに対する拒否規則を追加する必要があります。
Microsoft では、最新のセキュリティ更新プログラムをインストールすることをお勧めします。 2017 年 6 月の Windows 更新プログラムでは、攻撃者が Windows Defender Application Control のコード整合性ポリシーをバイパスできるという PowerShell モジュールの問題が解決されます。 これらのモジュールは名前とバージョンでブロックできないため、対応するハッシュでブロックする必要があります。
2017 年 10 月には、system.management.automation.dll の更新プログラムが発表されます。この更新では、バージョン ルールではなくハッシュ値によって、以前のバージョンが無効化されます。
Microsoft は、次のポリシーを既存のポリシーにマージして、Merge-CIPolicy コマンドレットを使ってこれらの拒否ルールを追加することで、次の Microsoft 署名されたアプリケーションと PowerShell ファイルをブロックすることをお勧めします。 2019年3月の品質更新プログラム以降では、各バージョンの Windows では、次のファイルの特定のバージョンがブロックされる必要があります。
- msxml3.dll
- msxml6
- jscript9