トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

Microsoft が推奨するブロックの規則

Last-modified: 2019-10-25 (金) 10:02:00
Top/Microsoft が推奨するブロックの規則

設定対策

Microsoft が推奨するブロックの規則 より抜粋 [#a9eee14d]

Windows Defender Application Control などのアプリケーションのホワイトリスト ポリシーを回避するために攻撃者によって使われる可能性があります。

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe

ソフトウェア アプリケーションによっては、他のコードの実行を意図的に許可するものがあります。 このような種類のアプリケーションは、Windows Defender Application Control ポリシーでブロックする必要があります。 また、セキュリティの脆弱性や Windows Defender Application Control のバイパスの可能性を修正するためにアプリケーションのバージョンがアップグレードされた場合は、WDAC ポリシーに、そのアプリケーションの以前の安全でないバージョンに対する拒否規則を追加する必要があります。

Microsoft では、最新のセキュリティ更新プログラムをインストールすることをお勧めします。 2017 年 6 月の Windows 更新プログラムでは、攻撃者が Windows Defender Application Control のコード整合性ポリシーをバイパスできるという PowerShell モジュールの問題が解決されます。 これらのモジュールは名前とバージョンでブロックできないため、対応するハッシュでブロックする必要があります。

2017 年 10 月には、system.management.automation.dll の更新プログラムが発表されます。この更新では、バージョン ルールではなくハッシュ値によって、以前のバージョンが無効化されます。

Microsoft は、次のポリシーを既存のポリシーにマージして、Merge-CIPolicy コマンドレットを使ってこれらの拒否ルールを追加することで、次の Microsoft 署名されたアプリケーションと PowerShell ファイルをブロックすることをお勧めします。 2019年3月の品質更新プログラム以降では、各バージョンの Windows では、次のファイルの特定のバージョンがブロックされる必要があります。

  • msxml3.dll
  • msxml6
  • jscript9