・L1 コントロール のバックアップ(No.6)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・L1 コントロール へ行く。
コントロールの方針 †
| ポリシー設定 | 構成方針 | 説明 |
| ローカル管理者パスワードソリューション(LAPS) | すべてのデバイスに展開 | デバイスに対する一意のローカル管理者パスワードを生成し、多くの横方向のトラバーサル攻撃を軽減します。 |
| Windows Defender ATP EDR | すべてのデバイスに展開 | Windows Defender ATP エンドポイント検出および応答(EDR)は、高度な攻撃の実用的でほぼリアルタイムの検出を提供します。EDR はセキュリティアナリストを支援し、同じ攻撃手法でアラートを集約するか、同じ攻撃者に起因するアラートをインシデントと呼ばれるエンティティに集約します。インシデントは、アナリストがアラートに優先順位を付け、違反の範囲全体をまとめて調査し、脅威に対応するのに役立ちます。Windows Defender ATP EDR は、ユーザーやアプリケーションに影響を与えることは想定されておらず、1つの手順ですべてのデバイスに展開できます。 |
| Windows Defender Credential Guard | 互換性のあるすべてのハードウェアで有効化 | Windows Defender Credential Guard は、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システムソフトウェアのみがシークレットにアクセスできるようにします。これらの秘密への不正アクセスは、Pass-the-Hash や Pass-The-Ticket などの資格情報の盗難攻撃につながる可能性があります。Windows Defender Credential Guard は、NTLM パスワードハッシュ、Kerberos チケット許可チケット(TGT)、およびドメイン資格情報としてアプリケーションによって保存された資格情報を保護することにより、これらの攻撃を防ぎます。アプリケーションが NTLMv1、Kerberos DES 暗号化、Kerberos の制約のない委任、または Keberos TGT の抽出を必要とするとアプリケーションが破損するため、アプリケーションの互換性にわずかなリスクがあります。そのため、マイクロソフトでは、リングの方法論を使用して Credential Guard を展開することをお勧めします。 |
| Microsoft Edge | デフォルトブラウザ | Windows 10 の Microsoft Edgeは、Internet Explorer 11(IE11)よりも優れたセキュリティを提供します。一部のサイトとの互換性のために IE11 を活用する必要がある場合もありますが、Microsoft Edge をデフォルトのブラウザーとして構成し、それを必要とするサイトのみに IE11 にリダイレクトするエンタープライズモードサイトリストを作成することをお勧めします。マイクロソフトは、Windows Analytics またはEnterprise Site Discovery のいずれかを活用して初期のエンタープライズモードサイトリストを作成し、その後リング方式を使用してこの構成を徐々に展開することをお勧めします。 |
| Windows Defender Application Guard | 互換性のあるハードウェアで有効化 | Windows Defender Application Guard は、ハードウェア分離アプローチを使用します。従業員が Microsoft Edge または Internet Explorer のいずれかを介して信頼できないサイトにアクセスすると、Microsoft Edge は、ホストオペレーティングシステムとは別の Hyper-V によって有効化された隔離されたコンテナーでサイトを開きます。信頼されていないサイトが悪意のあるサイトであることが判明した場合、隔離されたコンテナがホスト PC を保護し、攻撃者は企業データにアクセスできません。一部のアプリケーションはホスト PC との対話を必要とする場合がありますが、Application Guard の信頼できるWebサイトのリストにはまだ含まれていない可能性があるため、アプリケーションの互換性にはわずかなリスクがあります。マイクロソフトでは、Windows Analytics または Enterprise Site Discovery を活用して初期ネットワーク分離設定を構築し、リング方法論を使用してこの構成を徐々に展開することをお勧めします。 |
| ネットワーク保護 | ネットワーク保護の構成と実施 | ネットワーク保護は、従業員がアプリケーションを使用して、フィッシング詐欺、エクスプロイト、およびインターネット上のその他の悪意のあるコンテンツをホストする可能性のある危険なドメインにアクセスするのを防ぐのに役立ちます。これは、Windows Defender SmartScreen の範囲を拡張して、低レピュテーションソース(ドメインまたはホスト名に基づく)への接続を試みるすべてのアウトバウンド HTTP トラフィックをブロックします。フラグ付きサイトでの誤検知の結果として、アプリケーションの互換性にリスクがあります。Microsoftは、Audit / Enforce Methodologyを使用して展開することをお勧めします。 |
アクション †
| 特徴 | 構成方針 | 説明 |
| OSセキュリティアップデート | リリースから7日以内にWindows品質更新プログラムを展開する | パッチのリリースから、そのパッチのリバースエンジニアリングに基づくエクスプロイトまでの期間が短縮されるにつれて、セキュリティ維持の重要な側面は、セキュリティの脆弱性に対処する品質アップデートを迅速に検証して展開するエンジニアリングプロセスを持つことです。 |
[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[LAPS] †
| ポリシー設定 | ポリシー値 | 説明 |
| Enable local admin password management | 有効 | ローカル管理者アカウントのパスワード管理を有効にします。この設定を有効にすると、ローカル管理者パスワードが管理されます。この設定を無効にした場合、または構成しなかった場合、ローカル管理者のパスワードは管理されません。 |
[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows Defender ウイルス対策]>[Windows Defender Expoit Guard]>[ネットワーク保護] †
| ポリシー設定 | ポリシー値 | 説明 |
| ユーザーとアプリが危険な Web サイトにアクセスするのを防ぎます | 有効 オプション=ブロック | Windows Defender Exploit Guard ネットワーク保護を有効または無効にすることで、従業員がアプリケーションを使用して、フィッシング詐欺、不正利用ホスト サイト、およびインターネット上の他の悪意のあるコンテンツをホストする可能性のある危険なドメインにアクセスしないようにします。 有効: [オプション] セクションでモードを指定します。 -ブロック: ユーザーとアプリケーションは危険なドメインにアクセスできません -監査モード: ユーザーとアプリケーションは危険なドメインに接続できますが、ブロック設定ならアクセスをブロックされるようなドメインに接続した場合には、イベント ログにそのイベントの記録が書き込まれます。 無効: ユーザーとアプリケーションは危険なドメインへの接続をブロックされません。 未構成: 無効と同じです。 |
[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Microsoft Edge] †
| ポリシー設定 | ポリシー値 | 説明 |
| Cookie の構成 | 有効 オプション=すべての Cookie をブロックする | この設定を有効にした場合は、次のいずれかを選択する必要があります。 -すべての Cookie を許可する (既定値): すべての Web サイトからのすべての Cookie を許可します。 -すべての Cookie をブロックする: すべての Web サイトからのすべての Cookie をブロックします。 -サード パーティの Cookie のみをブロックする: サード パーティの Web サイトからの Cookie のみをブロックします。 この設定を無効にした場合または構成しなかった場合は、すべての Web サイトからのすべての Cookie が許可されます。 注意:本設定は運用に影響があるため、設定値はリスク受容も含めて検討してください。 |
| パスワードマネージャの構成 | 無効 | この設定を有効にした場合は、パスワード マネージャーを使用して従業員が自分のパスワードをローカル コンピューター上に保存できます。 この設定を無効にした場合は、パスワード マネージャーを使用して従業員が自分のパスワードをローカル コンピューター上に保存することはできません。 この設定を構成しなかった場合は、パスワード マネージャーを使用して自分のパスワードをローカル コンピューター上に保存するかどうかを従業員が選択できます。 |
| Windows Defender SmartScreen を構成します | 有効 | この設定を有効にした場合は、Windows Defender SmartScreen が有効になり、従業員が無効にすることはできません。 この設定を無効にした場合は、Windows Defender SmartScreen が無効になり、従業員が有効にすることはできません。 この設定を構成しなかった場合は、Windows Defender SmartScreen フィルターを使用するかどうかを従業員が選択できます。 |
| ファイルに関する Windows Defender SmartScreen プロンプトをバイパスしない | 有効 | この設定を有効にした場合、従業員は Windows Defender SmartScreen の警告を無視できず、確認されていないファイルのダウンロードがブロックされます。 この設定を無効にした場合または構成しなかった場合、従業員は Windows Defender SmartScreen の警告を無視して、ダウンロード プロセスを続行することができます。 |
| サイトに関する Windows Defender SmartScreen プロンプトをバイパスしない | 有効 | この設定を有効にした場合、従業員は Windows Defender SmartScreen の警告を無視できず、サイトへの移動がブロックされます。 この設定を無効にした場合または構成しなかった場合、従業員は Windows Defender SmartScreen の警告を無視して、サイトに移動することができます。 |
| 証明書エラーのオーバーライドを禁止する | 有効 | Web セキュリティ証明書は、ユーザーの移動先サイトが正当であることを確認するために使用され、状況によってはデータが暗号化されます。このポリシーを使用すると、SSL エラーがあるサイトに対するセキュリティ警告をユーザーがバイパスすることを禁止するかどうかを指定できます。 有効にすると、証明書エラーのオーバーライドは許可されません。 無効または未構成の場合は、証明書エラーのオーバーライドが許可されます。 |
| WebRTC での Localhost IP アドレス使用の回避 | 有効 | この設定を有効にした場合、WebRTC プロトコルを使用して電話をかける際に LocalHost IP アドレスは表示されません。 この設定を無効にした場合または構成しなかった場合、WebRTC プロトコルを使用して電話をかける際に LocalHost IP アドレスが表示されます。 |
| 書籍ライブラリの構成の更新を許可する | 無効 | この設定を有効にするか (既定値)、構成しなかった場合は、Microsoft Edge は自動的に書籍ライブラリの構成データを更新します。 この設定を無効にすると、Microsoft Edge は書籍ライブラリの更新された構成データを自動的にダウンロードしません。 |
| トラッキング拒否の構成 | 有効 | この設定を有効にした場合は、トラッキング情報が要求される Web サイトにはトラッキング拒否要求が常に送信されます。 この設定を無効にした場合は、トラッキング情報が要求される Web サイトにトラッキング拒否要求が送信されません。 この設定を構成しなかった場合は、トラッキング情報が要求される Web サイトにトラッキング拒否要求を送信するかどうかを従業員が選択できます。 |
| サイトをスタートにピン止めする際にライブ タイル情報の収集を Microsoft Edge に許可しない | 有効 | この設定を有効にした場合、Microsoft Edge ではライブ タイルのメタデータが収集されず、ユーザーがライブ タイルをスタート メニューにピン留めする際に提供されるエクスペリエンスは最小限になります。 この設定を無効にした場合、または構成しなかった場合、Microsoft Edge ではライブ タイルのメタデータが収集され、ユーザーがライブ タイルをスタート メニューにピン留めする際に、より完全なエクスペリエンスが提供されます。 |