トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

AppLocker の変更点

Top/AppLocker

#author("2020-03-17T09:23:13+09:00","","")
[[・コマンドラインインターフェースの悪用]]
#author("2020-03-17T09:23:21+09:00","","")
[[・コマンドラインインターフェースの悪用]]~
[[・PowerShellの悪用]]
*AppLockerとは [#k375fabe]
ユーザー、セキュリティグループが実行できるアプリケーションをグループポリシーもしくはMDMで制御します。これによって、マルウェアが悪用するDebugコマンドやPowerShellなどの実行を防止し、攻撃を緩和します。内部的に、*.exe と *.dll に対するルールはカーネルモードで強制されるため安全です。~
AppLockerはWindows Server 2016 以上か、Windows 10 Enterprise Edition で利用可能です。

**制御対象 [#w75ba177]
-実行形式ファイル (*.exe, *.com)
-PowerShell スクリプト (*.ps1)
-バッチファイル (*.bat, *.cmd)
-Java スクリプト (*.js)
-VBScript (*.vbs)
-Windows インストーラー (.msi、.mst、.msp)
-ダイナミックリンク ライブラリ (*.dll, *.ocx)
-パッケージ アプリのインストーラー (*.appx)

**ルール設定 [#m09b8caa]
以下のルールを設定できます。
-ファイルハッシュ
-パス
--フォルダ・ファイルパス、環境変数、UNCパス、ワイルドカードが使用可能
-Publisherの電子署名~
上記のファイルに対して、デフォルトでは明示的な許可(ホワイトリスト)で動作し、許可されていないファイルには暗黙的な拒否(許可ルールの影響受けないすべてのファイルのブロック)が適用されます。また、明示的な拒否(ブラックリスト)や例外設定が構成できます。~
組織のアプリケーションやスクリプトの配布には、電子署名のPublisher、製品名、ファイル名、ファイルバージョンなどが指定できます。

-Microsoft:~
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview~
-ウィキペディア:~
https://en.wikipedia.org/wiki/AppLocker

*AppLocker をバイパスするコマンドラインインターフェース [#x18a343f]
AppLocker  のホワイトリストをバイパスするコマンドラインインターフェースが存在しています。そのため、以下のサイトのコマンドは明示的にブラックリストを構成する必要があります。
-Microsoft が推奨するブロックの規則~
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules

-APPLOCKER – CASE STUDY – HOW INSECURE IS IT REALLY?~
https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/~
https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/~
https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-1/~
https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-2/~

-Ultimate AppLocker ByPass List~
https://github.com/api0cradle/UltimateAppLockerByPassList/blob/master/README.md