トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

Microsoft が推奨するブロックの規則 の変更点

Top/Microsoft が推奨するブロックの規則
#author("2019-10-25T10:02:26+09:00","","")
#author("2019-10-25T10:02:48+09:00","","")
[[設定対策]]

*[[Microsoft が推奨するブロックの規則:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules]] [#i2cedcb6]
*[[Microsoft が推奨するブロックの規則:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules]] [#i2cedcb6] より抜粋 [#a9eee14d]

Windows Defender Application Control などのアプリケーションのホワイトリスト ポリシーを回避するために攻撃者によって使われる可能性があります。

-addinprocess.exe
-addinprocess32.exe
-addinutil.exe
-bash.exe
-bginfo.exe[1]
-cdb.exe
-csi.exe
-dbghost.exe
-dbgsvc.exe
-dnx.exe
-fsi.exe
-fsiAnyCpu.exe
-kd.exe
-ntkd.exe
-lxssmanager.dll
-msbuild.exe[2]
-mshta.exe
-ntsd.exe
-rcsi.exe
-system.management.automation.dll
-windbg.exe
-wmic.exe



ソフトウェア アプリケーションによっては、他のコードの実行を意図的に許可するものがあります。 このような種類のアプリケーションは、Windows Defender Application Control ポリシーでブロックする必要があります。 また、セキュリティの脆弱性や Windows Defender Application Control のバイパスの可能性を修正するためにアプリケーションのバージョンがアップグレードされた場合は、WDAC ポリシーに、そのアプリケーションの以前の安全でないバージョンに対する拒否規則を追加する必要があります。

Microsoft では、最新のセキュリティ更新プログラムをインストールすることをお勧めします。 2017 年 6 月の Windows 更新プログラムでは、攻撃者が Windows Defender Application Control のコード整合性ポリシーをバイパスできるという PowerShell モジュールの問題が解決されます。 これらのモジュールは名前とバージョンでブロックできないため、対応するハッシュでブロックする必要があります。

2017 年 10 月には、system.management.automation.dll の更新プログラムが発表されます。この更新では、バージョン ルールではなくハッシュ値によって、以前のバージョンが無効化されます。

Microsoft は、次のポリシーを既存のポリシーにマージして、Merge-CIPolicy コマンドレットを使ってこれらの拒否ルールを追加することで、次の Microsoft 署名されたアプリケーションと PowerShell ファイルをブロックすることをお勧めします。 2019年3月の品質更新プログラム以降では、各バージョンの Windows では、次のファイルの特定のバージョンがブロックされる必要があります。

-msxml3.dll
-msxml6
-jscript9