Application Control セキュリティ モデル
このセクションの内容
Application Control セキュリティ モデルの導入
Application Control では、さまざまなセキュリティ モデルを導入し、複雑なリストや常時管理を行わなくても、システムを保護することができます。内容:
- 信頼できる所有権
- 信頼できるベンダ
- デジタル署名
- ホワイトリスト
- ブラックリスト
Application Control 構成の価値を最大限に引き出すには、ハイブリッド アプローチを使用し、各セキュリティ方式から最適なコンポーネントを組み合わせ、最適なセキュリティ モデルを実現しながら、全体的な管理と構成の負荷を最小化できます。
信頼できる所有権アプローチでは、Application Control 構成を変更せずに、信頼できる所有者が新しいアプリケーションをインストールできます。さらに、信頼できないエンドユーザによる不明なアプリケーションやスクリプト コンテンツに対する十分なセキュリティも導入されます。このため、ほとんどの Application Control 構成の基本として、このセキュリティ方法をお勧めします。このため、この機能は、すべての新しい Application Control 構成で既定で有効です。
ホワイトリスト アプローチは最も安全ですが、管理が多いセキュリティ モデルです。ファイル システムで NTFS セキュリティを使用しない場合は、信頼できる所有権は NTFS にのみあるファイル所有者情報に依存するため、ホワイトリスト方式が推奨されるオプションです。
信頼できる所有権は、ローカルにインストールされた実行ファイル コンテンツ、つまりコンピュータのローカル固定ドライブに存在するアプリケーションにのみ適用されます。ネットワーク ロケーション、または CD や DVDROM などのリムーバブル メディアにある実行ファイルまたはスクリプト コンテンツは、自動的に信頼できないと見なされ、ただちに実行がブロックされます。ユーザが実行する必要があるこのようなアプリケーションと関連する実行ファイルの完全 UNC パスは、特に Application Control 構成のホワイトリストに追加する必要があります。これらの項目の信頼できる所有権チェックを任意で無効にするか、SHA-1、SHA-256、または Alder-32署名を取得するように任意で選択し、実行時にファイルを確認することができます。ネットワークまたはリムーバブル メディアに基づいてアプリケーションのデジタル署名確認を使用することをお勧めします。多くの場合、これらのファイルは、組織のエンドポイントの責任者である管理者の管理範囲外にあるためです。
エンドユーザが常時異なるバージョンの会社所有のアプリケーションやスクリプト コンテンツをインストールおよびテストする必要がある、開発およびテスト環境では、信頼できるベンダ チェックが推奨されます。デジタル署名で任意の実行ファイルを署名すると、信頼できるベンダ チェックを構成し、必要に応じて、すべての署名されたコンポーネントの実行を許可することができます。
さらに、ブラックリストを作成して、特定のユーザが、レジストリ編集ツール、ファイル共有ツール、コントロール パネル コンポーネントへのアクセスなどのオペレーティングシステムの一部を含む、一般的に信頼できる所有者がインストールし、所有するアプリケーションにアクセスすることを防止してください。このブラックリストは、ホワイトリストとアプリケーション制限機能と併用すると、アプリケーション ライセンス管理でも使用できます。
信頼できる所有権
次のビデオは、Trusted Ownership に用いられている概念を紹介しています。
Application Control は安全なフィルタ ドライバと Microsoft NTFS セキュリティ ポリシーを使用して、すべての実行要求を傍受します。実行要求は Application Control フック経由で転送され、すべての望ましくないアプリケーションがブロックされます。アプリケーション資格はアプリケーションの所有権に基づき、一般的に管理者用である既定の信頼できる所有権を使用します。この方法を使用すると、現在のアプリケーション アクセス ポリシーは、スクリプトやリスト管理なしで施行されます。これは信頼できる所有権と呼ばれます。実行ファイルのほかに、Application Control は、VBScripts、バッチ ファイル、MSI パッケージ、レジストリ構成ファイルなどのアプリケーション コンテンツへの資格も管理します。
Application Control は PowerShell version 2.0以降のみをサポートします。これはエンドポイントにインストールする必要があります。「スクリプト化された条件」もご参照ください。
信頼できる所有権は、Application Control でアプリケーションへのアクセスを制御するための既定の方法です。Discretionary Access Control (DAC) モデルを使用します。ファイルの所有者属性を検査し、定義済みの信頼できる所有者のリストと比較します。ファイルの所有者がリストに表示される場合は、ファイルの実行権が付与されます。そうでない場合は拒否されます。実際にファイルを実行しようとするユーザに関係なく、この決定が行われます。
このセキュリティ モデルの重要な機能は、ファイル コンテンツ自体を考慮しないことです。この方法で、Application Control は、既知および不明なアプリケーションの両方を制御できます。ウイルス対策などの従来のセキュリティ システムは、ファイル パターンを既知のリストと比較し、潜在的な脅威を特定します。このため、提供される保護は、比較で使用するリストの正確性と直接的に比例します。多くのマルウェア アプリケーションは特定されないか、最善の場合でも、システムが一定期間脆弱性にさらされた状態の後で初めて特定されます。既定では、実行ファイルの所有者が構成の信頼できる所有者リストにある場合、Application Control では、すべてのローカルにインストールされた実行ファイル コンテンツを実行できます。管理者は、ローカル ディスク サブシステムから実行しないアプリケーションのリストを用意する必要があります。これらは、一般的に、mmc.exe、eventvwr.exe、setup.exe などの管理アプリケーションです。
このアプローチが使用される場合は、管理者はアプリケーション セットの機能に必要なすべての実行コードの詳細を見つける必要がありません。信頼できる所有権モデルでは、必要に応じて、アクセスが許可または拒否されるためです。
Application Control は実行ファイル スクリプト ベースのマルウェアがシステムに入るとすぐにそれを停止することができますが、Application Control は既存のマルウェア駆除ツールの代わりではなく、あくまでも補完的な技術として機能します。たとえば、Application Control はウィルスの実行を停止することができますが、ディスクから駆除することはできません。
Application Control と信頼できる所有権
Application Control は、[信頼できる所有権] ダイアログで定義される信頼できる所有者リストを管理します。このダイアログは、[グローバル設定] リボンからアクセスできます。
ユーザおよびグループは必要に応じて追加または削除できます。
すべての信頼できる所有者は削除しないでください。このようにすると、システムのアプリケーションが信頼されず、標準ユーザが何も実行できなくなります。
NTFS システムでは、ユーザまたはグループがファイルを所有できるため、両方を追加できます。信頼できる所有権の確認が実行されると、ファイル所有者のシステム識別子 (SID) が決定され、信頼できる所有者構成の SID のリストと照合されます。Application Control はグループを評価せず、グループのユーザを決定しません。これにより、Application Control は、コンピュータがネットワークに接続していないときに正常に機能し続け、この情報が使用できないことが保証されます。
信頼できる所有者ダイアログには2つのオプションがあります。
- 信頼できる所有権の確認を有効にする - 選択すると、信頼できる所有権の確認をオンにします。これが選択されていない場合、Application Control は一切の信頼できる所有権チェックを実行しないため、他のセキュリティ方法を構成して目的のセキュリティを実現する必要があります。
- 上書き、または名前の変更時にファイルの所有権を変更する - 特定のオペレーティング システムの既定値では、ファイルが上書きまたは名前変更されるときに、ファイルの所有権を保持します。これは、NTFS 権限が許可されるかのようにセキュリティの欠陥と見なされることがあります。ユーザはブロックされるはずのファイルで合法的なファイルを上書きすることができます。このオプションを選択すると、合法的なファイルがこのような方法で危険にさらされる場合に、所有権がユーザに変更され、信頼できる所有権によりファイルの実行が防止されます。
信頼できる所有権ルール
信頼できる所有権は、ログオンユーザを考慮する必要がありません。ログオンユーザが信頼できる所有者か、管理者かどうかということは問題ではありません。信頼できる所有権は、ディスクのファイルを所有するユーザ (またはグループ) の間で回転します。一般的に、これはファイルを作成したユーザです。
一般的には、Application Control コンソールの BUILTIN\Administrators グループをファイル所有者と見なします。ファイル所有者が個別の管理者のアカウントであることを確認することもできます。これにより、次の状況になります。
- ファイル所有者が BUILTINAdministrators グループであり、このグループは信頼できる所有者です。信頼できる所有権により、ファイルを実行できます。
- ファイル所有者が個別の管理者であり、個別の管理者は信頼できる所有者です。信頼できる所有権により、ファイルを実行できます。
- ファイル所有者は個別の管理者であり、個別の管理者は信頼できる所有者ではありませんが、BUILTINAdministrators グループが信頼できる所有者です。信頼できる所有権により、ファイルを実行できません。
最後の場合には、ファイルを所有する管理者が BUILTINAdministrators グループであっても、ファイル所有者は信頼されません。個別の所有者が信頼できるかどうかを判断するためにグループは展開されません。この場合、ファイルの実行を許可するには、ファイルの所有権を BUILTINAdministrators の所有権に変更する必要があります。
信頼できるベンダ
各 Application Control ルール ノードで信頼できるベンダを指定できます。信頼できるベンダは、有効なデジタル証明書のリストを出力するために使用されます。デジタル証明書は、公開鍵と ID を結合するために、デジタル証明書を使用する電子文書です。これには、個人名または組織名、アドレスなど情報が含まれます。デジタル証明書は認証局によって発行され、公開鍵が個人に属することを検証するために使用されます。Application Control は、各ファイル実行を問い合わせ、デジタル証明書の存在を検出します。ファイルに有効なデジタル証明書があり、署名者が信頼できるベンダ リストのエントリと一致する場合は、ファイルの実行が許可され、信頼できる所有権の確認が無効になります。
[プロパティ] ダイアログを表示すると、ファイルにデジタル証明書があるかどうかを確認できます。署名者情報、詳細設定、証明書を表示するオプションを含む、証明書の詳細を表示できる [デジタル署名] タブがある場合、ファイルにはデジタル署名があります。
詳細については、「証明書を信頼できるベンダに追加する」をご参照ください。
デジタル署名
デジタル署名は、ファイルの実際の内容に従って、ファイルを正確に特定する手段を提供します。各ファイルは検査され、内容に応じて、指紋に例えることができるデジタル ハッシュが生成されます。Application Control は業界標準の SHA-1、SHA256、および Adler-32ハッシュを使用します。ファイルが何らかの方法で変更された場合、SHA-1ハッシュも変更されます。
[詳細設定] ダイアログの [署名] ドロップダウンから、他のアルゴリズムを選択できます。
デジタル ハッシュは正確であるため、究極のセキュリティ方式と考えられています。ファイル以外の他のすべての要因に関係なく、各ファイルを特定します。たとえば、管理者はコンピュータ システムのすべての実行ファイルのデジタル ハッシュを取得し、それらを記録します。ユーザはアプリケーションを実行しようとします。アプリケーションのデジタル ハッシュが計算され、記録された値と比較されます。一致がある場合、アプリケーションに実行権が付与されます。そうでない場合は拒否されます。この方法ではゼロデイ保護も導入されます。新しいアプリケーションの導入を防止するだけではなく、マルウェアに感染されたすべてのアプリケーションをブロックします。
デジタル署名は信頼できる所有権に似た保護を提供しますが、セキュリティ システムの維持に伴う時間と管理も考慮する必要があります。アプリケーションは、サービスパック、不具合修正、脆弱性パッチによって常に更新されています。つまり、すべての関連付けられたファイルも常に更新されます。このため、サービスパックが Microsoft Office に適用される場合などには、更新された部分が動作するために、更新されたファイルの新しいデジタル ハッシュを取得する必要があります。更新が利用可能なときには、ダウンタイムをなくすために、これらが使用可能であることを確認してください。また、古い署名を削除することをお勧めします。
署名ウィザード
Application Control には署名ウィザードがあり、デジタル署名を個別のファイルまたはグループに適用することができます。デジタル署名は、フォルダとサブフォルダをスキャンする方法か、実行中のプロセスを検査する方法のいずれかでグループ化できます。
[ライブラリ] > [グループ管理] ノードの下でグループを選択すると、[グループ] リボンで署名ウィザードを使用できます。
署名ウィザードの [フォルダの検索] オプションは、選択したフォルダのすべての実行ファイルとスクリプトベースのファイルをスキャンし、デジタル ハッシュを自動的に計算します。[実行中のプロセスを検査] オプションでは、現在実行中のプロセスを選択できます。プロセスは、現在読み込まれているすべての実行ファイルとともにスキャンされ、デジタル ハッシュが計算されます。
署名が既に計算されているファイルが見つかった場合、重複の通知が表示されます。構成で重複するハッシュは必要ありません。ファイルがサービスパックなどの方法で更新される場合、署名ファイル グループを選択し、再スキャンを選択することができます。すべてのデジタル署名が自動的に更新され、新しい構成を配布できます。
ホワイトリスト
ホワイトリスト アプローチでは、ユーザがオペレーティング システムのアプリケーションを要求する前に、すべての実行ファイルの内容をあらかじめ定義する必要があります。この方法で特定されたすべてのコンテンツの詳細はホワイトリストに保持され、実行要求が発生するたびに確認される必要があります。実行ファイルがホワイトリストにある場合は許可されます。ない場合は、拒否されます。
ごく一部のセキュリティ技術はこの方法で動作しますが、多くの場合、実装後に必要な管理のレベルに関する問題が発生します。これは、すべてのパッチ、サービスパック、およびアップグレードをホワイトリストに追加して管理する必要があるためです。
Application Control はこのモデルの制御を完全にサポートし、モデルでセキュリティを強化するための重要なステップを追加しています。このような追加の1つとして、SHA-1、SHA-256、および Adler-32を含めることができるため、アプリケーション名とファイル パスが一致する必要があるだけではなく、実行ファイルのデジタル署名がデータベースの署名と一致する必要もあります。さらに、Application Control は実行ファイルの完全パスをリストに追加し、アプリケーション実行の前に、次のすべての3つの項目が一致することを確認します。
ファイル名 - winword.exe など
ファイル パス - C:\Program Files\Microsoft Office\Office\digital signature など
さらに制御を高めるための技術として、Application Control は、実行ファイルの詳細を取得するだけではなく、管理者が特定の DLL と、ActiveX コントロール、Visual Basic スクリプト、コマンド スクリプトなどの他のすべての実行ファイルの内容を指定することを要求します。
Application Control では、ホワイトリストは許可された項目です。許可された項目リストの項目
- ファイル
- フォルダ
- ドライブ
- 署名項目
- ネットワーク接続項目
- Windows Store アプリ
- グループ
- 信頼できる所有権
- アクセス回数
詳細については、「許可された項目」と「ルール項目」をご参照ください。
ブラックリスト
ホワイトリストとは対照的に、ブラックリストは可能性が低いセキュリティ対策です。実行が拒否されるアプリケーションを含むリストが生成され、管理されます。これは、すべての危険なアプリケーションを実際に確認済みであることを前提とするため、この方法の主な欠点です。ほとんどの企業において、特に、電子メールとインターネット アクセス、およびユーザがファイルとアプリケーションを管理者の介入なく導入することができるかどうかに関しては、これはほとんど役に立ちません。
Application Control は拒否されたアプリケーションのリストをアクティブに管理する必要がありません。インストールされず、管理者が所有するすべてのアプリケーションは信頼できる所有権の使用によって拒否されるためです。
ブラックリスト経由でアプリケーションを禁止する主な理由の1つは、管理者が後から明示的に特定のユーザ/グループまたはクライアント ルールを定義して、ほぼ同じアプリケーションへのアクセスを許可するまでは、既知の (信頼でき、所有されている) アプリケーションの実行を禁止することによって、ライセンス管理で信頼できる所有権を使用できるようにすることです。外部アプリケーションを許可する場合を除き、この保護には構成は必要ありません。また、セキュリティ リスクと見なされる、信頼できる所有者が所有するファイルへのアクセスを拒否する際にも、ブラックリストが有用です。たとえば、regedit.exe、ftp.exe などです。