App Control for Businessを利用したアプリ実行の制限

Microsoft Intune

突然ですが App Control for Business ってご存じですか?
それでは Windows Defender Application Control ってご存じですか?
それでは Device Guard ってご存じですか?

これらはすべてアプリケーションの実行を制御する目的で作られた機能で、実行できるアプリケーションを制限しておけばマルウェアが実行できなくなるでしょ?という発想から生まれた機能です。

Device Guard – ちょっとだけ歴史の話

時代は Windows 10 がリリースされた頃、Device Guard と呼ばれる名称でこの機能は提供されていました。
Device Guard は実行するアプリケーションにデジタル署名がついているか?そして適切な認証局から発行された証明書を使ってデジタル署名が施されているか?をチェックする仕組みで
これをハイパーバイザーで保護されたコード整合性 (HVCI) を利用して実現するという、簡単に言うとハードウェアレベルでチェックするというものでした (ざっくり過ぎる説明でごめんなさい)。
もうちょっとだけ細かい話をすると Device Guard にはカーネルモードで実行するドライバーなどをチェックする仕組みである KMCI と、アプリケーションの実行をチェックする仕組みである UMCI があり、どちらも HVCI のテクノロジーを利用して実現するものになっています。

image

これが時代の変化と共に Windows Defender Application Control (WDAC) と呼ばれるようになり、さらに最近になって App Control for Business と呼ばれるようになったのです。

App Control for Business

ここまでの説明からもわかるように App Control for Business は要するに適切な署名がついていないアプリケーションの実行を制限する機能で、利用するときは Microsoft Intune から直接ポリシーを作って実装できるようになっています。ただし、設定は XML ファイルを作って実装する必要があり、XML ファイルをどうやって作るんだ?という課題があります。
そこでマイクロソフトではルールを定めた XML ファイルを簡単に作成できるツールを提供しています。

webapp-wdac-wizard.azurewebsites.net
Microsoft App Control Wizard
https://webapp-wdac-wizard.azurewebsites.net

このサイトからアプリをダウンロードしてインストールすると、
スタートメニューから App Control Policy Wizard を実行するとポリシー作成画面が登場します。Policy Creator をクリックして、

image

その後、Multiple Policy Format をクリックすると次のような画面が出てきます。

image

この画面ではどこまでのアプリケーションの実行を許可するかを定めたポリシーの種類で、左は既定のアプリケーションのみ、中央はマイクロソフト製アプリのみ、右は ISG によって信頼されたアプリのみ実行許可という分類になっています。どれを選ぶとどこまでの実行が許可されるか?の詳細は MS Learn サイトに説明があるので参考にしてください。

learn.microsoft.com
ビジネス ベース ポリシーのアプリコントロールの例
https://learn.microsoft.com/ja-jp/windows/security/application-security/application-control/app-control-for-business/design/example-appcontrol-base-policies
organizationの App Control for Business ポリシーを作成する場合は、使用可能な多くの基本ポリシーの例のいずれかから開始します。

ウィザードを次へ進めると次のような画面が出てきます。

image

UMCI (User Mode Code Integrity) を有効化するか?の設定と共に注目してほしいのが Managed Installer という項目。Managed Installer は Intune から展開されたアプリケーションの実行を許可するか?を示す設定で、ここをオンにしておくと Intune から展開したアプリはすべて実行可能になります (カーネルドライバーなど一部例外あり)。

Intune では会社で定めたアプリケーション以外を利用させないようにする時って
iOSだったらVPP経由でインストールしたものだけ有効とか、AndroidだったらManaged Google Playからインストールしたものだけ有効とかあったと思うのですが Windowsには同様の機能ってないので (ローカル管理者の権限を与えなきゃいいじゃんってツッコミありそう)
その代替機能として利用できるのではないかと思っています。

さらに Audit Modeをオフにしておけば設定を強制できます。

話を進めましょう。ウィザードをさらに進めるとどの発行元から発行された署名を持つアプリの実行を許可するか?という画面が出てきます。他のものも許可したければ Add Custom を選択すれば追加できます。Add Custom を使うと発行元を指定したり、特定のフォルダーに入っているアプリの実行を追加で許可したりすることができます。

image

以上の設定ができたら XML ファイルができあがるので、これを Intune 管理センターの
エンドポイントセキュリティ > ビジネス向けアプリコントロール > ポリシーからポリシーを新規作成してインポートします。

image

ポリシーができたら、マネージドインストーラータブから [Intune マネージド拡張機能をマネージド インストーラーとして有効にする] という設定も有効にするポリシーを同時に作成してください。

image

結果発表

では Intune も使わずに勝手にインストールした Tor ブラウザーを起動してみましょう。

image

こんな感じでブロックされたことがわかります。

【参考サイト】
App Control for Business の設計ガイド | Microsoft Learn
vol.81 かつてWDACと呼ばれた「ビジネス向けアプリコントロール」に新展開手段|Windows Server 2025大特集(18)

Suguru KUNII