システムセキュリティについて話すとき、ホワイトリストと呼ばれる用語をよく耳にします。 しかし、あなたはそれが何であるか疑問に思いましたか? そして、それはどのように役立ちますか? ホワイトリストという用語は1884年に初めて使用され、信頼できる電子メール送信者のリスト、 MACアドレス、システム上で実行できる信頼できるアプリケーションのリストなどに基づいて許可されたシステム。
サイバー攻撃の数が増えるにつれ、悪意のあるファイルとクリーンなファイルを区別することが不可欠になりました。 Microsoftは常に、さまざまなセキュリティ機能を提供することでユーザーの保護に努めてきました。 Windows 7のリリース以降、WindowsAppLockerと呼ばれるアプリケーションホワイトリストの新機能が追加されました。
この記事では、機能について説明します。どのように構成できますか? そして、どのようなメリットがありますか? これらの詳細を詳しく見ていきましょう。
また読む: マルウェア対策保護でMacを健康に保つ
ほとんどの人はホワイトリストという用語を聞いたことがあるでしょうが、それがどのように機能するかを理解しようとした人はほとんどいないでしょう。 それを使用することはそれほど難しいことではありませんが、何年にもわたってそれを維持することはかなりの仕事かもしれません。 しかし、これはそれを使用することの利点を根絶するものではありません。 適切な方法で実装された場合、それは間違いなく価値があります。
ただし、それを知っていて、エンドユーザーのローカル管理者権限をすでに削除している人が少ない場合は、高く評価してください。 これは確かに、システムの安全性を確保するための確かな一歩です。 しかし、物事はここで終わりではありません。 ワークステーションを保護するには、他のことも行う必要があります。
なぜそうなのか? さて、最近、あなたはあなたがローカル管理者であるかどうかを検出するアプリケーションを見つけるかもしれません。 そうでない場合は、ローカル管理者権限がなくてもインストールを完了する許可を求められます。
ローカル管理者権限のないエンドユーザーがそのようなアプリケーションをインストールできる場合、攻撃者もインストールできます。 これは、アプリケーションのホワイトリストが機能し、これが行われないようにする場所です。
また読む: 世界を震撼させたデータ漏えい
エンタープライズバージョンを使用している場合は、まず最初にAppLockerのライセンスを取得しています。 つまり、基本設定を構成するだけです。
構成するには、特定の前提条件を確認する必要があります。
1. エンタープライズバージョンのWindows7以降を使用しているかどうかを確認します。 これを行うには、[マイコンピュータ]を右クリックし、コンテキストメニューから[プロパティ]を選択します。 これにより、すべての情報を含むウィンドウが開きます。
2. 次に、グループポリシーを使用してAppLockerを構成するには、ActiveDirectoryドメインに属しているかどうかを確認します。 これを行うには、[マイコンピュータ]を右クリックし、コンテキストメニューから[プロパティ]を選択します。 これにより、すべての情報を含むウィンドウが開きます。
すべてが揃っている場合は、さらに先に進むことができます。
3. 次に、AppLockerポリシーを適用するシステムにリンクされたグループポリシーを作成します。 詳細については、以下のスクリーンショットを参照してください。
4. ここで、グループポリシーの下で、AppLockerの動作を構成する必要があります。 AppLockerの設定は、「コンピューターの構成\ポリシー\ Windowsの設定\セキュリティの設定\アプリケーション制御ポリシー」にあります。
AppLockerルールは、次のルールを作成できる5つの部分に分かれています。
また読む: ゼロデイエクスプロイトと脆弱性について知ることができるすべて
初めて行う場合は、[監査のみ]を選択し、デフォルトルールの使用を開始します。 デフォルトのルールを選択した後のウィンドウは、以下のスクリーンショットのようになります。
これでほぼ完了です。最後に行う必要があるのは、グループポリシーで構成することです。これはアプリケーションIDサービスです。
同じグループポリシー内で指定するには、[コンピューターの設定]、[ポリシー]、[Windowsの設定]、[セキュリティの設定]の順に移動します。 システムサービス\アプリケーションIDとそれを自動に設定するそこに、あなたのAppLockerは基本的なものでセットアップされています 設定。
注:[監査]を選択した場合は、Windowsイベントビューアーの[アプリケーションとサービスのログ] \ [Microsoft \ Windows \ AppLocker]でログを確認できるのは自分だけです。 また、デフォルトのルールでは、C:\ programファイル、C:\ programファイル(x86)、およびC:\ Windowsの下にあるファイルのみが実行されるようになっていることに注意してください。 これは、システムを確実に保護するための最も安全な方法です。 マルウェアがAppdata内に配置されているかのように、ログを確認した後で[ルールの適用]を選択した場合にのみ、AppLockerはマルウェアの実行を阻止します。
または、デジタル署名を使用してアプリケーションを信頼することもできます。 このルールを作成するには、発行者ルールを作成してから、別のセクションで新しいルールを定義する必要があります。
上記の手順を実行すると、すべての設定が完了し、システムが保護されます。 私の意見では、アプリケーションのホワイトリストは無視してはならない重要なステップです。 私たちまたはクライアントのマシンで実行されるものを制御する必要があります。 不要なものの実行を停止すると、セキュリティが確保されます。 セキュリティの層を追加してみてください。