はじめに
前回は、端末のセキュリティを強化したいと題して、Microsoft Defender for Endpoint (以下、MDE) をオンボードした Windows 端末を Azure AD に参加させて、Intune 管理デバイスとして登録する手順を紹介しました。
今回は、攻撃面の減少 (以下、ASR) ルールの設定方法、特にセキュアスコアに関係する攻撃の回避規則について紹介し、MDE をオンボードした Windows 端末のセキュリティ強化を行っていきたいと思います。
ASR ルールを設定しよう
1. Microsoft Intune 管理センター (https://endpoint.microsoft.com) にアクセスします。テキストラベルのエンドポイントセキュリティを選択し、左ペインの攻撃面の減少をクリックします。攻撃面の減少の画面が表示されるので、ポリシーの作成をクリックします。
2. 画面右側にプロファイルの作成の画面が表示されるので、プラットフォームを「Windows 10、Windows 11、Windows Server」を選択し、プロファイルを「攻撃の回避規則」を選択します。その後、作成ボタンをクリックします。
3. プロファイルの作成の基本タブ画面が表示されるので、名前を入力し次へのボタンをクリックします。
4. 構成設定タブの画面が表示されるので、基本的にブロックを選択しましょう。「普及率、期間・・・実行されないようにする」については、自作のプログラムを作成している人などは実行時にエラーとなってしまうので、適宜オフにするようにしてください。選択が完了したら、次へのボタンをクリックします。
5. スコープタグの画面が表示されるので、デフォルトのまま次へをクリックします
6. 割り当ての画面が表示されるので、「デバイスをすべて追加」をクリックして、組み込まれたグループにすべてのデバイスが表示されていることを確認します。その後、次へをクリックします
7. 確認および作成の画面が表示されるので、作成のボタンをクリックします。これで ASR ルールの設定は完了です。
Intune と同期してプロファイルを適用しよう
1. 続いて Intune と同期してプロファイルを手動で適用する手順についてみていきましょう。基本的に一定時間おきにクロールして自動的に同期していますが、すぐにプロファイルを適用したい場合には以下の手順を参考にしてください。まず MDE をオンボードした Windows 端末に Intune ポータルサイトアプリをストアアプリ経由でインストールします。インストール完了後、端末を再起動します。再起動完了後、ポータルサイトにログインし、左ペインの設定を選択し、同期ボタンをクリックします。
2. 同期完了後、Microsoft Intune 管理センターにアクセスします。テキストラベルのエンドポイントセキュリティを選択し、右ペインの攻撃面の減少をクリックします。先ほど作成した ASR ルールが表示されているのでクリックします。
3. ASR ルールの画面が表示されるので、成功に 1 以上の数字が表示されていればプロファイルの適用が成功しています。詳細については、その下のレポートの表示をクリックすれば、適用されたデバイス一覧が表示されます。
終わりに
今回は攻撃面の減少 (ASR) ルール、特にセキュアスコアに関係する攻撃の回避規則について紹介し、MDE をオンボードした Windows 端末のセキュリティ強化を行いました。次回は、モバイル端末のセキュリティ強化の観点で、iPhone を MDE にオンボードする手順について紹介していきたいと思います。
コメント