前回は、BOM同梱のテンプレート/監視設定を利用して、ログオンや認証のセキュリティに関する監査ログの監視について説明しました。今回は、BOMによるセキュリティ監視の応用編です。サーバー上で実行された不審なプロセスをBOMで検知することを試みます。不審なプロセスとは、例えば、定義済みの許可リストに含まれない、あるいは想定外の場所からの実行可能ファイル(.exe)やインストーラー、スクリプトの実行です。
AppLockerの監査モードを活用する
BOM for Windows ver 8.0 SR1(以下、BOM)には、「プロセスリスト監視」という監視設定があり許可リストまたは拒否リストに含まれるプロセスを継続的に監視することができます。適切な許可リストを作成できれば、そのリストにないプロセスの起動を監視できます。今回は、「プロセスリスト監視」とは全く別のアプローチで不審なプロセスを監視する方法を紹介します。WindowsのAppLockerとBOMを組み合わせた方法です。
「AppLocker」は、Windows Server 2008 R2およびWindows 7 EnterpriseおよびUltimateエディションで導入された、従来の「ソフトウェアの制限のポリシー(Software Restriction Policies≪SRP≫)」(※1)を置き換える、機能強化されたソフトウェア制限機能です。少し前までは、Windows ServerおよびWindowsクライアントのEnterpriseエディション限定の機能でしたが、現在サポートされているWindows 10/11ではエディションの要件が削除され、エディションに関係なくサポートされるようになりました(※2)。
AppLockerを使用すると、規則として定義した許可リストや拒否リストに基づいて、実行可能ファイルやWindowsインストーラー(MSI)、スクリプト、ストアアプリ(Windows 10/11)の実行を許可または禁止することを強制することができます。規則では、実行するユーザー、ファイルハッシュ、パス、ファイルバージョンなど、詳細な条件で評価させることができます。また、監査モードを利用すると、その実行を禁止することなく、イベントログに強制された場合の実行の可否を記録することができます。
AppLocker とは(Microsoft)
※1 AppLockerが登場する以前は、エディションに関わらずSRPを利用することができましたが、SRPはWindows 10バージョン1803以降およびWindows Server 2019以降で非推奨になりました。ポリシー設定は残っていますが、Windows 10バージョン1703以降からは正常に機能しなくなっています(→Microsoft)。
※2 詳しくは、サポート技術情報「KB5024351」(→Microsoft)で説明されています。KB5024351以前は、グループポリシーによるAppLockerの展開は、WindowsクライアントのEnterpriseエディションとWindows Serverに限定されていました。
AppLockerによる規則の強制は、システムの安定稼働に影響する可能性があるため、評価モードで一定期間十分にテストした上で、行うべきです。BOMを使用すると、AppLockerで強制された実行のブロックや、監査モードでのブロックの評価を監視することができます。BOMは、その両方を監視することができます。
ここでAppLockerの設定について詳しく説明するつもりはありませんが、大まかに説明します。まず、グループポリシーまたはローカルセキュリティポリシーの「セキュリティの設定¥アプリケーション制限ポリシー¥AppLocker」の「実行可能ファイルの規則」「Windowsインストーラーの規則」「スクリプトの規則」「パッケージアプリの規則」(Windows 10/11のみ)に規則(既定の規則+カスタム規則)を定義します(画面1)。
画面1 AppLockerで強制または監査する規則を構成する
次に、「Application Identity(AppIDSvc)」サービスのスタートアップを「自動」に変更します。なお、AppIDSvcのスタートアップは「サービス」スナップインでは変更できないため、コマンドプロンプトで「sc.exe config appidsvc start=auto」を実行して変更するか、グループポリシーの「セキュリティの設定¥システムサービス」でスタートアップを構成します。また、「sc.exe start appidsvc」または「net start appidsvc」または「サービス」スナップインを使用してサービスを開始しておきます。
最後に、「セキュリティの設定¥アプリケーション制限ポリシー¥AppLocker」の「規則の実施の構成」を開き、規則を強制(規則の実施)するか、監査モード(監査のみ)を選択します(画面2)。先に行ったように、AppLockerは監査モードからはじめることを強くお勧めします。
画面2 AppLockerを監査モードではじめる
AppLockerをBOMで監視する
AppLockerによる規則の強制または監査モードでの評価は、イベントログの以下のログで確認することができます(画面3)。これらのログから、ブロックされた(実施強制)またはブロックと評価された(監査モード)実行可能ファイルやスクリプトのイベントログをBOMで監視すればよいのです。
- Microsoft-Windows-AppLocker/EXE and DLL
- Microsoft-Windows-AppLocker/MSI and Script
- Microsoft-Windows-AppLocker/Packaged app-Deployment
- Microsoft-Windows-AppLocker/Packaged app-Execution
画面3 監査モードのAppLockerが記録したログ
AppLockerが記録するログのイベントIDについては、以下のドキュメントで説明されています。画面4は、実施強制と監査モードの両方について、実行可能ファイルとMSIおよびスクリプトのブロック/ブロック評価を監視するための、BOMの「イベントログ監視」の設定例です。
AppLocker でのイベント ビューアーの使用(Microsoft)
画面4 BOMのイベントログ監視を用いて、AppLockerの実施強制および監査モードを監視する
AppLockerが機能するには、AppIDSvcサービスが実行中であることが大前提です。悪意のある物は、AppLockerの動作を無効化するために、このサービスの停止を試みるかもしれません。そこで、BOMの「サービス監視」を追加して、AppIDSvcの状態を監視させます(画面5)。
画面5 AppLockerが依存するAppIDSvcの状態を監視する
この2つの監視設定により、BOMを使用してAppLockerの状況を監視させることで、サーバー上で不審なプロセスが実行されようとしていないかどうかをいち早く知ることができます(画面6)。監視ステータスが「注意」または「危険」と通知されたら、BOMの収集されたイベントログを調べて、いつ、誰が、どの実行可能ファイルやスクリプトを実行しようとしたのかを追跡することができます。
画面6 AppLockerとBOMの組み合わせにより、不審なプロセスの実行の可能性をいち早く察知できるようになる
監査モードでのAppLockerの運用開始から一定期間は、正規のプログラムやスクリプトをブロック対象として評価されてしまうでしょう。AppLockerの規則を見直して調整を繰り返して精度を高めていけば、本当に不審なプロセスにターゲットを絞り込むことができます。BOMによる監視は、監査モードにおけるその調整プロセスの期間短縮に役立つはずです。
