ビュー:

アプリケーションコントロールでロックダウンモードを有効にする前に環境を設定する方法。

重要
重要
ロックダウンモードは、Trend Vision One Endpoint SecurityエージェントインストーラーやWindows Updateなどの重要なプログラム機能をブロックする可能性があります。このトピックを確認して、信頼できるプログラムを実行し、ロックダウンモード中に更新を行う方法を理解してください。
Server & Workload ProtectionはすべてのMicrosoftプロセスの更新を許可することができず、Windowsセキュリティ更新をオフにすることはできません。Server & Workload Protectionにロックダウンモードを適用する場合、Windowsの更新リリースサイクルをモニタし、更新をインストールするためにロックダウンモードを無効にするタイミングを計画してください。
アプリケーションコントロールのロックダウンモードは、Endpoint Security Policiesにおいて、新しいまたは信頼されていないソフトウェアがエンドポイントにインストールまたは実行されるのをブロックするオプションを提供します。ロックダウンモードを有効にすると、Trend Vision One Endpoint Securityエージェントはインベントリ検索を実行し、エージェントが実行を許可する既存のアプリケーションとインストールされたソフトウェアのリストを作成します。エージェントは以下の場合にアプリケーションをブロックします:
  • アプリケーションはエンドポイントのインベントリ検索リストに見つかりません
  • アプリケーションは信頼済みプログラムリストにありません
  • アプリケーションは[許可]アクションのアプリケーションコントロールルールに一致しません
  • アプリケーションは[ブロック]アクションのアプリケーションコントロールルールに一致します
Windows Updateは動作とプロセスの使用において複雑なアプリであり、Microsoftの更新をインストールするためには複数のアプリケーションコントロールルールが必要です。
  • 一部のエンドポイントでは、.NET FrameworkまたはWindows Defenderがインストールされていると、他のエンドポイントとは異なる更新パッケージがトリガーされます。
  • インストールパッケージはWindowsプラットフォームによって異なります。たとえば、Windows 10とWindows 11のインストールパッケージは、同じ問題に対処する更新であっても完全に異なる場合があります。
  • 更新パッケージは、異なる言語パッケージがインストールされたエンドポイントごとに異なります。更新パッケージは、Windowsプラットフォームのシステム言語に応じて選択されます。
ロックダウンモードを有効にする前に、ロックダウン中に重要な機能がブロックされないようにするために、以下の手順を使用してください。

手順

  1. 除外の[信頼済みプログラムリスト]にプログラムを追加します。
    重要
    重要
    Standard Endpoint Protectionエンドポイントのみがロックダウンモードで信頼されたプログラムリストの使用をサポートしています。Server & Workload Protectionエンドポイントの場合、信頼されたプログラムをロックダウンモードで実行するには、アプリケーションコントロールルールを作成する必要があります。
  2. Trend Microアプリが実行および変更を行えるようにするアプリケーションコントロールルールを作成してください。
    重要
    重要
    Server & Workload Protectionは、証明書の値にワイルドカードを含むルールをサポートしていません。Trend Microアプリの更新を許可するために、更新がスケジュールされているときはロックダウンモードを無効にすることをTrend Microは推奨します。
    1. Trend Vision Oneコンソールで、[エンドポイントセキュリティ][Endpoint Security Configuration][ポリシーリソース][アプリケーションコントロールルール] の順に選択します。
    2. [Add Application Control rule]をクリックします。
    3. [名前][説明]を入力してください。
      Allow Trend Microのように、識別しやすいものを使用してください。
    4. [処理]のために[許可]を選択します。
    5. [種類] で、[証明書] を選択します。
    6. [Property] で、[Subject name (CN)] を選択します。
    7. [値] に、Trend Micro*と入力します。
    8. [保存] をクリックします。
  3. Microsoft Updateを実行して変更を加えることを許可するアプリケーションコントロールルールを作成します。
    1. Trend Vision Oneコンソールで、[エンドポイントセキュリティ][Endpoint Security Configuration][ポリシーリソース][アプリケーションコントロールルール] の順に選択します。
    2. [Add Application Control rule]をクリックします。
    3. [名前][説明]を入力してください。
      Allow Windows Updateのように識別しやすいものを使用してください。
    4. [処理]のために[許可]を選択します。
    5. [種類] で、[ファイルパス] を選択します。
    6. [パス]には、C:¥Windows¥System32¥wuauclt.exeを入力してください。
    7. [保存] をクリックします。
  4. Microsoft Corporationによって署名されたアプリのためにアプリケーションコントロールルールを作成します。
    1. 新しいルールを作成するには、[Add Application Control rule] をクリックします。
    2. [名前][説明]を入力してください。
      Allow Microsoft Apps-1のように識別しやすいものを使用してください。
    3. [処理]のために[許可]を選択します。
    4. [種類] で、[証明書] を選択します。
    5. [Property] で、[Subject name (CN)] を選択します。
    6. [値] に、Microsoft Corporationと入力します。
    7. [保存] をクリックします。
  5. Standard Endpoint Protectionの展開では、発行者がMicrosoftであるアプリを許可する追加のルールを作成してください。
    重要
    重要
    Server & Workload Protectionは、証明書値にワイルドカードを含むルールをサポートしていません。Microsoftアプリを許可するための追加ルールについては次の手順を参照してください。
    1. 新しいルールを作成するには、[Add Application Control rule] をクリックします。
    2. [名前][説明]を入力してください。
      Allow Microsoft Apps-2のように識別しやすいものを使用してください。
    3. [処理]のために[許可]を選択します。
    4. [種類] で、[証明書] を選択します。
    5. [Property] で、[発行組織 (O)] を選択します。
    6. [値] に、Microsoft Corporationと入力します。
    7. [追加]をクリックします。
    8. [Property] で、[Issuer name (CN)] を選択します。
    9. [値] に、Microsoft*と入力します。
    10. [保存] をクリックします。
  6. ポリシーをServer & Workload Protectionエージェントに適用する場合、Microsoft署名済みアプリ用にさらに2つのアプリケーションコントロールルールを作成してください。
    1. 最初のルールを作成するには、[Add Application Control rule] をクリックします。
    2. [名前][説明]を入力してください。
      Allow Microsoft Apps-3のように、識別しやすいものを使用してください。
    3. [処理]のために[許可]を選択します。
    4. [種類] で、[証明書] を選択します。
    5. [Property] で、[Subject name (CN)] を選択します。
    6. [値] に、Microsoft Windows Publisherと入力します。
    7. [保存] をクリックします。
    8. 次のルールを追加するには、[Add Application Control rule]をクリックしてください。
    9. [名前][説明]を入力してください。
      Allow Microsoft Apps-4のように、識別しやすいものを使用してください。
    10. [処理]のために[許可]を選択します。
    11. [種類] で、[証明書] を選択します。
    12. [Property] で、[Subject name (CN)] を選択します。
    13. [値] に、Microsoft Windowsと入力します。
    14. [保存] をクリックします。
  7. Microsoft .NETが実行および変更を行えるようにするアプリケーションコントロールルールを作成してください。
    1. [Add Application Control rule]をクリックします。
    2. [名前][説明]を入力してください。
      Allow Microsoft NETのように、識別しやすいものを使用してください。
    3. [処理]のために[許可]を選択します。
    4. [種類] で、[ファイルパス] を選択します。
    5. [パス]には、別々の行に入力してください。
      • C:¥Windows¥assembly¥*
      • C:¥Windows¥Microsoft.NET¥*
    6. [保存] をクリックします。
  8. 信頼する他のプログラムがロックダウンモードで実行できるようにアプリケーションコントロールルールを作成してください。
    詳細については、ポリシーリソースのアプリケーションコントロールルールを参照してください。