Windows 10 のセキュリティ機能を使用して脅威を軽減する

Windows 10 のセキュリティ機能を使用して脅威を軽減する
2017/06/01

【外部リンク】
https://docs.microsoft.com/ja-jp/windows/threat-protection/overview-of-threat-mitigations-in-windows-10
EMET の XML 設定ファイルを Windows 10 の軽減策ポリシーに変換する

EMET の利点の 1 つは、EMET の軽減策の構成設定を XML 設定ファイルとしてインポート/エクスポートして、簡単に展開できることです。 EMET の XML 設定ファイルから Windows 10 の軽減策のポリシーを生成するには、ProcessMitigations PowerShell モジュールをインストールします。 管理者特権の PowerShell セッションで、次のコマンドレットを実行します。
PowerShell

コピー
Install-Module -Name ProcessMitigations
Get-ProcessMitigation コマンドレットは、レジストリや実行中のプロセスから、現在の軽減策の設定を取得するか、またはすべての設定を XML ファイルに保存することができます。
notepad.exe の実行中のすべてのインスタンスで、現在の設定を取得するには:
PowerShell

コピー
Get-ProcessMitigation -Name notepad.exe -RunningProcess
notepad.exe のレジストリ内の現在の設定を取得するには:
PowerShell

コピー
Get-ProcessMitigation -Name notepad.exe
プロセス ID 1304 で実行中のプロセスの現在の設定を取得するには:
PowerShell

コピー
Get-ProcessMitigation -Id 1304
すべてのプロセスの軽減策の設定をレジストリから取得して、それを xml ファイル settings.xml に保存するには:
PowerShell

コピー
Get-ProcessMitigation -RegistryConfigFilePath settings.xml
Set-ProcessMitigation コマンドレットを使うと、プロセスの軽減策の有効化と無効化を行えます。また XML ファイルから設定を一括で行えます。
"notepad.exe" の現在のプロセスの軽減策をレジストリから取得し、MicrosoftSignedOnly を有効化して、MandatoryASLR を無効化するには:
PowerShell

コピー
Set-ProcessMitigation -Name Notepad.exe -Enable MicrosoftSignedOnly -Disable MandatoryASLR
XML ファイルからプロセスの軽減策を設定するには (XML ファイルは get-ProcessMitigation -RegistryConfigFilePath settings.xml によって生成できます):
PowerShell

コピー
Set-ProcessMitigation -PolicyFilePath settings.xml
システムの既定値を MicrosoftSignedOnly に設定するには:
PowerShell

コピー
Set-ProcessMitigation -System -Enable MicrosoftSignedOnly
ConvertTo-ProcessMitigationPolicy コマンドレットは、軽減策のポリシー ファイルの形式を変換します。 構文は次のとおりです。
PowerShell

コピー
ConvertTo-ProcessMitigationPolicy -EMETFilePath <String> -OutputFilePath <String> [<CommonParameters>]
例:
EMET 設定から Windows 10 設定への変換: EMET XML 設定ファイルを入力として、ConvertTo-ProcessMitigationPolicy を実行し、Windows 10 軽減策設定のための結果ファイルを生成します。 以下に例を示します。
PowerShell

コピー
ConvertTo-ProcessMitigationPolicy -EMETFilePath policy.xml -OutputFilePath result.xml
変換された設定 (出力ファイル) の監査と変更: 追加のコマンドレットを使うと、出力ファイルの設定の適用、列挙、有効化、無効化、保存を実行できます。 たとえば次のコマンドレットにより、メモ帳の SEHOP を有効化し、MandatoryASLR と DEPATL レジストリ設定を無効化できます。
PowerShell

コピー
Set-ProcessMitigation -Name notepad.exe -Enable SEHOP -Disable MandatoryASLR,DEPATL
攻撃表面の縮小 (ASR) の設定をコードの整合性ポリシー ファイルに変換する: 入力ファイルに EMET の攻撃表面の縮小 (ASR) の軽減策の設定が含まれている場合には、コードの整合性ポリシー ファイルも作成されます。 この場合、コードの整合性ポリシーのマージ、監視、展開のプロセスを完了できます。詳しくは、「Device Guard の展開: コード整合性ポリシーを展開する」をご覧ください。 これによって、EMET の ASR と同等の保護が Windows 10 で可能になります。
証明書信頼の設定をエンタープライズ証明書のピン留めルールに変換する: EMET の "証明書信頼" XML ファイル (ピン留めルール ファイル) がある場合、ConvertTo-ProcessMitigationPolicy を使って、ピン留めルール ファイルをエンタープライズ証明書のピン留めルール ファイルに変換できます。 次にそのファイルの有効化を完了できます。詳しくは、「エンタープライズ証明書のピン留め」をご覧ください。 以下に例を示します。
PowerShell

コピー
ConvertTo-ProcessMitigationPolicy -EMETfilePath certtrustrules.xml -OutputFilePath enterprisecertpinningrules.xml
EMET 関連製品