Windows 10 security baseline
デジタル ワークスペース Workspace ONE

Windows 10モダンマネジメントガイド 第7回 ベースラインの構成

はじめに

この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。

前回の作業では順守ポリシーを構成しました。また順守プロファイルを作成し、無効化されたファイアウォールの復旧アクションを自動化しました。

 

概要

今回の作業ではVMware Workspace ONE UEMコンソールでベースラインを構成し、カスタマイズでレジストリエディター起動禁止を追加します。ベースラインをWindows 10へ配信し、ベースラインが適用されていることを確認します。

 

ベースライン

ベースラインは業界推奨の設定と構成を使用して、デバイスの設定を業界のベストプラクティスに準拠させ、簡単に広範囲のWindows 10デバイスのハードニングを行うことができます。Workspace ONE UEM 管理下の Windows 10 に対し、Active Directory参加の有無や会社ネットワーク内外などの条件を問わず適用することができ、モダンマネジメント環境においてデバイスをセキュアに保つことができます。

ベースラインの使用
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-35F5B92C-9331-48B6-B9D1-69DB682368B3.html

 

ベースラインの構成

Workspace ONE UEMコンソール トップページを表示します。画面上部[組織グループ]> [jpnawafw]を選択します。

[デバイス] > [プロファイルとリソース] > [ベースライン]を選択します。[新規]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

ベースライン名と説明を入力し、次へ をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[ベースラインの選択] 画面では[Windows 10 Security Baseline – バージョン1909]を選択します。

グラフィカル ユーザー インターフェイス, アプリケーション, Web サイト 自動的に生成された説明

 

[カスタマイズ] 画面では、テンプレートに含まれるセキュリティ項目を確認します。設定変更は行わず[次へ]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, Word 自動的に生成された説明

 

[ポリシーを追加] 画面で、検索欄に“registry edit”と入力します。補完表示される[Prevent access to registry editing tools]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション, Teams 自動的に生成された説明

 

項目を以下のように調整します。

次へ をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[概要]が表示されます。[保存して割り当て]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

[ベースラインの割り当て]画面が表示されます。スマートグループの検索欄に“All”と入力します。補完表示される[All Corporate Dedicated Devices]を選択します。

[公開]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション, Teams 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

 

Windows 10でベースライン適用の確認

Windows 10デバイスでは、VMware Workspace ONE Intelligent Hubからの通知が表示されます。Windows 10デバイスを再起動します。ベースラインにWindows 10の再起動を必要とする項目が含まれるためです。

パソコンの画面 自動的に生成された説明

 

Windows 10デバイスにログインします。Windows 10デバイスにUSBドライブを挿入すると以下のような表示が現れます。今回選択したベースラインテンプレートには「BitLockerで保護されていないリムーバブルドライブへの書き込みアクセスを拒否する」が含まれています。ベースラインが正しく適用されていることが分かります。

パソコンの画面 自動的に生成された説明

 

レジストリエディターの起動を試みます。ベースラインに追加したポリシーが有効なため、レジストリエディターが起動できないことを確認します。

コンピューターのスクリーンショット 自動的に生成された説明

 

Workspace ONE UEMコンソールでベースライン適用の確認

Workspace ONE UEMコンソールで[デバイス] > [プロファイルとリソース] > [ベースライン]を選択します。ベースライン名をクリックします。

インストール状態や順守状態、インストールされたデバイスフレンドリ名などを確認します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

本連載では詳細には触れませんが、Microsoft Security Compliance Toolkitに含まれるLGPO.exeおよびPolicyAnalyzer.exeを用いて、ベースライン適用前と適用後の設定を比較するのも良いでしょう。

グラフィカル ユーザー インターフェイス, アプリケーション, テーブル 自動的に生成された説明

 

 

今回の作業ではWorkspace ONE UEMコンソールでベースラインを構成し、カスタマイズでレジストリエディター起動禁止を追加しました。ベースラインをWindows 10へ配信し、ベースラインが適用されていることを確認しました。

 

次回はWin32アプリケーション配信を構成します。