はじめに
この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。
前回の作業では順守ポリシーを構成しました。また順守プロファイルを作成し、無効化されたファイアウォールの復旧アクションを自動化しました。
概要
今回の作業ではVMware Workspace ONE UEMコンソールでベースラインを構成し、カスタマイズでレジストリエディター起動禁止を追加します。ベースラインをWindows 10へ配信し、ベースラインが適用されていることを確認します。
ベースライン
ベースラインは業界推奨の設定と構成を使用して、デバイスの設定を業界のベストプラクティスに準拠させ、簡単に広範囲のWindows 10デバイスのハードニングを行うことができます。Workspace ONE UEM 管理下の Windows 10 に対し、Active Directory参加の有無や会社ネットワーク内外などの条件を問わず適用することができ、モダンマネジメント環境においてデバイスをセキュアに保つことができます。
ベースラインの構成
Workspace ONE UEMコンソール トップページを表示します。画面上部[組織グループ]> [jpnawafw]を選択します。
[デバイス] > [プロファイルとリソース] > [ベースライン]を選択します。[新規]をクリックします。
ベースライン名と説明を入力し、次へ をクリックします。
[ベースラインの選択] 画面では[Windows 10 Security Baseline – バージョン1909]を選択します。
[カスタマイズ] 画面では、テンプレートに含まれるセキュリティ項目を確認します。設定変更は行わず[次へ]をクリックします。
[ポリシーを追加] 画面で、検索欄に“registry edit”と入力します。補完表示される[Prevent access to registry editing tools]をクリックします。
項目を以下のように調整します。
次へ をクリックします。
[概要]が表示されます。[保存して割り当て]をクリックします。
[ベースラインの割り当て]画面が表示されます。スマートグループの検索欄に“All”と入力します。補完表示される[All Corporate Dedicated Devices]を選択します。
[公開]をクリックします。
Windows 10でベースライン適用の確認
Windows 10デバイスでは、VMware Workspace ONE Intelligent Hubからの通知が表示されます。Windows 10デバイスを再起動します。ベースラインにWindows 10の再起動を必要とする項目が含まれるためです。
Windows 10デバイスにログインします。Windows 10デバイスにUSBドライブを挿入すると以下のような表示が現れます。今回選択したベースラインテンプレートには「BitLockerで保護されていないリムーバブルドライブへの書き込みアクセスを拒否する」が含まれています。ベースラインが正しく適用されていることが分かります。
レジストリエディターの起動を試みます。ベースラインに追加したポリシーが有効なため、レジストリエディターが起動できないことを確認します。
Workspace ONE UEMコンソールでベースライン適用の確認
Workspace ONE UEMコンソールで[デバイス] > [プロファイルとリソース] > [ベースライン]を選択します。ベースライン名をクリックします。
インストール状態や順守状態、インストールされたデバイスフレンドリ名などを確認します。
本連載では詳細には触れませんが、Microsoft Security Compliance Toolkitに含まれるLGPO.exeおよびPolicyAnalyzer.exeを用いて、ベースライン適用前と適用後の設定を比較するのも良いでしょう。
今回の作業ではWorkspace ONE UEMコンソールでベースラインを構成し、カスタマイズでレジストリエディター起動禁止を追加しました。ベースラインをWindows 10へ配信し、ベースラインが適用されていることを確認しました。
次回はWin32アプリケーション配信を構成します。