Share via

署名されていないアプリをコード整合性ポリシーに追加する

  • [アーティクル]

署名されていないアプリをコード整合性ポリシーに追加する場合は、参照デバイスから作成したコード整合性のポリシーを使って起動する必要があります。 それから、署名されていないアプリのカタログ ファイルの作成、このカタログ ファイルの署名、既存のコード整合性ポリシーと署名証明書を含む既定のポリシーのマージが続きます。

このセクションの内容

  • 参照デバイスに基づいてコード整合性ポリシーを作成する
  • 署名されていないアプリのカタログ ファイルを作成する
  • Device Guard 署名ポータルを使ってカタログに署名する

参照デバイスに基づいてコード整合性ポリシーを作成する

署名されていないアプリをコード整合性ポリシーに追加するには、このコード整合性ポリシーをゴールデン イメージのコンピューターから作成する必要があります。 詳しくは、「参照デバイスに基づく、Device Guard のコード整合性ポリシーの作成」をご覧ください。

署名されていないアプリのカタログ ファイルを作成する

カタログ ファイルの作成は、署名されていないアプリをコード整合性ポリシーに追加するための最初の手順です。

はじめに、次のベスト プラクティスと要件を確認してください。

要件

  • この作業中は Package Inspector を使います。

  • 監査モードで動作しているコード整合性ポリシーを使う場合にのみこの作業を実行します。 この作業は、実施済みの Device Guard ポリシーが動作しているシステムでは実行しないでください。

ベスト プラクティス

  • 名称に関する規則 -- 命名規則を使うと、展開したカタログ ファイルを簡単に検索できます。 このトピックでは、命名規則として *-Contoso.cat を使います。 詳しくは、「Device Guard 展開ガイド」で Configuration Manager を使ったカタログ ファイルのインベントリ作成に関するセクションをご覧ください。

  • コード整合性ポリシーの展開先 -- 作成したコード整合性ポリシーは、Package Inspector を実行するシステムに展開する必要があります。 これにより、コード整合性ポリシーのバイナリが信頼されます。

各手順のコマンドを管理者特権の Windows PowerShell セッションにコピーします。 Package Inspector を使って、アプリ内のすべてのバイナリを検出して信頼します。

Mt606935.wedge(ja-jp,VS.85).gif署名されていないアプリのカタログ ファイルを作成するには

  1. Package Inspector を起動し、C ドライブをスキャンします。

    PackageInspector.exe Start C:

  2. インストール メディアを C ドライブにコピーします。

    インストール メディアを C ドライブにコピーすることによって、Package Inspector はインストーラーを検出し、カタログ化します。 この手順を省略すると、コード整合性ポリシーでは、アプリケーションを信頼して実行しますが、信頼してインストールしない可能性があります。

  3. アプリをインストールして起動します。

    Package Inspector の実行中に使われるすべてのバイナリは、カタログ ファイルに含まれます。 インストール後、アプリを起動して、製品の更新プログラムがインストールされ、ダウンロード可能なコンテンツがスキャン中に検出されたことを確認します。 次に、アプリを閉じて再起動し、スキャンですべてのバイナリが検出されていることを確認します。

  4. スキャンを停止し、定義ファイルとカタログ ファイルを作成します。

    アプリのインストール完了後、Package Inspector スキャンを停止し、デスクトップにカタログ ファイルと定義ファイルを作成します。

    $ExamplePath=$env:userprofile+"\Desktop"

    $CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"

    $CatDefName=$ExamplePath+"\LOBApp.cdf"

    PackageInspector.exe Stop C: -Name $CatFileName -cdfpath $CatDefName

Package Inspector スキャンによって、検出された各バイナリ ファイルのハッシュ値がカタログ化されます。 スキャンされたアプリが更新された場合は、この手順をもう一度実行して、新しいバイナリのハッシュ値を信頼します。

完了すると、ファイルがデスクトップに保存されます。 カタログ ファイルがコード整合性ポリシー内で信頼されるように、カタログ ファイルにまだ署名する必要があります。

Device Guard 署名ポータルを使ってカタログに署名する

Device Guard 署名ポータルを使ってカタログ ファイルに署名するには、ビジネス向け Windows ストアにサインアップする必要があります。 詳しくは、「ビジネス向け Windows ストアのサインアップ」をご覧ください。

カタログの署名は、署名されていないアプリをコード整合性ポリシーに追加する上で不可欠な手順です。

Mt606935.wedge(ja-jp,VS.85).gifDevice Guard 署名ポータルを使ってカタログ ファイルに署名するには

  1. ビジネス向けストアへのサインイン

  2. [設定] をクリックし、[Device Guard の署名] を選択します。

  3. [アップロード] をクリックし、署名されていないカタログ ファイルをアップロードします。 これは、「署名されていないアプリのカタログ ファイルを作成する」で以前に作成したカタログ ファイルです。

  4. ファイルをアップロードしたら、[署名] をクリックしてカタログ ファイルに署名します。

  5. [ダウンロード] をクリックして各項目をダウンロードします。

    • 署名済みカタログ ファイル

    • 既定のポリシー

    • 組織のルート証明書

    Device Guard 署名ポータルを使ってカタログ ファイルに署名すると、署名証明書が既定のポリシーに追加されます。 署名済みカタログ ファイルをダウンロードした場合は、既定のポリシーをダウンロードし、このコード整合性ポリシーと既存のコード整合性ポリシーをマージして、カタログ ファイルを実行しているコンピューターを保護する必要があります。 カタログ ファイルを信頼して実行するには、この手順を実行する必要があります。 詳しくは、「Device Guard 展開ガイド」のコード整合性ポリシーのマージをご覧ください。

  6. ダウンロードしたルート証明書を開いて、[証明書のインポート ウィザード] の手順に従って、コンピューターの証明書ストアに証明書をインストールします。

  7. 署名済みカタログを管理対象デバイスに展開します。 詳しくは、「Device Guard 展開ガイド」のグループ ポリシーを使ったカタログ ファイルの展開と System Center Configuration Manager を使ったカタログ ファイルの展開をご覧ください。