攻撃面削減 - AVD 除外項目

Avatar
Nerdio Product Support

攻撃面削減 - AVD 除外項目

警告: このトピックには推奨事項が含まれています。推奨事項を導入する前に、必ずセキュリティチームに確認してください。

Nerdio Managerがパッケージを展開したりスクリプトを実行したりする場合、ローカルの VM またはマシン上でそれらの操作を行います。

主なディレクトリは次のとおりです:

  • For most Nerdio Manager packages - C:\Packages\Plugins\Microsoft.PowerShell.DSC\<version>\DSCWork

  • Scripted Actions およびカスタムスクリプト用 - C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\<version>\Downloads

私たちは独自の情報を保護したいため、スクリプトを実行するために使用するコードをしばしば難読化または隠します。これは、多くの攻撃面削減 (ASR) ルール/プラットフォームにとってセキュリティリスクとして現れる可能性があります。私たちのコードがブロックまたは制限されると、Nerdio Managerがセッションホストで自動化タスクを実行できなくなります。

私たちが見た主な ASR ルールで、競合を引き起こすものは次のとおりです:

ASR ルールでブロックされる両方の方法は、正当な目的にも悪用される恐れがあるため、信頼できるソースからのみスクリプトが実行されるようにすることが重要です。各 ASR ツールは異なりますが、信頼できる機能を実行するために許可されるファイル/フォルダーの除外項目を追加できる同様の機能を持っているはずです。

エラーの例

以下は、Nerdio Manager ログに表示される可能性のあるエラーのいくつかの例です:

  • Join ARM AVD 拡張機能をインストールする

    • エラー: Join ARM WVD 拡張機能のインストール中にエラーが発生しました: System.AggregateException: 1 つ以上のエラーが発生しました。(長時間実行される操作が '失敗' ステータスで失敗しました。)追加情報:'VM は拡張機能 '(VM 名)-join-arm-wvd-ext' (パブリッシャー 'Microsoft.Powershell' およびタイプ 'DSC') の処理中に失敗を報告しました。

    • エラーメッセージ: "DSC構成 'AdditionalSessionHosts' はエラー付きで完了しました。最初のいくつかは次のとおりです: PowerShell DSCリソース MSFT_ScriptResource がエラーメッセージとともに Set-TargetResource 機能の実行に失敗しました: このコマンドはエラー: アクセスが拒否されました。

  • エラー: FSLogix拡張機能のインストール中にエラーが発生しました:

    • System.AggregateException: 1 つ以上のエラーが発生しました。(長時間実行中の操作が「失敗」ステータスで終了しました。)追加情報: 'VM は拡張機能 '(VM 名)-install-fslogix-ext' (パブリッシャー 'Microsoft.Powershell' およびタイプ 'DSC') の処理中に失敗を報告しました。エラーメッセージ: 'DSC拡張機能の実行に失敗しました: https://nmmstorageaccount.blob.core.windows.net/vm-extensions/FSLogixSetup.5.1.0.zip のダウンロードを29回試行しましたが、リモートサーバーに接続できませんでした。

Microsoft Defender ASR制限を変更してください。

以下の手順では、Intuneポリシーを通じてMicrosoft Defender ASR制限を変更する方法を説明していますが、同じ概念は他のASRプラットフォームにも適用できるはずです。

注:

  • ワイルドカード除外を使用していますが(詳細はMicrosoft Defender アンチウイルスの除外項目を参照)、除外項目をより明示的に指定することもできます。ただし、明示的に指定すればするほど、除外を最新の状態に保ち、ソフトウェアのエディションが変更される際に除外が正確であることを確認する必要があります。

  • これらのASR除外をすべてのデバイスに適用することは技術的には可能ですが、AVDホストおよび/またはNerdio Managerスクリプトアクションが実行されるデバイスにのみ適用することをお勧めします。

Microsoft Defender ASR制限を変更するには:

  1. Intune管理センターで、エンドポイントセキュリティ > 攻撃面削減 > (攻撃面削減ポリシー) に移動します。

  2. ルールのリストで、潜在的に難読化されたスクリプトの実行をブロックするを見つけます。

  3. アクションブロックに設定します。

  4. ASRのみのルール除外項目に次の除外項目を追加します:

    • C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\*\Downloads\*

    • C:\Packages\Plugins\Microsoft.PowerShell.DSC\*\DSCWork\*

  5. ルールのリストで、PSExecおよびWMIコマンドから発生するプロセスの作成をブロックするを見つけます。

  6. アクションブロックに設定します。

  7. ASRのみのルール除外項目に次の除外項目を追加します:

    • C:\Packages\Plugins\Microsoft.Computer.CustomScriptExtension\*\Downloads\*

    • C:\Packages\Plugins\Microsoft.PowerShell.DSC\*\DSCWork\*

    • C:\DeployFSLogix\FSLogixAppsSetup.exe

    • C:\DeployAgent\RDAgentBootLoaderInstall\Microsoft.RDInfra.RDAgentBootLoader.Installer-x64*.msi

    • C:\DeployAgent\RDInfraAgentInstall\Microsoft.RDInfra.RDAgent.Installer-x64*.msi

  8. 割り当てブレードで、ポリシーがAVDホストセキュリティグループに正しくアサインされていることを確認します。

    注意: ホストプールの命名スキームに基づいて動的デバイスグループを使用することをお勧めします。

  9. ポリシーの変更を確認し、保存します。

注意: 一般的に、これらの除外項目を作成し、ホストを再展開した後、デプロイメントエラーは解消されます。ただし、他のASR設定に応じて、追加の除外項目が必要になる場合があります。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

記事コメントは受け付けていません。