攻撃面削減 – UAM 除外項目

Nerdio Manager が UAM パッケージを展開する際、パッケージはローカル PC から実行されます。これらのパッケージの主なディレクトリは次のとおりです：

• ほとんどの Nerdio Manager UAM パッケージの場合： C:\Windows\Temp\NME-SHELL-FILE-CACHE\

• Intune デバイスに展開された UAM パッケージの場合： C:\Windows\Temp\NMWLogs\

独自の情報を保護するために、スクリプトを実行するために使用されるコードはしばしば難読化または隠されています。しかし、この難読化は特定の攻撃面削減 (ASR) ルールやプラットフォームに対してセキュリティリスクをもたらす可能性があります。これらのスクリプトがブロックまたは制限されると、Nerdio Manager は Intune デバイスやセッションホストでの自動化タスクを実行できなくなります。

一般的に競合を引き起こす主な ASR ルールは次のとおりです：

• 潜在的に難読化されたスクリプトの実行をブロックする

• PSExec および WMI コマンドから発生するプロセスの作成をブロックする

以下は Nerdio Manager ログで発生する可能性のあるエラーの例です：

• Intune が報告したスクリプトの状態：失敗。コード：99。エラーの説明：Set-LocalUser : 不明なエラーが発生しました：ステータス = 3221226252 C:\WINDOWS\TEMP\NMWLogs\Nerdio.NMW.UAM.PSRemoting.psm1:122 文字:28

• Intune が報告したスクリプトの状態：失敗。コード：99。エラーの説明：Invoke-AppManagement : 'Write-ExtendedLog' という用語は、cmdlet、関数、スクリプトファイル、または実行可能なプログラムの名前として認識されません。名前のスペルを確認するか、パスが含まれている場合は、そのパスが正しいことを確認して再試行してください。

ASR ルールによってブロックされる両方の方法は、正当なソースと悪意のあるソースの両方によって使用される可能性があります。したがって、信頼できるソースからの情報のみが実行されるようにすることが重要です。

各 ASR ツールは異なる場合がありますが、通常は信頼できる機能を実行するために許可されたファイルやフォルダーの除外項目を追加する機能を提供します。

Microsoft Defender ASR 制限を変更する

以下の手順では、Intune ポリシーを経由でMicrosoft Defender ASR制限を変更する方法を説明します。この概念は、他のASRプラットフォームにも一般的に適用されます。

Microsoft Defender ASR 制限を変更するには：

1. Intune管理センターで、エンドポイントセキュリティ > 攻撃面削減 > [攻撃面削減ポリシー]に移動します。

2. ルールのリストで、潜在的に難読化されたスクリプトの実行をブロックするを見つけます。

3. アクションをブロックに設定します。

4. ASR ルールごとの除外項目に、以下の除外項目を追加します：

   • C:\Windows\Temp\NME-SHELL-FILE-CACHE\*

   • C:\Windows\Temp\NMWLogs\*

     

5. ルールのリストで、PSExecおよびWMIコマンドからのプロセスの作成をブロックするを見つけます。

6. アクションをブロックに設定します。

7. ASR ルールごとの除外項目に、以下の除外項目を追加します：

   • C:\Windows\Temp\NME-SHELL-FILE-CACHE\*

   • C:\Windows\Temp\NMWLogs\*

     

8. 割り当てブレードで、ポリシーがAVDホストセキュリティグループに正しくアサインされていることを確認します。

   注意：ホストプールの命名スキームに基づいて動的デバイスグループを使用することをお勧めします。

   

9. ポリシーの変更を確認し、保存してください。