2月 13

Active Directoryを利用したEMETの制御

Active Directoryの機能である「グループポリシー管理」を用いて、Active Directory配下のクライアントに対するEMETの自動インストールと、ポリシーを用いた制御を目的とします。本文書では、「グループポリシー管理」を利用してEMETを自動配信する方法と、「グループポリシー管理」へEMETのテンプレートを追加する方法を記載します。

■EMETとは
Enhanced Mitigation Experience Toolkitの略称で、Windows上で動作する様々なアプリケーションに対し、脆弱性を利用した攻撃の発生を防ぐツールです。以下にEMETの動作イメージを挙げます。

01_EMETの動作イメージ3

EMETの役割は、ユーザが細工されたアプリケーションを操作した際に、クライアント上で細工されたアプリケーションが実行されるのを防止する、というものです。

 

■EMETの導入方法
最新版のEMET(バージョン4.1)は以下のサイトからダウンロードが可能です。

Enhanced Mitigation Experience Toolkit

クライアントに対して個別にEMETのインストールを行う場合は、ダウンロードしたファイルをそれぞれのクライアント上で実行しインストールを行います。
一方で、Active Directoryのグループポリシー機能を利用し、配下のクライアントに対してEMETの配信を行うことが可能です。Active Directory内の共有ファイルサーバを利用して、EMETをクライアントに自動的にインストールさせます。

【配信の準備】
バージョン4以降のEMETのインストールには、.NET Framework4.0の導入が必要です。予めEMETを配信したいクライアントに、.NET Frameworkをインストールしておきます。また、配信用のEMETインストーラを、UNC表記で接続可能なネットワーク上の共有ファイルサーバへ配置します。

【クライアントへの配信】
①「グループポリシーの管理」より、EMETを配信するためのポリシーオブジェクトを作成します
(例:下図では、[EMET Test]という名前のポリシーオブジェクトを作成)

02_オブジェクトの作成

②配信用のポリシーオブジェクトにEMETを追加します
[コンピューターの構成]→[ポリシー]→[ソフトウェアの設定]→[ソフトウェアインストール]を右クリックし、「新規作成」を選択

03_EMETの追加

③UNCパス表記でEMETを登録します
ネットワークサーバ上のEMETを、UNCパス(\\サーバ名\ファイルパス)で登録

04_UNC表記

④EMETがポリシーオブジェクトに追加されていることを確認します

05_オブジェクトの確認

⑤「グループポリシーの管理」から、先ほど作成したポリシーオブジェクトをコンテナへリンクさせます

06_オブジェクトの設置

⑥クライアント上でインストールされたことを確認します
クライアントの通知領域にEMETが存在していれば完了

07_EMETインストールの確認

 

■グループポリシー管理を用いた制御
Active Directoryのポリシーを管理しているサーバの、ポリシーを格納しているフォルダに、EMETを制御するためのポリシーテンプレートをコピーします。

①EMETのインストールフォルダ内にadmlファイルとadmxファイルが存在するので、この二つのファイルをコピーします

08_EMETテンプレートの場所

②ポリシーを格納しているフォルダにペーストします
ポリシーの格納フォルダは、デフォルトでは%SystemRoot%\PolicyDefinitions

09_ポリシーを格納する場所

③「グループポリシー管理」のポリシーオブジェクトからEMETのテンプレートが追加されていることを確認します
[コンピューターの構成]→[ポリシー]→[管理用テンプレート]配下に[EMET]が追加されていれば完了

10_EMETテンプレートの確認


Copyright 2021. All rights reserved.

Posted 2014年2月13日 by y.izumita in category "memo

About the Author

ね こ が す き