WindowsのFeature Update、パッチ適用状況に応じたアクセス制御 - 基本

目次

1. デバイス保証ポリシー設定概要
2. Feature Updateや累積パッチのバージョンに応じた設定
3. 詳細な設定を可能にする「Dynamic OS version compliance」
4. デバイス保証ポリシーの活用
5. 最後に

昨今では様々な脅威が確認されており、防御策のひとつとして「サイバーハイジーン」に取り組む組織も増えてきております。サイバーハイジーンとはIT環境の衛生管理であり、組織内に存在するIPデバイス群を把握し脆弱性を可視化して修復するサイクルを回すことで、脆弱性を狙った脅威のリスクを低減する事が可能です。

多くの組織においては、Windows OSのサポートライフサイクルや脆弱性への対応として、Feature Updateや月次の累積パッチの適用を定期的に実施されていることかと思います。組織のポリシーでは、Feature Updateのバージョンや月次の累積パッチの適用バージョンなど、組織としてのポリシー準拠バージョンを定義して運用されているのではないでしょうか。

今回のブログでは、Oktaのデバイス保証機能を利用したWindowsのFeature Updateやパッチの適用状況に応じたアクセス制御についてご紹介いたします。
※本機能の利用には、[Adaptive SSO]または[Adaptive MFA]ライセンスが必要です。

デバイス保証は端末上にインストールされたOkta Verifyアプリケーションが端末のOSバージョンやディスクの暗号化状況などの情報を収集し、それらの情報をアクセス制御に利用できる機能です。

デバイス保証ポリシー設定概要

デバイス保証ポリシー設定方法

1) Okta Admin Consoleの、Security > Device Assurance Policyから、Add a policyを押下して設定します。

2) WindowsのPolicyでは、

1. Minimum Windows Version
   1. Feature UpdateのOS Buildの指定や、累積パッチのバージョンの指定が可能です。
2. Lock Screen
   1. Windows Helloの有効化状況の指定が可能です。
3. Disk Encryption
   1. ディスクの暗号化状況の指定が可能です。
4. Trusted Platform Module
   1. TPMの利用状況の指定が可能です。

Feature Updateや累積パッチのバージョンに応じた設定

デバイス保証ポリシーの中で、Feature Updateや累積パッチのバージョンに応じた様々な設定方法についてご紹介します。

a. Feature Updateのバージョンを利用したアクセス制御

まずは、Feature Updateのバージョンが「Windows 10 22H2 (OS Build 10.0.19045)」以上の端末をターゲットとする設定をしてみます。

設定項目のMinimum Windows versionで、Use a present versionのラジオボタンを選択し、リストボックスから「Windows 10 (22H2)」を選択してSaveします。
※この設定ではWindows 10 22H2 (OS Build 10.1.19045)以上のOS Buildが対象となりますので、Windows 10 22H2以上のOS BuildとWindows 11 の全てのOS Buildが対象として含まれます。Windows 10、Windows 11を個別に制御する方法は後述します。

b. 累積パッチのバージョンを利用したアクセス制御

つづいてFeature Updateのバージョンとともに、累積パッチの適用状況を考慮してみます。Feature Updateのバージョンが「Windows 10 22H2」の端末に対して、適用された累積パッチが「KB5039211 (OS Build 19045.4529)」以上の端末をターゲットとする設定をしてみます。

設定項目のMinimum Windows versionで、Customizeのラジオボタンを選択し、下記のようにバージョンを入力してSaveします。

• Major: 10
• Minor: 0
• Build: 19045
• Rev: 4529

※この設定では、設定したバージョン以上のOS Buildが全て含まれますので、Windows 10 22H2 (OS Build 10.1.19045)以上でKB5039211 (OS Build 19045.4529)以降が適用されたOS BuildとWindows 11 の全てのOS Buildが対象として含まれます。Windows 10、Windows 11を個別に制御する方法は後述します。

詳細な設定を可能にする「Dynamic OS version compliance」

※本記事掲載時点ではEarly Accessバージョンの「Dynamic OS version compliance」を利用することで、Windows 10やWindows 11といったOSごとのバージョン設定や、バージョンの動的設定など、さらに詳細な設定が可能になります。

c. Windows 10、Windows 11、それぞれのFeature Updateのバージョンを利用したアクセス制御

上述の「a. Feature Updateのバージョンを利用したアクセス制御」の方法では、Windows10とWindows11のバージョンを個別に制御することができませんでした。

今回はFeature Updateのバージョンが、各OSでそれぞれ

• 「Windows 10 22H2 (OS Build 10.0.19045)」
• 「Windows 11 22H2 (OS Build 10.0.22621)」

以上の端末をターゲットとする設定をしてみます。

Early Access機能によって、Windows 10、Windows11それぞれに個別にOS Buildが設定可能になります。各OSで「Must be at least」を選択の上、下記を設定しSaveします。

• 「Windows 10 22H2 」
• 「Windows 11 22H2 」

d. Windows 10、Windows 11、それぞれの累積パッチのバージョンを利用したアクセス制御

上述の「b. 累積パッチのバージョンを利用したアクセス制御」の方法では、Windows10とWindows11の累積パッチのバージョンを個別に制御することができませんでした。

今回はFeature Updateと累積パッチのバージョンが、各OSでそれぞれ

• 「Windows 10 22H2 (OS Build 10.0.19045)」、「KB5039211 (OS Build 19045.4529)」
• 「Windows 11 22H2 (OS Build 10.0.22621)」、「KB5039212 (OS Build 22621.3737)」

以上の端末をターゲットとする設定をしてみます。

Early Access機能によって、Windows 10、Windows11それぞれに個別にOS Buildが設定可能になります。各OSで「Must be at least」を選択の上、「Custom」として下記を設定しSaveします。

Windows 11

• Major: 10
• Minor: 0
• Build: 22621
• Rev: 3737

Windows 10

• Major: 10
• Minor: 0
• Build: 19045
• Rev: 4529

※この設定では、設定したバージョン以上のOS Buildが全て含まれますので、Windows 10 22H2 (OS Build 10.1.19045)以上でKB5039211 (OS Build 19045.4529)以降が適用されたOS Buildと、Windows 11 22H2 (OS Build 10.0.22621)以上でKB5039212 (OS Build 22621.3737)以降が適用されたOS Buildが対象として含まれます。Windows 11 22H2, Windows 11 23H2などOS Buildごとに累積パッチバージョンを制御する方法は今後ご紹介する予定です。

e. Windows 10、Windows 11、それぞれのFeature Update、累積パッチの動的バージョン指定によるアクセス制御

これまでの設定方法では静的にバージョンを設定していましたが、バージョンを動的に設定することも可能です。これにより、新しいバージョンがリリースされ組織の準拠ポリシーが変更になっても、設定変更をすることなくアクセス制御を実施することが可能です。

Feature Updateのバージョンは、最新バージョン(Latest supported major version)、一世代前のバージョン(Second latest supported major version)を指定することが可能です。

累積パッチについては、Must be up-to-date with security patchesチェックボックスを有効化することで、最新のセキュリティパッチが適用されていることを条件として指定することが可能です。

デバイス保証ポリシーの活用

作成したデバイス保証ポリシーは、認証ポリシーでのアクセス制御のひとつの条件として活用できます。

認証ポリシー設定方法

1. デバイス保証ポリシーを利用するには、端末にOkta Verifyがセットアップされていることが必要ですので、「Device state is」セクションのラジオボタンで「Registered」を選択します。
2. 「Device assurance policy is」セクションのリストボックスで、「Any of the following device policies:」を選択し、上記で作成したWindows用のデバイス保証ポリシーを選択します。

アクセス制御方法

1. 作成したデバイス保証ポリシーを活用したRuleの下部の「Catch-all Rule」で「Access: Denied」を設定します。これにより、設定したデバイス保証ポリシーに準拠する端末からのアクセスは認証プロセスを実施し、準拠しない端末からのアクセスは拒否することが可能です。

最後に

本投稿では、デバイス保証ポリシーを活用し、Windows端末のFeature Updateや累積パッチ適用状況に応じたアクセス制御の実施方法をご紹介しました。「Dynamic OS version compliance」により、柔軟かつきめ細やかなアクセス制御が可能になったことがおわかりいただけたかと思います。今回の内容が、運用を考える上で参考になれば幸いです。