エクスプロイトからデバイスを保護するProtect devices from exploits

適用対象:Applies to:

Exploit Protection は、オペレーティング システムのプロセスおよびアプリに対して様々なエクスプロイト軽減策を自動的に適用します。Exploit protection automatically applies a number of exploit mitigation techniques to operating system processes and apps. Exploit Protection のサポートは、Windows 10 のバージョン 1709 および Windows Server のバージョン 1803 で開始しました。Exploit protection is supported beginning with Windows 10, version 1709 and Windows Server, version 1803.

ヒント

Windows Defender Testground の Web サイト (demo.wd.microsoft.com) にアクセスすると、この機能の動作状況および動作のしくみを確認できます。You can visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

Exploit Protection は、Defender for Endpoint と併用した場合に非常に効果的です。Microsoft Defender Advanced Threat Protection では、通常のアラート調査シナリオの一環として Exploit Protection イベントとブロックに関する詳細なレポートが作成されます。Exploit protection works best with Defender for Endpoint - which gives you detailed reporting into exploit protection events and blocks as part of the usual alert investigation scenarios.

個々のデバイスでエクスプロイト保護を有効にして、グループ ポリシーを使用して XML ファイルを一度に複数のデバイスに配布することができます。You can enable exploit protection on an individual device, and then use Group Policy to distribute the XML file to multiple devices at once.

デバイスで軽減策が検出されると、通知がアクション センターに表示されます。When a mitigation is encountered on the device, a notification will be displayed from the Action Center. 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。You can customize the notification with your company details and contact information. 個別のルールを有効にすることで、この機能が監視するテクニックをカスタマイズすることもできます。You can also enable the rules individually to customize what techniques the feature monitors.

監査モードを使用すると、Exploit Protection を有効にした場合にそれが組織に与える影響を評価することもできます。You can also use audit mode to evaluate how exploit protection would impact your organization if it were enabled.

Enhanced Mitigation Experience Toolkit (EMET) ツールは、Exploit Protection に含まれています。Many of the features in the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection. 実際には、既存の EMET 構成プロファイルを変換し、Exploit Protection にインポートすることができます。In fact, you can convert and import existing your EMET configuration profiles into exploit protection. 詳細については、「エクスプロイト保護構成のインポート、エクスポート、展開」を参照してください。To learn more, see Import, export, and deploy exploit protection configurations.

重要

現在 EMET を使用している場合は、EMET のサポートは 2018 年 7 月 31 日に終了している点にご留意ください。If you are currently using EMET you should be aware that EMET reached end of support on July 31, 2018. Windows 10 では、EMET を Exploit Protection で置き換えることを検討してください。Consider replacing EMET with exploit protection in Windows 10.

警告

一部のセキュリティ対策テクノロジでは、一部のアプリケーションとの互換性の問題がある場合があります。Some security mitigation technologies may have compatibility issues with some applications. 運用環境またはネットワーク全体に構成を展開する前に、監査モードを使用して、対象となるすべての使用シナリオで Exploit Protection をテストする必要があります。You should test exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network.

Exploit Protection イベントを Microsoft セキュリティ センターで確認するReview exploit protection events in the Microsoft Security Center

Defender for Endpoint では、アラート調査シナリオの一環としてイベントとブロックに関する詳細なレポートが作成されます。Defender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios.

Advanced Hunting を使用すると、Defender for Endpoint のデータに対してクエリを実行できます。You can query Defender for Endpoint data by using Advanced hunting. 監査モードを使用している場合、Advanced Hunting 機能を使用すると、Exploit Protection の設定がお客様の環境に与える可能性がある影響を確認できます。If you're using audit mode, you can use advanced hunting to see how exploit protection settings could affect your environment.

クエリの例を次に示します。Here is an example query:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection イベントを Windows イベント ビューアーで確認するReview exploit protection events in Windows Event Viewer

Windows イベント ログを確認することにより、Exploit Protection がアプリをブロック (または監査) する際に作成されるイベントを確認することができます。You can review the Windows event log to see events that are created when exploit protection blocks (or audits) an app:

プロバイダー/ソースProvider/source イベント IDEvent ID 説明Description
Security-MitigationsSecurity-Mitigations 11 ACG の監査ACG audit
Security-MitigationsSecurity-Mitigations 22 ACG の実施ACG enforce
Security-MitigationsSecurity-Mitigations 33 [Do not allow child processes] (子プロセスを許可しない) 監査Do not allow child processes audit
Security-MitigationsSecurity-Mitigations 44 [Do not allow child processes] (子プロセスを許可しない) ブロックDo not allow child processes block
Security-MitigationsSecurity-Mitigations 55 [Block low integrity images] (整合性が低いイメージのブロック) 監査Block low integrity images audit
Security-MitigationsSecurity-Mitigations 66 [Block low integrity images] (整合性が低いイメージのブロック) ブロックBlock low integrity images block
Security-MitigationsSecurity-Mitigations 77 [Block remote images] (リモート イメージのブロック) 監査Block remote images audit
Security-MitigationsSecurity-Mitigations 88 [Block remote images] (リモート イメージのブロック) ブロックBlock remote images block
Security-MitigationsSecurity-Mitigations 99 [Disable win32k system calls] (win32k システム呼び出しの無効化) 監査Disable win32k system calls audit
Security-MitigationsSecurity-Mitigations 1010 [Disable win32k system calls] (win32k システム呼び出しの無効化) ブロックDisable win32k system calls block
Security-MitigationsSecurity-Mitigations 1111 [Code integrity guard] (コードの整合性の保護) 監査Code integrity guard audit
Security-MitigationsSecurity-Mitigations 1212 [Code integrity guard] (コードの整合性の保護) ブロックCode integrity guard block
Security-MitigationsSecurity-Mitigations 1313 EAF の監査EAF audit
Security-MitigationsSecurity-Mitigations 1414 EAF の実施EAF enforce
Security-MitigationsSecurity-Mitigations 1515 EAF+ の監査EAF+ audit
Security-MitigationsSecurity-Mitigations 1616 EAF+ の実施EAF+ enforce
Security-MitigationsSecurity-Mitigations 1717 IAF の監査IAF audit
Security-MitigationsSecurity-Mitigations 1818 IAF の実施IAF enforce
Security-MitigationsSecurity-Mitigations 1919 ROP StackPivot の監査ROP StackPivot audit
Security-MitigationsSecurity-Mitigations 2020 ROP StackPivot の実施ROP StackPivot enforce
Security-MitigationsSecurity-Mitigations 2121 ROP CallerCheck の監査ROP CallerCheck audit
Security-MitigationsSecurity-Mitigations 2222 ROP CallerCheck の実施ROP CallerCheck enforce
Security-MitigationsSecurity-Mitigations 2323 ROP SimExec の監査ROP SimExec audit
Security-MitigationsSecurity-Mitigations 2424 ROP SimExec の実施ROP SimExec enforce
WER-DiagnosticsWER-Diagnostics 55 CFG のブロックCFG Block
Win32KWin32K 260260 信頼されていないフォントUntrusted Font

軽減策の比較Mitigation comparison

EMET で使用できる軽減策は、Windows 10 (バージョン 1709 以降) および Windows Server (バージョン 1803 以降) で、Exploit Protection の一部としてネイティブで提供されています。The mitigations available in EMET are included natively in Windows 10 (starting with version 1709) and Windows Server (starting with version 1803), under Exploit protection.

このセクションの表では、EMET と Exploit Protection におけるネイティブの軽減策の提供状況およびサポートを示します。The table in this section indicates the availability and support of native mitigations between EMET and exploit protection.

軽減策Mitigation exploit protection で提供Available under exploit protection EMET で提供Available in EMET
任意のコード ガード (ACG)Arbitrary code guard (ACG) はいyes はいyes
”メモリ保護チェック" としてAs "Memory Protection Check"
リモート イメージのブロックBlock remote images はいyes はいyes
"ライブラリ読み込みチェック" としてAs "Load Library Check"
信頼されていないフォントのブロックBlock untrusted fonts はいyes はいyes
データ実行防止 (DEP)Data Execution Prevention (DEP) はいyes はいyes
エクスポート アドレス フィルター (EAF)Export address filtering (EAF) はいyes はいyes
イメージのランダム化の強制 (必須 ASLR)Force randomization for images (Mandatory ASLR) はいyes はいyes
NullPage Security MitigationNullPage Security Mitigation yes
Windows 10 にネイティブで付属Included natively in Windows 10
詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照See Mitigate threats by using Windows 10 security features for more information
yes
メモリ割り当てのランダム化 (ボトムアップ ASLR)Randomize memory allocations (Bottom-Up ASLR) はいyes はいyes
実行のシミュレート (SimExec)Simulate execution (SimExec) はいyes はいyes
API 呼び出しの検証 (CallerCheck)Validate API invocation (CallerCheck) はいyes はいyes
例外チェーンの検証 (SEHOP)Validate exception chains (SEHOP) はいyes はいyes
スタックの整合性の検証 (StackPivot)Validate stack integrity (StackPivot) はいyes はいyes
証明書信頼 (構成可能な証明書のピン留め)Certificate trust (configurable certificate pinning) Windows 10 には、エンタープライズ証明書のピン留めが付属Windows 10 provides enterprise certificate pinning yes
ヒープ スプレーの割り当てHeap spray allocation 新しいブラウザー ベースの悪用には効果がありません。新しい軽減策の方が保護が強化されていますIneffective against newer browser-based exploits; newer mitigations provide better protection
詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照See Mitigate threats by using Windows 10 security features for more information
yes
整合性が低いイメージのブロックBlock low integrity images はいyes nono
コードの整合性ガードCode integrity guard はいyes nono
拡張ポイントの無効化Disable extension points はいyes nono
Win32k システム コールの無効化Disable Win32k system calls はいyes nono
子プロセスを許可しないDo not allow child processes はいyes nono
インポート アドレス フィルター (IAF)Import address filtering (IAF) はいyes nono
ハンドルの使用状態の検証Validate handle usage はいyes nono
ヒープの整合性の検証Validate heap integrity はいyes nono
軽減策の依存関係の整合性の検証Validate image dependency integrity はいyes nono

注意

EMET で提供されている Advanced ROP 解決策は、Windows 10 では ACG に置き換わりました。ACG では、プロセスの対 ROP 軽減策の有効化の一環として、EMET の高度な設定は既定で有効になります。The Advanced ROP mitigations that are available in EMET are superseded by ACG in Windows 10, which other EMET advanced settings are enabled by default, as part of enabling the anti-ROP mitigations for a process. Windows 10 が既存の EMET テクノロジをどのように使用しているかについて詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照してください。See the Mitigation threats by using Windows 10 security features for more information on how Windows 10 employs existing EMET technology.

関連項目See also