エクスプロイトからデバイスを保護する

適用対象:

Exploit Protection は、オペレーティング システムのプロセスおよびアプリに対して様々なエクスプロイト軽減策を自動的に適用します。 Exploit Protection のサポートは、Windows 10 のバージョン 1709、Windows 11、および Windows Server のバージョン 1803 で開始しました。

Exploit Protection は、Defender for Endpoint と併用した場合に非常に効果的です。Microsoft Defender Advanced Threat Protection では、通常のアラート調査シナリオの一環として Exploit Protection イベントとブロックに関する詳細なレポートが作成されます。

個々のデバイスでエクスプロイト保護を有効にして、グループ ポリシーを使用して XML ファイルを一度に複数のデバイスに配布することができます。

デバイスで軽減策が検出されると、通知がアクション センターに表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。 個別のルールを有効にすることで、この機能が監視するテクニックをカスタマイズすることもできます。

監査モードを使用すると、Exploit Protection を有効にした場合にそれが組織に与える影響を評価することもできます。

Enhanced Mitigation Experience Toolkit (EMET) ツールは、Exploit Protection に含まれています。 実際には、既存の EMET 構成プロファイルを変換し、Exploit Protection にインポートすることができます。 詳細については、「エクスプロイト保護構成のインポート、エクスポート、展開」を参照してください。

重要

現在 EMET を使用している場合、EMET は 2018 年 7 月 31 日にサポートが終了していることにご注意ください。Windows 10 では、EMET を悪用防止に置き換えることを検討してください。

警告

一部のセキュリティ軽減テクノロジでは、一部のアプリケーションとの互換性の問題が発生する可能性があります。運用環境またはネットワークの残りの部分に構成をデプロイする前に、監査モードを使用して、すべてのターゲット使用シナリオで悪用防止をテストする必要があります。

悪用に対する保護イベントを Microsoft 365 Defender ポータルで確認する

Defender for Endpoint では、アラート調査シナリオの一環としてイベントとブロックに関する詳細なレポートが作成されます。

Advanced Hunting を使用すると、Defender for Endpoint のデータに対してクエリを実行できます。 監査モードを使用している場合、Advanced Hunting 機能を使用すると、Exploit Protection の設定がお客様の環境に与える可能性がある影響を確認できます。

クエリの例を次に示します:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection イベントを Windows イベント ビューアーで確認する

Windows イベント ログを確認することにより、Exploit Protection がアプリをブロック (または監査) する際に作成されるイベントを確認することができます。

プロバイダー/ソース イベント ID 説明
Security-Mitigations 1 ACG の監査
Security-Mitigations 2 ACG の実施
Security-Mitigations 3 [Do not allow child processes] (子プロセスを許可しない) 監査
Security-Mitigations 4 [Do not allow child processes] (子プロセスを許可しない) ブロック
Security-Mitigations 5 [Block low integrity images] (整合性が低いイメージのブロック) 監査
Security-Mitigations 6 [Block low integrity images] (整合性が低いイメージのブロック) ブロック
Security-Mitigations 7 [Block remote images] (リモート イメージのブロック) 監査
Security-Mitigations 8 [Block remote images] (リモート イメージのブロック) ブロック
Security-Mitigations 9 [Disable win32k system calls] (win32k システム呼び出しの無効化) 監査
Security-Mitigations 10 [Disable win32k system calls] (win32k システム呼び出しの無効化) ブロック
Security-Mitigations 11 [Code integrity guard] (コードの整合性の保護) 監査
Security-Mitigations 12 [Code integrity guard] (コードの整合性の保護) ブロック
Security-Mitigations 13 EAF の監査
Security-Mitigations 14 EAF の実施
Security-Mitigations 15 EAF+ の監査
Security-Mitigations 16 EAF+ の実施
Security-Mitigations 17 IAF の監査
Security-Mitigations 18 IAF の実施
Security-Mitigations 19 ROP StackPivot の監査
Security-Mitigations 20 ROP StackPivot の実施
Security-Mitigations 21 ROP CallerCheck の監査
Security-Mitigations 22 ROP CallerCheck の実施
Security-Mitigations 23 ROP SimExec の監査
Security-Mitigations 24 ROP SimExec の実施
WER-Diagnostics 5 CFG のブロック
Win32K 260 信頼されていないフォント

軽減策の比較

EMET で使用できる軽減策は、Windows 10 (バージョン 1709 以降)、Windows 11、および Windows Server (バージョン 1803 以降) で、Exploit Protection の一部としてネイティブで提供されています。

このセクションの表では、EMET と Exploit Protection におけるネイティブの軽減策の提供状況およびサポートを示します。

軽減策 exploit protection で提供 EMET で提供
任意のコード ガード (ACG) はい はい
”メモリ保護チェック" として
リモート イメージのブロック はい はい
"ライブラリ読み込みチェック" として
信頼されていないフォントのブロック はい はい
データ実行防止 (DEP) はい はい
エクスポート アドレス フィルター (EAF) はい はい
イメージのランダム化の強制 (必須 ASLR) はい はい
NullPage Security Mitigation はい
Windows 10 および Windows 11 にネイティブで付属
詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照
はい
メモリ割り当てのランダム化 (ボトムアップ ASLR) はい はい
実行のシミュレート (SimExec) はい はい
API 呼び出しの検証 (CallerCheck) はい はい
例外チェーンの検証 (SEHOP) はい はい
スタックの整合性の検証 (StackPivot) はい はい
証明書信頼 (構成可能な証明書のピン留め) Windows 10 および Windows 11 には、エンタープライズ証明書のピン留めが付属 はい
ヒープ スプレーの割り当て 新しいブラウザー ベースの悪用には効果がありません。新しい軽減策の方が保護が強化されています
詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照
はい
整合性が低いイメージのブロック はい 不要
コードの整合性ガード はい 不要
拡張ポイントの無効化 はい 不要
Win32k システム コールの無効化 はい 不要
子プロセスを許可しない はい 不要
インポート アドレス フィルター (IAF) はい 不要
ハンドルの使用状態の検証 はい 不要
ヒープの整合性の検証 はい 不要
軽減策の依存関係の整合性の検証 はい 不要

注意

EMET で提供されている Advanced ROP 解決策は、Windows 10 および Windows 11 では ACG に置き換わりました。ACG では、プロセスの対 ROP 軽減策の有効化の一環として、EMET の高度な設定は既定で有効になります。 Windows 10 が既存の EMET テクノロジをどのように使用しているかについて詳しくは、「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照してください。

関連項目