OEM 向けの Windows 10 S のセキュリティ機能と要件
Windows 10 S は、Windows 10 Pro の特定の構成であり、セキュリティとパフォーマンスのために合理化された、使い慣れた Windows エクスペリエンスを提供します。 Windows 10 S は、最高のクラウドとフル機能のアプリを提供し、最新のデバイス向けに設計されています。 Microsoft Defender は常にオンになっていて、常に最新です。
Windows 10 S では、ストアからの検証済みアプリと、Windows Update からの検証済みドライバーのみが実行されます。 Windows 10 S では Azure Active Directory がサポートされており、MSA または Intune for Education と組み合わせると、Windows 10 S では既定でファイルが OneDrive に格納されます。
Windows 10 S で有効な機能
Windows 10 S モードでは、コードの整合性ポリシー、ハードウェア、アプリの認定を組み合わせて使用して顧客を保護します。 Windows 10 S では、Windows ハードウェア デベロッパー センター ダッシュボードからの Windows、WHQL、ELAM、ストアのいずれかの証明書を使用して署名された実行可能コードのみが実行されます。 これには、ドライバー用のコンパニオン アプリが含まれます。
| 機能 | Windows 10 S | Windows 10 Home | Windows 10 Pro |
|---|---|---|---|
| ストア以外のアプリ | はい | はい | |
| オンプレミスでのドメイン参加 | はい | ||
| Azure AD ドメイン参加 | はい | はい | |
| Windows ストア アプリ (Win32 Centennial アプリを含む) | はい | イエス | はい |
| OneDrive の自動セットアップと同期、MSA が必要 | はい | 構成可能 | 構成可能 |
| Microsoft の既定のアプリ セット | はい | 構成可能 | 構成可能 |
| Windows Update for Business | はい | はい | |
| ビジネス向け Windows ストア | はい | はい | |
| モバイル デバイス管理 (MDM) | はい | 制限あり | はい |
| BitLocker | はい | はい | |
| Azure AD を使用したエンタープライズ状態ローミング | はい | はい | |
| 共有 PC の構成 | はい | はい |
Windows 10 S の既定の最新アプリ構成
- 電子メール: メール
- マップ: マップ
- フォト ビューアー: 写真
- 検索: Bing
- ビデオ プレーヤー: 映画 & テレビ
- Web ブラウザー: Edge
- OneDrive は MSA アカウント用に自動的に構成されるため、ドキュメント、写真、デスクトップが自動的に同期され、ユーザーは 5 GB の標準ストレージを利用できます。
メモリ整合性の保護
メモリ整合性は、Windows 10、Windows 11、およびWindows Server 2016以降で使用できる仮想化ベースのセキュリティ (VBS) 機能です。 メモリ整合性とVBSは、Windowsの脅威モデルを改善し、Windowsカーネルを悪用しようとするマルウェアに対する保護を強化します。 VBSは、Windowsハイパーバイザーを使用して、カーネルが侵害される可能性があると想定するOSの信頼のルートとなる分離された仮想環境を作成します。 メモリ整合性は、VBSの分離された仮想環境内でカーネルモードのコード整合性を実行することによってWindowsを保護および強化する重要なコンポーネントです。 また、メモリの整合性は、システムの侵害に使用される可能性のあるカーネルメモリの割り当てを制限し、カーネルメモリページが安全なランタイム環境内でコードの整合性チェックに合格した後にのみ実行可能になり、実行可能ページ自体が書き込み可能になることはありません。
Note
メモリの整合性は、ハイパーバイザーで保護されたコードの整合性 (HVCI) またはハイパーバイザーによって適用されるコードの整合性と呼ばれることがあり、当初はDevice Guardの一部としてリリースされました。 Device Guardは、グループポリシーまたはWindowsレジストリでメモリの整合性とVBS設定を検索する場合を除き、使用されなくなりました。
メモリの整合性は、 「メモリの整合性の有効化」 で説明されているように、互換性のあるハードウェアでのWindows 10とWindows 11のクリーンインストールでは、既定で有効になっています。 メモリ整合性の自動有効化要件を満たしていない他のシステムでは、メモリ整合性を有効にする方法で説明されているいずれかの方法を使用してオプトインできます。
メモリ整合性によって保護されるカーネルモードのコード整合性により、署名されていないバイナリまたは不適切に署名されたバイナリがカーネルで実行されるのを防ぐことができます。 サポートされていないバイナリの使用は、ラボまたはファクトリイメージのカスタマイズ中、または実行環境がWinPEまたは監査モードのいずれかである展開中にのみ行う必要があります。
詳細については、 「メモリ整合性と仮想化ベースのセキュリティ」 を参照してください。
ユーザーモードコード整合性ポリシー
SモードのWindows 10は、ユーザーモードコード整合性 (CI) を適用するポリシーを使用して実装されます。 システムで CI ポリシーが有効になると、次の 2 つの場所で有効になります。
- Windows 10 S (起動時に適用)
- UEFI ファームウェア ポリシー (ファームウェアの読み込み時と OS の起動時に適用)
署名済みドライバーと Windows 10 S
Windows 10 S ではドライバーの署名が異なります。ドライバー パッケージを Windows 10 S にインストールするには、次の要件を満たしている必要があります。
- ドライバー パッケージが、Windows ハードウェア デベロッパー センター ダッシュボードからの Windows、WHQL、ELAM、ストアのいずれかの証明書を使用してデジタル署名されていること。
- コンパニオン ソフトウェアが、Microsoft Store 証明書を使用して署名されていること。
- 署名されていないバイナリを抽出するドライバー パッケージに、*.exe、*.zip、*.msi、または *.cab が含まれていないこと。
- ドライバーは INF ディレクティブのみを使用してインストールすること。
- ドライバーが禁止されている受信トレイ コンポーネントを呼び出さないこと。
- ドライバーに、ユーザー インターフェイス コンポーネント、アプリ、または設定が含まれていないこと。 代わりに、Microsoft Storeのユニバーサルアプリケーションを使用します。次に例を示します。
- ハードウェア サポート アプリ
- UWP デバイス アプリ
- Centennial アプリ
- ドライバーとファームウェアのサービスでは、アップデーター アプリではなく Windows Update が使用されます。
詳細については、Windows 10 S ドライバーの要件に関するページと、「Windows Update にドライバーを公開する」を参照してください。
サポートされていないもの
Windows 10 S では、ストアに存在しないアプリは許可されません。 2 つ目の制限は、Windows 10 S ではオンプレミス ドメインへの参加が許可されないことです。 さらに、一部の Windows カスタマイズおよび一部のアプリはサポートされていません。 詳細については、Windows 10 S の展開の計画に関するページを参照してください
次のコンポーネントは、Windows 10 S での実行が禁止されています。これらの禁止されているコンポーネントのいずれかを呼び出すスクリプトまたはアプリケーションは、すべて禁止されます。 製造プロセスで禁止されたコンポーネントに依存するスクリプトまたはアプリケーションを使用する場合、構成とテストのために一時的に製造モードを有効にすることはできますが、製造モードが有効になっている PC を出荷することはできません。
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe