デバイスガード: Windows Defender アプリケーションコントロールと仮想化ベースのコードの整合性の保護

適用対象

  • Windows 10
  • Windows Server 2016

Windows 10 には、一連のハードウェアと OS のテクノロジが含まれており、それらを組み合わせて構成することで、企業は、モバイルデバイスの多くのプロパティで動作するように Windows システムを "ロックダウン" することができます。 この構成では、特定のテクノロジが連携して、構成可能なコードの整合性と呼ばれる機能を使って、認定されたアプリのみを実行するようにデバイスを制限します。仮想化ベースのコード整合性 (より具体的には HVCI) の保護。

構成可能なコード整合性ポリシーと HVCI は、個別に使用できる強力な保護機能です。 ただし、これら2つのテクノロジが連携するように構成されている場合は、Windows 10 デバイスで非常に強力な保護機能が提供されます。 これにより、構成可能なコードの整合性と HVCI という組み合わせの "構成状態" が、Windows Defender Device Guard として参照されました。

構成可能なコードの整合性を使って、認定されたアプリのみにデバイスを制限すると、他のソリューションよりも次のような利点があります

  1. 構成可能なコード整合性ポリシーは、Windows カーネル自体によって適用されます。 このように、ポリシーは、ほとんどすべての OS コードの前と、従来のウイルス対策ソリューションが実行される前に、ブートシーケンスの早い段階で有効になります。
  2. 構成可能なコードの整合性により、ユーザーは、ユーザーモードで実行されているコードだけでなく、カーネルモードのハードウェアとソフトウェアドライバー、および Windows の一部として実行されるコードでも、アプリケーションコントロールポリシーを設定できます。
  3. ユーザーは、ポリシーにデジタル署名を行って、ローカル管理者の改ざんからでも、構成可能なコード整合性ポリシーを保護することができます。 このため、ポリシーを変更するには、管理者特権と組織のデジタル署名プロセスへのアクセスが必要となるため、管理者特権を持つ攻撃者にとっては非常に困難であるか、管理されている悪意のあるソフトウェアであるということです。管理権限を取得して、アプリケーション制御ポリシーを変更します。
  4. 構成可能なコードの整合性適用メカニズムは、HVCI で保護することができます。ここでは、カーネルモードコードに脆弱性が存在する場合でも、攻撃者が問題を悪用した可能性が大幅に低下する可能性があります。 この関連度はなぜですか? これは、カーネルを侵害する攻撃者が、ほとんどのシステム防御を無効にして、構成可能なコードの整合性またはその他のアプリケーション制御ソリューションによって適用されるアプリケーション制御ポリシーを上書きするための十分な権限を持っているためです。

(再)Windows Defender アプリケーション制御の概要

Windows Defender Device Guard として参照した構成の状態を最初に設計したときは、特定のセキュリティの保証を念頭に置いていました。 デバイスガード構成の2つの主な OS 機能間に直接の依存関係はありませんが、構成可能なコードの整合性と HVCI の間では、お客様のディスカッションを展開するときに達成したデバイスガードのロックダウンの状態に対して意図的に焦点を置いています。一緒に。

ただし、この構成状態を説明するために、デバイスガードという用語を使用することで、多くの IT プロフェッショナルは、2つの機能が inexorably リンクされ、個別に展開できないという印象を与えてしまいました。 さらに、HVCI は Windows 仮想化ベースのセキュリティに依存しているため、古いシステムでは満たすことができないハードウェア、ファームウェア、およびカーネルドライバーの互換性の要件が追加されています。

このため、多くの IT プロフェッショナルは、一部のシステムでは HVCI を使用できなかったため、構成可能なコードの整合性を使用できなかったと想定しています。 ただし、構成可能なコードの整合性には、Windows 10 を実行する場合以外に、特定のハードウェアやソフトウェアの要件は適用されません。そのため、多くの IT 担当者は、この強力なアプリケーション制御機能の利点を誤って拒否しました。

Windows 10 の最初のリリース以降、世界には多数のハッキングとマルウェア攻撃が witnessed されています。これにより、アプリの制御単体で攻撃をまったく防ぐことができます。 これについては、セキュリティスタック内の独立した技術として、構成可能なコードの整合性について説明し、 それについて説明します。 この変更により、組織内でのアプリケーションの管理に関するオプションをより効果的に伝えることができるようになります。

この平均 Windows Defender デバイスガード構成の状態は、次のようになりますか? 全く違います。 デバイスガードという用語は、Windows Defender アプリケーション制御 (WDAC)、HVCI、ハードウェアおよびファームウェアのセキュリティ機能を通じて実現された完全にロックダウンされた状態を示す手段として引き続き使用されます。 また、当社の OEM パートナーと協力して、"デバイスガード対応" のデバイスの仕様を特定することもできます。これにより、共通のお客様は、"Device Guard" ロックされた元のハードウェアとファームウェアの要件を満たしているデバイスを簡単に購入することができます。Windows 10 ベースのデバイスのダウンシナリオ。

関連トピック

Windows Defender アプリケーション制御

Windows 10 の Windows Defender Device Guard を使ったマルウェアの脅威の撃破に関するビデオ

Windows 10 での Windows Defender Device Guard に対するドライバーの互換性に関するブログ記事

コード整合性