Device Guard: Windows Defender Application Control とコードの整合性の仮想化ベースの保護

適用対象

  • Windows 10
  • Windows Server 2016

Windows 10 には、ハードウェアと OS のテクノロジのセットが含まれていますが、まとめて構成すると、許可、企業が Windows システムの「ロックダウン」をモバイル デバイスのプロパティの多くで動作するようにします。 この構成では特定のテクノロジは、連携を同時に、OS を使用すると、カーネル メモリ攻撃に対するセキュリティ強化の中に、構成可能なコード整合性と呼ばれる機能を使用して、承認されたアプリのみを実行するデバイスを制限するにはコード整合性 (具体的には、HVCI) の仮想化ベースの保護します。

構成可能なコード整合性ポリシーと HVCI は、個別に使用できる非常に強力な保護です。 ただし、これら 2 つのテクノロジを構成すると、連携して、Windows 10 デバイス用の非常に強力な保護機能が表示されます。 構成可能なコード整合性の「構成状態」を組み合わせるこれと HVCI に Windows Defender Device Guard と呼ばれるされています。

構成可能なコードの整合性を使用して、承認されたアプリのみにデバイスを制限すると、その他のソリューション経由でのこれらの利点があります。

  1. 構成可能なコード整合性ポリシーは、Windows カーネル自体によって強制されます。 このため、ポリシーは、コードの前にほぼすべての他の OS と従来のウイルス対策ソリューションを実行する前に、ブート シーケンスの初期段階で反映されます。
  2. 構成可能なコードの整合性を使用することにより、カーネル モードのハードウェアとソフトウェアのドライバーと Windows の一部として実行されるでもコードではもが、ユーザー モードで実行されるコード経由だけでなくアプリケーション制御ポリシーを設定できます。
  3. お客様は、ローカルの管理者がポリシーにデジタル署名による改ざんからも構成可能なコード整合性ポリシーを保護できます。 これは意味をポリシーの変更が必要になります管理者権限と、組織のデジタル署名プロセスが困難に非常に管理者特権は、または悪意のあるソフトウェアを管理する攻撃者へのアクセスの両方アプリケーション制御ポリシーを変更するのには、管理者特権を取得します。
  4. 全体の構成可能なコード整合性の強制メカニズムは、場所カーネル モード コードの脆弱性が存在する場合でも、正常に攻撃者は、可能性が大幅に低下し、HVCI によって保護することができます。 理由は、この関連するかどうか。 カーネルを侵害する攻撃者は、ほとんどのシステム防御を無効にし、構成可能なコードの整合性やその他のアプリケーション管理のソリューションによって強制されるアプリケーション制御ポリシーを上書きするための十分な特権があるそれ以外の場合があるためにです。

(Re -)Windows Defender Application Control の概要

最初に Windows Defender Device Guard と呼ばれますが構成の状態を設計したときに留意する特定のセキュリティ promise のため扱ったします。 Device Guard の構成、構成可能なコード整合性、および HVCI の 2 つの主な OS 機能の間で直接の依存関係がありませんでしたが意図的に重点的に取り組みました実現するにはそれらを展開するとき、Device Guard のロックダウン状態に関する説明一緒に。

ただし、この構成状態を記述する Device Guard の用語の使用が意図せずまま印象を 2 つの機能が強制的にリンクされていたし、個別に配置できませんでした多くの IT 担当者向けのいます。 さらに、HVCI は、Windows の仮想化ベースのセキュリティに依存することが付属しています追加ハードウェア、ファームウェア、およびカーネル ドライバーの互換性の要件をいくつかの古いシステムが満たすことはできません。

その結果、多くの IT 担当者向けでは、一部のシステムでは、HVCI を使うことができなかったため構成可能なコードの整合性をか、使用ができませんでしたと見なされます。 ただし、特定のハードウェアまたはソフトウェア要件、多くの IT 技術者がこの強力なアプリケーション制御機能のメリットを誤って拒否されたことを意味します。 Windows 10 を実行する以外構成可能なコードの整合性を保持しません。

Windows 10 の最初のリリース以降、単独でアプリケーション制御でしたできないように設定攻撃完全な多くのハッキングやマルウェア攻撃の流れに世界がします。 これを念頭に、について説明して、セキュリティ スタック内の独立したテクノロジとして構成可能なコードの整合性を文書化であり、独自の名前を付けること: Windows Defender Application Controlします。 この変更に役立つ、組織内でアプリケーション制御を採用するためのオプションのコミュニケーションを改善を願っています。

この平均 Windows Defender Device Guard の構成の状態がされなくなることですか。 全く違います。 Device Guard は引き続き Windows Defender Application Control (WDAC)、HVCI、およびハードウェアとファームウェアのセキュリティ機能を使用して実現される完全にロックダウン状態を記述する方法として使用される用語です。 デバイス、共通のお客様が、元"Device Guard の"ロックされているハードウェアとファームウェアの要件をすべて満たすデバイスを購入できます。 簡単にできるように、"Device Guard 対応"の場合の仕様を識別する、OEM パートナーとの連携させることもできます。Windows 10 用のシナリオをデバイスに基づいています。

関連トピック

Windows Defender アプリケーション制御

Windows 10 の Windows Defender Device Guard を使ったマルウェアの脅威の撃破に関するビデオ

Windows 10 での Windows Defender Device Guard に対するドライバーの互換性に関するブログ記事

コード整合性