Windows Defender アプリケーション コントロール設定可能なコードの整合性とセキュリティの仮想化 (別名 Windows Defender デバイス警備隊)

適用対象

  • Windows 10
  • Windows Server 2016

Windows 10 にはハードウェアと OS テクノロジが含まれますが、多くのモバイル デバイスのプロパティで動作するように「ロックダウン」Windows システムへの企業を許可する、構成すると、共同します。 この構成で特定のテクノロジ共同作業を行うのみ可能コード整合性 (CI) と呼ばれる機能を使用して承認されたアプリを実行するデバイスを制限するに同時を使用すると、カーネル メモリ攻撃を OS を強化しながらコードの整合性 (具体的には、HVCI) の仮想化ベースの保護します。

設定可能な CI と HVCI は、個別に使用できる強力な保護機能です。 ただし、共同作業を行うには、これら 2 つのテクノロジが構成されている、すると、Windows 10 デバイス向けに非常に強力な保護機能が表示されます。 設定可能な CI の「構成状態」を結合この Windows 10 の記念日の更新 (1607) から始めてと HVCI がされていると呼ばれる Windows Defender デバイス保護します。

デバイスを autherized アプリのみに制限するに設定可能な CI を使用すると、その他のソリューションをこれらの利点があります。

  1. 設定可能な CI ポリシーは、Windows カーネルによって強制されます。 ように、ポリシーは、早い段階で起動シーケンスほぼすべての OS コードの前に、従来のウイルス対策ソリューションを実行する前に反映されます。
  2. 設定可能な CI を使用することにより、モード ハードウェアおよびソフトウェアのドライバーと Windows の一部として実行している偶数コードではもが、ユーザー モードで実行されるコードの上にだけでなくアプリケーションの制御のポリシーを設定できます。
  3. お客様は、ポリシーのデジタル署名を改ざんローカルの管理者からでも設定可能な CI ポリシーを保護できます。 これは、ポリシーの変更が必要になる管理者特権とプロセスへのアクセス、組織のデジタル署名、難しく非常に管理者権限は、または悪意のあるソフトウェアを管理するための両方アプリケーションの制御のポリシーを変更するのには、管理者権限を取得します。
  4. 設定可能な CI 強制実行メカニズム全体を保護するには、場所カーネル モード コードの脆弱性が存在する場合でも、正常に攻撃者はその可能性が大幅に低下し、HVCI します。 なぜこの関連がよいですか。 攻撃者カーネルに影響を持っているほとんどのシステム防御を無効にして構成可能な CI またはその他のアプリケーション制御ソリューションを強制的に実行アプリケーションの制御ポリシーを上書きするには、十分な権限があるためにです。

(再 -)Windows Defender アプリケーションの制御の概要

元々 構成都道府県 Windows Defender デバイス警備隊と呼ばれるがあることをおときにしましたように注意固有のセキュリティ約束します。 設定可能な CI と HVCI、デバイスの警備隊構成の 2 つの主要な OS 機能の間で直接の依存関係がないのでは意図的に重点を置いた一緒に展開するときに行うデバイス警備隊ロックダウン状態に基づいて説明します。

ただし、この構成の状態を説明するデバイス警備隊用語の使用誤って left 印象多く IT プロフェッショナル向けの 2 つの機能が強制的にリンクされていたし、個別に配置できませんでした。 さらに、HVCI は、Windows の仮想化ベースのセキュリティに依存することには、追加のハードウェア、ファームウェア、およびカーネル ドライバーの互換性の要件を古いシステムを満たすことはできませんできます。

その結果、多くの IT プロフェッショナルは、使用するためのシステムできませんでした HVCI、できませんでしたを使用している設定可能な CI かと見なされます。 設定可能な CI には、特定のハードウェアや多くの IT プロフェッショナルは、このアプリケーションの強力な管理機能の利点を拒否誤ってされたため、Windows 10 を実行している以外のソフトウェア要件保持しません。

Windows 10 の最初のリリース後、世界中は、アプリケーションの制御だけが受け取れなく攻撃完全な多くのハッキングおよびマルウェア攻撃を目撃がします。 注意これにより、おはについての話し合いで、セキュリティ スタック内の独立した技術として設定可能な CI を文書化して、独自の名前を付けること: Windows Defender アプリケーションの制御します。 この変更を使用して、組織内のアプリケーションの制御を採用するためのオプションのコミュニケーションを改善いただいたと思います。

この平均 Windows Defender デバイス警備隊構成状態がされなくなることですか。 全く違います。 Windows Defender アプリケーション コントロール (WDAC)、HVCI、およびハードウェアのセキュリティ機能を使用して実現を完全にロックされた状態を説明する方法として使用するデバイス警備隊は引き続き用語します。 「デバイス保護機能を持つ」を共通のお客様はすべて、元「デバイス警備隊」ロックのハードウェア要件を満たしているデバイスを購入して簡単にできるように、デバイスの仕様を識別する OEM パートナーを操作することができます。Windows 10 用のシナリオをデバイスに基づいています。

関連トピック

Windows Defender アプリケーション制御

Windows 10 の Windows Defender Device Guard を使ったマルウェアの脅威の撃破に関するビデオ

Windows 10 での Windows Defender Device Guard に対するドライバーの互換性に関するブログ記事

コード整合性