Windows Defender アプリケーションコントロールと仮想化ベースのコードの整合性の保護Windows Defender Application Control and virtualization-based protection of code integrity

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

Windows 10 には、一連のハードウェアと OS のテクノロジが含まれており、それらを組み合わせて構成することで、企業は、モバイルデバイスの多くのプロパティで動作するように Windows 10 システムのロックダウンを行うことができます。Windows 10 includes a set of hardware and OS technologies that, when configured together, allow enterprises to "lock down" Windows 10 systems so they operate with many of the properties of mobile devices. この構成では、特定のテクノロジが連携して、構成可能なコードの整合性と呼ばれる機能を使って、認定されたアプリのみを実行するようにデバイスを制限します。仮想化ベースのコード整合性 (より具体的には HVCI) の保護。In this configuration, specific technologies work together to restrict devices to only run authorized apps by using a feature called configurable code integrity, while simultaneously hardening the OS against kernel memory attacks through the use of virtualization-based protection of code integrity (more specifically, HVCI).

構成可能なコード整合性ポリシーと HVCI は、個別に使用できる強力な保護機能です。Configurable code integrity policies and HVCI are very powerful protections that can be used separately. ただし、これら2つのテクノロジが連携するように構成されている場合は、Windows 10 デバイスで非常に強力な保護機能が提供されます。However, when these two technologies are configured to work together, they present a very strong protection capability for Windows 10 devices.

構成可能なコードの整合性を使って、認定されたアプリのみにデバイスを制限すると、他のソリューションよりも次のような利点がありますUsing configurable code integrity to restrict devices to only authorized apps has these advantages over other solutions:

  1. 構成可能なコード整合性ポリシーは、Windows カーネル自体によって適用されます。Configurable code integrity policy is enforced by the Windows kernel itself. このように、ポリシーは、ほとんどすべての OS コードの前と、従来のウイルス対策ソリューションが実行される前に、ブートシーケンスの早い段階で有効になります。As such, the policy takes effect early in the boot sequence before nearly all other OS code and before traditional antivirus solutions run.
  2. 構成可能なコードの整合性により、ユーザーは、ユーザーモードで実行されているコードだけでなく、カーネルモードのハードウェアとソフトウェアドライバー、および Windows の一部として実行されるコードでも、アプリケーションコントロールポリシーを設定できます。Configurable code integrity allows customers to set application control policy not only over code running in user mode, but also kernel mode hardware and software drivers and even code that runs as part of Windows.
  3. ユーザーは、ポリシーにデジタル署名を行って、ローカル管理者の改ざんからでも、構成可能なコード整合性ポリシーを保護することができます。Customers can protect the configurable code integrity policy even from local administrator tampering by digitally signing the policy. このため、ポリシーを変更するには、管理者特権と組織のデジタル署名プロセスへのアクセスが必要となるため、管理者特権を持つ攻撃者にとっては非常に困難であるか、管理されている悪意のあるソフトウェアであるということです。管理権限を取得して、アプリケーション制御ポリシーを変更します。This would mean that changing the policy would require both administrative privilege and access to the organization’s digital signing process, making it extremely difficult for an attacker with administrative privilege, or malicious software that managed to gain administrative privilege, to alter the application control policy.
  4. 構成可能なコードの整合性適用メカニズムは、HVCI で保護することができます。ここでは、カーネルモードコードに脆弱性が存在する場合でも、攻撃者が問題を悪用した可能性が大幅に低下する可能性があります。The entire configurable code integrity enforcement mechanism can be protected by HVCI, where even if a vulnerability exists in kernel mode code, the likelihood that an attacker could successfully exploit it is significantly diminished. この関連度はなぜですか?Why is this relevant? これは、カーネルを侵害する攻撃者が、ほとんどのシステム防御を無効にして、構成可能なコードの整合性またはその他のアプリケーション制御ソリューションによって適用されるアプリケーション制御ポリシーを上書きするための十分な権限を持っているためです。That’s because an attacker that compromises the kernel would otherwise have enough privilege to disable most system defenses and override the application control policies enforced by configurable code integrity or any other application control solution.

Windows Defender アプリケーション制御Windows Defender Application Control

この構成状態を最初に設計したときは、特定のセキュリティの保証を念頭に置いていました。When we originally designed this configuration state, we did so with a specific security promise in mind. 構成可能なコードの整合性と HVCI の間に直接的な依存関係はありませんが、展開時に達成したロックの状態については意図的に重点的に取り上げています。Although there were no direct dependencies between configurable code integrity and HVCI, we intentionally focused our discussion around the lockdown state you achieve when deploying them together. ただし、HVCI は Windows 仮想化ベースのセキュリティに依存しているため、いくつかの古いシステムでは満たすことができないハードウェア、ファームウェア、およびカーネルドライバーの互換性の要件が追加されています。However, given that HVCI relies on Windows virtualization-based security, it comes with additional hardware, firmware, and kernel driver compatibility requirements that some older systems can’t meet. このため、多くの IT プロフェッショナルは、一部のシステムでは HVCI を使用できなかったため、構成可能なコードの整合性を使用できなかったと想定しています。As a result, many IT Professionals assumed that because some systems couldn't use HVCI, they couldn’t use configurable code integrity either.

構成可能なコードの整合性は、Windows 10 を実行する場合には特定のハードウェアまたはソフトウェア要件を適用しません。つまり、多くの IT 担当者は、この強力なアプリケーション制御機能の利点を誤って拒否しました。Configurable code integrity carries no specific hardware or software requirements other than running Windows 10, which means many IT professionals were wrongly denied the benefits of this powerful application control capability.

Windows 10 の最初のリリース以降、世界には多数のハッキングとマルウェア攻撃が witnessed されています。これにより、アプリの制御単体で攻撃をまったく防ぐことができます。Since the initial release of Windows 10, the world has witnessed numerous hacking and malware attacks where application control alone could have prevented the attack altogether. これについては、セキュリティスタック内の独立した技術として、構成可能なコードの整合性について説明し、それについて説明します。With this in mind, we are discussing and documenting configurable code integrity as a independent technology within our security stack and giving it a name of its own: Windows Defender Application Control. この変更により、組織内でのアプリケーションの管理に関するオプションをより効果的に伝えることができるようになります。We hope this change will help us better communicate options for adopting application control within an organization.

関連記事Related articles

Windows Defender アプリケーション制御Windows Defender Application Control

Windows 10 の Windows Defender を使って、マルウェアの脅威に対してハンマーをダウンするDropping the Hammer Down on Malware Threats with Windows 10’s Windows Defender

Windows 10 での Windows Defender とのドライバーの互換性Driver compatibility with Windows Defender in Windows 10

コード整合性Code integrity