Windows Defender アプリケーションコントロールと仮想化ベースのコードの整合性の保護

適用対象

  • Windows 10
  • Windows Server 2016

Windows 10 には、一連のハードウェアと OS のテクノロジが含まれており、それらを組み合わせて構成することで、企業は、モバイルデバイスの多くのプロパティで動作するように Windows 10 システムのロックダウンを行うことができます。 この構成では、特定のテクノロジが連携して、構成可能なコードの整合性と呼ばれる機能を使って、認定されたアプリのみを実行するようにデバイスを制限します。仮想化ベースのコード整合性 (より具体的には HVCI) の保護。

構成可能なコード整合性ポリシーと HVCI は、個別に使用できる強力な保護機能です。 ただし、これら2つのテクノロジが連携するように構成されている場合は、Windows 10 デバイスで非常に強力な保護機能が提供されます。

構成可能なコードの整合性を使って、認定されたアプリのみにデバイスを制限すると、他のソリューションよりも次のような利点があります

  1. 構成可能なコード整合性ポリシーは、Windows カーネル自体によって適用されます。 このように、ポリシーは、ほとんどすべての OS コードの前と、従来のウイルス対策ソリューションが実行される前に、ブートシーケンスの早い段階で有効になります。
  2. 構成可能なコードの整合性により、ユーザーは、ユーザーモードで実行されているコードだけでなく、カーネルモードのハードウェアとソフトウェアドライバー、および Windows の一部として実行されるコードでも、アプリケーションコントロールポリシーを設定できます。
  3. ユーザーは、ポリシーにデジタル署名を行って、ローカル管理者の改ざんからでも、構成可能なコード整合性ポリシーを保護することができます。 このため、ポリシーを変更するには、管理者特権と組織のデジタル署名プロセスへのアクセスが必要となるため、管理者特権を持つ攻撃者にとっては非常に困難であるか、管理されている悪意のあるソフトウェアであるということです。管理権限を取得して、アプリケーション制御ポリシーを変更します。
  4. 構成可能なコードの整合性適用メカニズムは、HVCI で保護することができます。ここでは、カーネルモードコードに脆弱性が存在する場合でも、攻撃者が問題を悪用した可能性が大幅に低下する可能性があります。 この関連度はなぜですか? これは、カーネルを侵害する攻撃者が、ほとんどのシステム防御を無効にして、構成可能なコードの整合性またはその他のアプリケーション制御ソリューションによって適用されるアプリケーション制御ポリシーを上書きするための十分な権限を持っているためです。

Windows Defender アプリケーション制御

この構成状態を最初に設計したときは、特定のセキュリティの保証を念頭に置いていました。 構成可能なコードの整合性と HVCI の間に直接的な依存関係はありませんが、展開時に達成したロックの状態については意図的に重点的に取り上げています。 ただし、HVCI は Windows 仮想化ベースのセキュリティに依存しているため、いくつかの古いシステムでは満たすことができないハードウェア、ファームウェア、およびカーネルドライバーの互換性の要件が追加されています。 このため、多くの IT プロフェッショナルは、一部のシステムでは HVCI を使用できなかったため、構成可能なコードの整合性を使用できなかったと想定しています。

構成可能なコードの整合性は、Windows 10 を実行する場合には特定のハードウェアまたはソフトウェア要件を適用しません。つまり、多くの IT 担当者は、この強力なアプリケーション制御機能の利点を誤って拒否しました。

Windows 10 の最初のリリース以降、世界には多数のハッキングとマルウェア攻撃が witnessed されています。これにより、アプリの制御単体で攻撃をまったく防ぐことができます。 これについては、セキュリティスタック内の独立した技術として、構成可能なコードの整合性について説明し、それについて説明します。 この変更により、組織内でのアプリケーションの管理に関するオプションをより効果的に伝えることができるようになります。

関連記事

Windows Defender アプリケーション制御

Windows 10 の Windows Defender を使って、マルウェアの脅威に対してハンマーをダウンする

Windows 10 での Windows Defender とのドライバーの互換性

コード整合性