Windows Defender アプリケーション制御とコード整合性の仮想化ベースの保護

適用対象

  • Windows 10
  • Windows Server 2016

Windows 10には、一緒に構成すると、企業がモバイル デバイスのように動作するようにシステムWindows 10"ロックダウン" できるハードウェアと OS テクノロジのセットが含まれています。 この構成では、Windows Defender アプリケーション制御 (WDAC) を使用して、承認されたアプリのみを実行するようにデバイスを制限しますが、OS はハイパーバイザーで保護されたコード整合性 (HVCI) を使用してカーネル メモリ攻撃に対して強化されます。

WDAC ポリシーと HVCI は、個別に使用できる強力な保護です。 ただし、これら 2 つのテクノロジが連携するように構成されている場合は、Windows 10 デバイスに対して強力な保護機能が提供されます。

Windows Defenderアプリケーション制御を使用して、承認されたアプリのみにデバイスを制限するには、他のソリューションよりも次の利点があります。

  1. WDAC ポリシーは Windows カーネル自体によって適用され、ほぼすべての他の OS コードの前と従来のウイルス対策ソリューションが実行される前に、ブート シーケンスの早い段階でポリシーが有効になります。
  2. WDAC を使用すると、ユーザー モードで実行されるコード、カーネル モードのハードウェアとソフトウェア ドライバー、さらには Windows の一部として実行されるコードに対してアプリケーション制御ポリシーを設定できます。
  3. お客様は、ポリシーにデジタル署名することで、ローカル管理者の改ざんからでも WDAC ポリシーを保護できます。 署名されたポリシーを変更するには、管理者特権と組織のデジタル署名プロセスへのアクセスの両方が必要です。 これにより、管理者特権を獲得した攻撃者を含む攻撃者が WDAC ポリシーを改ざんすることが困難になります。
  4. HVCI を使用して WDAC 強制メカニズム全体を保護できます。 カーネル モード コードに脆弱性が存在する場合でも、HVCI を使用すると、攻撃者が悪用に成功する可能性が大幅に低下します。 これは重要です。これは、カーネルを侵害する攻撃者が通常、WDAC やその他のアプリケーション制御ソリューションによって強制されたものも含め、ほとんどのシステム防御を無効にできるためです。

Device Guard ブランドを使用しなくなった理由

もともと Device Guard を昇格させたときに、特定のセキュリティの約束を念頭に置いて行いました。 WDAC と HVCI の間には直接的な依存関係はありませんでしたが、これらを組み合わせて使用するときに実現されるロックダウン状態に関する議論に意図的に焦点を当てています。 ただし、HVCI は Windows 仮想化ベースのセキュリティに依存しているため、一部の古いシステムでは満たされないハードウェア、ファームウェア、カーネル ドライバーの互換性要件があります。 これにより、多くのユーザーは、システムで HVCI を使用できない場合は、WDAC も使用できないと考えています。

WDAC には、Windows 10の実行以外に特定のハードウェアまたはソフトウェアの要件がないため、Device Guard の混乱により、この強力なアプリケーション制御機能の利点が拒否されたことを意味します。

Windows 10の最初のリリース以降、世界では、アプリケーション制御だけで攻撃を完全に防ぐ可能性がある多数のハッキング攻撃やマルウェア攻撃が発生しています。 このことを念頭に置いて、セキュリティ スタック内の独立したテクノロジとしてWindows Defenderアプリケーション制御について説明し、文書化し、アプリケーション制御Windows Defender独自の名前を付けます。 この変更が、組織内でアプリケーション制御を採用するためのより良いコミュニケーション オプションに役立つことを願っています。

関連記事