Windows 10 のセキュリティ機能を使用して脅威を軽減するMitigate threats by using Windows 10 security features

適用対象Applies to:

  • Windows 10Windows 10

このトピックでは、現在のセキュリティ環境におけるソフトウェアやファームウェアの脅威の概要と、これらの脅威に対応するために Windows 10 が提供する軽減策について説明します。This topic provides an overview of some of the software and firmware threats faced in the current security landscape, and the mitigations that Windows 10 offers in response to these threats. Microsoft が提供する関連する保護については、「関連トピック」をご覧ください。For information about related types of protection offered by Microsoft, see Related topics.

セクションSection 内容Contents
今日のセキュリティの脅威The security threat landscape 今日のセキュリティの脅威の性質を説明し、ソフトウェアの悪用や脅威を軽減するための Windows 10 の対応策について説明します。Describes the current nature of the security threat landscape, and outlines how Windows 10 is designed to mitigate software exploits and similar threats.
構成可能な Windows 10 の軽減策Windows 10 mitigations that you can configure 構成可能な脅威の軽減策の一覧表と、詳細情報へのリンクを提供します。Provides tables of configurable threat mitigations with links to more information. Device Guard などの製品の機能を表 1 に示し、データ実行防止などのメモリ保護オプションを表 2 に示します。Product features such as Device Guard appear in Table 1, and memory protection options such as Data Execution Prevention appear in Table 2.
Windows 10 に組み込まれている軽減策Mitigations that are built in to Windows 10 構成を必要としない、オペレーティング システムに組み込まれている、Windows 10 の軽減策について説明します。Provides descriptions of Windows 10 mitigations that require no configuration—they are built into the operating system. たとえば、ヒープの保護とカーネル プールの保護は、Windows 10 に組み込まれています。For example, heap protections and kernel pool protections are built into Windows 10.
Enhanced Mitigation Experience Toolkit に関連する Windows 10 の理解Understanding Windows 10 in relation to the Enhanced Mitigation Experience Toolkit Enhanced Mitigation Experience Toolkit (EMET) の軽減策と Windows 10 の組み込み機能の対応、および EMET の設定を Windows 10 の軽減策のポリシーに変換する方法について説明します。Describes how mitigations in the Enhanced Mitigation Experience Toolkit (EMET) correspond to features built into Windows 10 and how to convert EMET settings into mitigation policies for Windows 10.

このトピックでは、侵害発生前の軽減策である、デバイス保護と脅威への対抗について説明します。This topic focuses on pre-breach mitigations aimed at device protection and threat resistance. Windows 10 でのこれらの保護機能とその他のセキュリティ防御のしくみを次の図に示します。These protections work with other security defenses in Windows 10, as shown in the following illustration:

Types of defenses in Windows 10

図 1    Windows 10 のセキュリティ防御の一部としてのデバイス保護と脅威への対抗Figure 1.  Device protection and threat resistance as part of the Windows 10 security defenses

今日のセキュリティの脅威The security threat landscape

今日のセキュリティ脅威の状況は、攻撃的で粘り強い脅威の 1 つです。Today's security threat landscape is one of aggressive and tenacious threats. 以前は、悪意のある攻撃者は、主に攻撃を通じてコミュニティで認められることや、システムを一時的にオフラインにするスリルに重点を置いていました。In previous years, malicious attackers mostly focused on gaining community recognition through their attacks or the thrill of temporarily taking a system offline. それ以来、攻撃者の動機は、所有者が要求された身代金を支払うまで、デバイスやデータを人質に保持するなど、お金を稼ぐ方向に移行しました。Since then, attacker's motives have shifted toward making money, including holding devices and data hostage until the owner pays the demanded ransom. 最近の攻撃は次第に大規模な知的財産の窃盗に集中してきています。システムがターゲットとなったことによる名誉損失が金銭的な損失につながったり、サイバー テロによって世界中の個人、企業、および国家の利益のセキュリティまで脅かされるようになりました。Modern attacks increasingly focus on large-scale intellectual property theft; targeted system degradation that can result in financial loss; and now even cyberterrorism that threatens the security of individuals, businesses, and national interests all over the world. 通常、これらの攻撃者は高いスキルを持った個人やセキュリティの専門家であり、大規模な予算や、無制限とも言える人材を持つ、国家や組織に雇われている場合もあります。These attackers are typically highly trained individuals and security experts, some of whom are in the employ of nation states that have large budgets and seemingly unlimited human resources. これらの脅威には、その課題に対応したアプローチが必要となります。Threats like these require an approach that can meet this challenge.

今日のこれらの状況を踏まえ、Windows 10 Creators Update (Windows 10 バージョン 1073) には、多くのソフトウェア脆弱性の発見と悪用を困難 (またはコストがかかるよう) にするための、複数のセキュリティ機能が含まれています。In recognition of this landscape, Windows 10 Creator's Update (Windows 10, version 1703) includes multiple security features that were created to make it difficult (and costly) to find and exploit many software vulnerabilities. これらの機能は、次の目的で設計されています。These features are designed to:

  • あらゆるクラスの脆弱性を排除しますEliminate entire classes of vulnerabilities

  • 悪用手法を防ぎますBreak exploitation techniques

  • 損害を阻止し、持続化を防止しますContain the damage and prevent persistence

  • 悪用される機会を制限しますLimit the window of opportunity to exploit

以下のセクションでは、Windows 10 バージョン 1703 におけるセキュリティの軽減策の詳細を説明します。The following sections provide more detail about security mitigations in Windows 10, version 1703.

構成可能な Windows 10 の軽減策Windows 10 mitigations that you can configure

構成可能な Windows 10 の軽減策を、次の 2 つの表に示します。Windows 10 mitigations that you can configure are listed in the following two tables. 最初の表は、企業におけるデバイスとユーザーのためのさまざまな保護を示します。2 つ目の表は、データ実行防止などの具体的なメモリ保護について詳しく説明しています。The first table covers a wide array of protections for devices and users across the enterprise and the second table drills down into specific memory protections such as Data Execution Prevention. メモリ保護オプションは、システムの制御を取得するためにメモリを操作しようとするマルウェアに対する具体的な軽減策を提供します。Memory protection options provide specific mitigations against malware that attempts to manipulate memory in order to gain control of a system.

表1 構成可能な Windows 10 の軽減策Table 1 Windows 10 mitigations that you can configure

軽減策と対応する脅威Mitigation and corresponding threat 説明とリンクDescription and links
Windows Defender SmartScreenWindows Defender SmartScreen
は、悪意のあるアプリケーションがダウンロードされることを防ぎますhelps prevent
悪意のあるアプリケーションmalicious applications
ダウンロードからfrom being downloaded
Windows Defender SmartScreen では、Microsoft が保守を行っているサービスを使用して、ダウンロードされたアプリケーションの評判を確認できます。Windows Defender SmartScreen can check the reputation of a downloaded application by using a service that Microsoft maintains. インターネットに由来するアプリ (ユーザーが別の PC からコピーしたものも含む) をユーザーが初めて実行する場合、SmartScreen はアプリに評判があるかどうか、悪意があることがわかっているかどうかを確認し、それに応じて対応します。The first time a user runs an app that originates from the Internet (even if the user copied it from another PC), SmartScreen checks to see if the app lacks a reputation or is known to be malicious, and responds accordingly.

詳しくは、 後述の「Windows Defender SmartScreen」をご覧ください。More information: Windows Defender SmartScreen, later in this topic
Credential GuardCredential Guard
は、pass-the-hash または pass-the-ticket 攻撃によって、攻撃者がアクセスを取得しないようにしますhelps keep attackers
からアクセスを取得するfrom gaining access through
Pass-the-Hash またはPass-the-Hash or
チケットパス攻撃Pass-the-Ticket attacks
Credential Guard は、仮想化ベースのセキュリティを使って、NTLM パスワード ハッシュ、Kerberos チケット保証チケットなどのシークレットを分離し、特権を持つシステム ソフトウェアのみがアクセスできるようにします。Credential Guard uses virtualization-based security to isolate secrets, such as NTLM password hashes and Kerberos Ticket Granting Tickets, so that only privileged system software can access them.
Credential Guard は Windows 10 Enterprise および Windows Server 2016 に含まれています。Credential Guard is included in Windows 10 Enterprise and Windows Server 2016.

詳しくは、Credential Guard によるドメインの派生資格情報の保護」をご覧ください。More information: Protect derived domain credentials with Credential Guard
エンタープライズ証明書のピン留めEnterprise certificate pinning
は、PKI を使った man-in-the-middle 攻撃を防ぎますhelps prevent
中間者攻撃man-in-the-middle attacks
PKI を活用するthat leverage PKI
エンタープライズ証明書のピン留めを使用すると、望ましくない証明書や不正に発行された証明書にチェーンすることを防ぎ、内部のドメイン名を保護できます。Enterprise certificate pinning enables you to protect your internal domain names from chaining to unwanted certificates or to fraudulently issued certificates. エンタープライズ証明書をピン留めすると、X.509 証明書とその公開キーをルートまたはリーフのいずれかの証明機関に "ピン留め" (関連付け) できます。With enterprise certificate pinning, you can "pin" (associate) an X.509 certificate and its public key to its Certification Authority, either root or leaf.

詳しくは、エンタープライズ証明書のピン留め」をご覧ください。More information: Enterprise Certificate Pinning
Device GuardDevice Guard
は、デバイスでマルウェアやその他の信頼されていないアプリが実行されることを防ぎますhelps keep a device
マルウェアの実行またはfrom running malware or
他の信頼されていないアプリother untrusted apps
Device Guard には、作成するコード整合性ポリシーが含まれています。信頼できるアプリの許可リスト (組織内で実行できる唯一のアプリ)。Device Guard includes a Code Integrity policy that you create; an allowlist of trusted apps—the only apps allowed to run in your organization. Device Guard には、ハイパーバイザーで保護されたコード整合性 (HVCI) と呼ばれる強力なシステム軽減策も含まれています。仮想化ベースのセキュリティ (VBS) を活用して Windows のカーネル モード コード整合性検証プロセスを保護します。Device Guard also includes a powerful system mitigation called hypervisor-protected code integrity (HVCI), which leverages virtualization-based security (VBS) to protect Windows' kernel-mode code integrity validation process. HVCI には特定のハードウェア要件があり、コード整合性ポリシーと共に動作して、攻撃者がカーネルへのアクセスを取得した場合でも、攻撃を防止します。HVCI has specific hardware requirements, and works with Code Integrity policies to help stop attacks even if they gain access to the kernel.
Device Guard は Windows 10 Enterprise および Windows Server 2016 に含まれています。Device Guard is included in Windows 10 Enterprise and Windows Server 2016.

詳しくは、Device Guard の概要」をご覧ください。More information: Introduction to Device Guard
Microsoft Defender ウイルス対策Microsoft Defender Antivirus,
は、デバイスをウイルスやその他のマルウェアから防ぎますwhich helps keep devices
ウイルスやその他のウイルスが含free of viruses and other
マルウェアmalware
Windows 10 には、堅牢な受信トレイマルウェア対策ソリューションである Microsoft Defender Antivirus が含まれています。Windows 10 includes Microsoft Defender Antivirus, a robust inbox antimalware solution. Microsoft Defender ウイルス対策は、Microsoft Defender ウイルス対策プログラムで導入されたので、大幅にWindows 8。Microsoft Defender Antivirus has been significantly improved since it was introduced in Windows 8.

詳細 : Microsoft Defender ウイルス対策、このトピックの後半More information: Microsoft Defender Antivirus, later in this topic
信頼されていないフォントのブロックBlocking of untrusted fonts
は、特権の昇格攻撃でフォントが使用されるのを防ぎますhelps prevent fonts
で使用されるからfrom being used in
特権昇格攻撃elevation-of-privilege attacks
信頼されていないフォントのブロックの設定により、ネットワークで信頼されていないフォントをユーザーが読み込むことを防ぐことができます。これにより、フォント ファイルの解析に関連付けられている、特権の昇格攻撃を軽減することができます。Block Untrusted Fonts is a setting that allows you to prevent users from loading fonts that are "untrusted" onto your network, which can mitigate elevation-of-privilege attacks associated with the parsing of font files. ただし、Windows 10 バージョン 1703 では、フォントの解析は AppContainer サンドボックス (これとその他のカーネル プールの保護を説明している一覧は、後述の「カーネル プールの保護」をご覧ください) 内で分離されているため、この軽減策の重要性は低くなっています。However, as of Windows 10, version 1703, this mitigation is less important, because font parsing is isolated in an AppContainer sandbox (for a list describing this and other kernel pool protections, see Kernel pool protections, later in this topic).

詳しくは、エンタープライズ内の信頼されていないフォントのブロック」をご覧ください。More information: Block untrusted fonts in an enterprise
メモリ保護Memory protections
は、マルウェアがバッファ オーバーランなどのメモリ操作技術を使用することを防ぎますhelp prevent malware
メモリ操作の使用からfrom using memory manipulation
バッファーなどの手法techniques such as buffer
overrunsoverruns
表 2 に記されている軽減策は、マルウェアやその他のコードがメモリを操作してシステムの制御を取得する(たとえば、マルウェアがバッファ オーバーランを使って悪意のある実行コードをメモリに挿入しようとするなど)、メモリ ベースの攻撃からの保護を行います。These mitigations, listed in Table 2, help to protect against memory-based attacks, where malware or other code manipulates memory to gain control of a system (for example, malware that attempts to use buffer overruns to inject malicious executable code into memory. 注:Note:
これらの軽減策のいくつかで、最も制限の厳しい設定に設定されている場合、アプリのサブセットは実行できません。A subset of apps will not be able to run if some of these mitigations are set to their most restrictive settings. テストは、これらのアプリを実行しながら、保護を最大化するのに役立ちます。Testing can help you maximize protection while still allowing these apps to run.

詳しくは、 後述の「表 2」をご覧ください。More information: Table 2, later in this topic
UEFI セキュア ブートUEFI Secure Boot
は、プラットフォームをブートキットやルートキットから保護しますhelps protect
プラットフォームのthe platform from
ブート キットとルートキットboot kits and rootkits
Unified Extensible Firmware Interface (UEFI) セキュア ブートは、Windows 8 以降、メーカーによって PC に組み込まれている、ファームウェアのセキュリティ標準です。Unified Extensible Firmware Interface (UEFI) Secure Boot is a security standard for firmware built in to PCs by manufacturers beginning with Windows 8. これにより、物理的に存在する攻撃者や、ブート プロセスの初期段階や起動後のカーネルで実行されるマルウェアによる改ざんから、ブート プロセスとファームウェアを保護します。It helps to protect the boot process and firmware against tampering, such as from a physically present attacker or from forms of malware that run early in the boot process or in kernel after startup.

詳しくは、UEFI とセキュア ブート」をご覧ください。More information: UEFI and Secure Boot
起動時マルウェア対策 (ELAM)Early Launch Antimalware (ELAM)
は、ドライバーに偽装するルートキットからプラットフォームを保護しますhelps protect
プラットフォームのthe platform from
ドライバーを装ったルートキットrootkits disguised as drivers
起動時マルウェア対策 (ELAM) は、Microsoft 以外のすべてのドライバーとアプリより前に、マルウェア対策ソリューションを起動できるように設計されています。Early Launch Antimalware (ELAM) is designed to enable the antimalware solution to start before all non-Microsoft drivers and apps. マルウェアが起動関連のドライバーを変更した場合、ELAM によって変更が検出され、Windows がドライバーの起動を防止するため、ドライバー ベースのルートキットがブロックされます。If malware modifies a boot-related driver, ELAM will detect the change, and Windows will prevent the driver from starting, thus blocking driver-based rootkits.

詳しくは、起動時マルウェア対策」をご覧ください。More information: Early Launch Antimalware
デバイス正常性構成証明Device Health Attestation
は、侵害されたデバイスが組織の資産にアクセスすることを防ぎますhelps prevent
侵害されたデバイスからcompromised devices from
組織の組織にアクセスするaccessing an organization's
資産assets
デバイス正常性構成証明 (DHA) は、組織のネットワークに接続しようとするデバイスが、正常な状態であり、マルウェアに侵害されていないことを確認する方法を提供します。Device Health Attestation (DHA) provides a way to confirm that devices attempting to connect to an organization's network are in a healthy state, not compromised with malware. DHA が構成されている場合、デバイスの実際のブート データ測定値を、予期される "正常な" ブート データと対して確認できます。When DHA has been configured, a device's actual boot data measurements can be checked against the expected "healthy" boot data. チェックによってデバイスが正常でないことが示されると、デバイスからネットワークへのアクセスが行われないようにします。If the check indicates a device is unhealthy, the device can be prevented from accessing the network.

詳しくは、Windows 10 ベースのデバイスの正常性の制御」および「デバイス正常性構成証明」をご覧ください。More information: Control the health of Windows 10-based devices and Device Health Attestation

メモリ操作からの保護を提供するための、構成可能な Windows 10 の軽減策には、これらの脅威および軽減策の詳細な理解と、オペレーティング システムとアプリケーションがメモリを処理する方法に関する知識が必要です。Configurable Windows 10 mitigations designed to help protect against memory manipulation require in-depth understanding of these threats and mitigations and knowledge about how the operating system and applications handle memory. これらの軽減策を最大化するための標準的なプロセスは、テスト ラボで、ある設定が使用しているアプリケーションと干渉しないかどうかを確認することです。それによって、アプリが正常に実行されるようにしながら、保護を最大化できる設定を展開します。The standard process for maximizing these types of mitigations is to work in a test lab to discover whether a given setting interferes with any applications that you use so that you can deploy settings that maximize protection while still allowing apps to run correctly.

IT 担当者は、制御フロー ガード (CFG) と呼ばれる追加の保護機能を含んだアプリケーションを提供するように、アプリケーション開発者やソフトウェア ベンダーに依頼することができます。As an IT professional, you can ask application developers and software vendors to deliver applications that include an additional protection called Control Flow Guard (CFG). オペレーティング システムの構成は必要ありません。保護は、アプリケーションにコンパイルされています。No configuration is needed in the operating system—the protection is compiled into applications. 詳しくは、「制御フロー ガード」をご覧ください。More information can be found in Control Flow Guard.

表 2 メモリの悪用から保護するために設計された構成可能な     Windows 10 の軽減策Table 2  Configurable Windows 10 mitigations designed to help protect against memory exploits

軽減策と対応する脅威Mitigation and corresponding threat 説明Description
データ実行防止 (DEP)Data Execution Prevention (DEP)
は、バッファ オーバーランの悪用を防ぎますhelps prevent
バッファー オーバーランの悪用exploitation of buffer overruns
データ実行防止 (DEP) は、Windows オペレーティング システムで利用できる、システム レベルのメモリ保護機能です。Data Execution Prevention (DEP) is a system-level memory protection feature available in Windows operating systems. DEP によってオペレーティング システムは、メモリの 1 つ以上のページを非実行可能としてマークできます。これにより、メモリのその領域からコードが実行されることを防ぎ、バッファ オーバーランの悪用を防ぎます。DEP enables the operating system to mark one or more pages of memory as non-executable, which prevents code from being run from that region of memory, to help prevent exploitation of buffer overruns.
DEP は、コードが、既定のヒープ、スタック、メモリ プールなどのデータ ページから実行されることを防ぎます。DEP helps prevent code from being run from data pages such as the default heap, stacks, and memory pools. 一部のアプリケーションでは、DEP と互換性の問題がありますが、アプリケーションの大部分は問題ありません。Although some applications have compatibility problems with DEP, the vast majority of applications do not.
詳しくは、 後述の「データ実行防止」をご覧ください。More information: Data Execution Prevention, later in this topic.

グループ ポリシー設定: DEP は 64 ビット アプリケーションでは既定でオンになっていますが、グループ ポリシーの設定を使って、DEP 保護の追加の構成を行うことができます。詳しくは「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。Group Policy settings: DEP is on by default for 64-bit applications, but you can configure additional DEP protections by using the Group Policy settings described in Override Process Mitigation Options to help enforce app-related security policies.
SEHOPSEHOP
は、構造化例外ハンドラーの上書きを防ぎますhelps prevent
の上書きoverwrites of the
構造化例外ハンドラーStructured Exception Handler
構造化例外処理の上書き保護 (SEHOP) は、構造化例外ハンドラー (SEH) の上書き処理の悪用を防ぎます。Structured Exception Handling Overwrite Protection (SEHOP) is designed to help block exploits that use the Structured Exception Handler (SEH) overwrite technique. この保護メカニズムは実行時に提供されるため、最新の機能強化を使ってコンパイルされているかどうかにかかわらず、アプリを保護するために役立ちます。Because this protection mechanism is provided at run-time, it helps to protect apps regardless of whether they have been compiled with the latest improvements. 一部のアプリケーションでは、SEHOP との互換性の問題があるため、必ず使用環境でテストを行ってください。A few applications have compatibility problems with SEHOP, so be sure to test for your environment.
詳しくは、 後述の「構造化例外処理の上書き保護」をご覧ください。More information: Structured Exception Handling Overwrite Protection, later in this topic.

グループ ポリシー設定: SEHOP は 64 ビット アプリケーションでは既定でオンになっていますが、グループ ポリシーの設定を使って、SEHOP 保護の追加の構成を行うことができます。詳しくは「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。Group Policy setting: SEHOP is on by default for 64-bit applications, but you can configure additional SEHOP protections by using the Group Policy setting described in Override Process Mitigation Options to help enforce app-related security policies.
ASLRASLR
は、予期されるメモリ位置に基いて、マルウェア攻撃を軽減しますhelps mitigate malware
に基づく攻撃attacks based on
予期されるメモリの場所expected memory locations
アドレス空間レイアウトのランダム化 (ASLR) は、ブート時に DLL をランダムなメモリ アドレスに読み込みます。Address Space Layout Randomization (ASLR) loads DLLs into random memory addresses at boot time. これによって、特定の DLL が読み込まれる特定のメモリ位置を攻撃するようなマルウェアを軽減できます。This helps mitigate malware that's designed to attack specific memory locations, where specific DLLs are expected to be loaded.
詳しくは、 後述の「アドレス空間レイアウトのランダム化」をご覧ください。More information: Address Space Layout Randomization, later in this topic.

グループ ポリシー設定: ASLR は 64 ビット アプリケーションでは既定でオンになっていますが、グループ ポリシーの設定を使って、ASLR 保護の追加の構成を行うことができます。詳しくは「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。Group Policy settings: ASLR is on by default for 64-bit applications, but you can configure additional ASLR protections by using the Group Policy settings described in Override Process Mitigation Options to help enforce app-related security policies.

Windows Defender SmartScreenWindows Defender SmartScreen

Windows Defender SmartScreen は、報告されたフィッシングやマルウェアの Web サイトをユーザーがクリックした場合に、ユーザーに通知して、安全でないダウンロードを防いだり、情報に基いてダウンロードに関する判断を行えるようにします。Windows Defender SmartScreen notifies users if they click on reported phishing and malware websites, and helps protect them against unsafe downloads or make informed decisions about downloads.

Windows 10 では、Microsoft はアプリ評価機能をオペレーティング システム自体に統合することにより、SmartScreen (現在は Windows Defender SmartScreen) 保護機能を強化しました。これにより、Windows Defender SmartScreen はインターネットからダウンロードされたファイルの評判を確認し、リスクの高いダウンロード ファイルを実行する際にユーザーに警告します。For Windows 10, Microsoft improved SmartScreen (now called Windows Defender SmartScreen) protection capability by integrating its app reputation abilities into the operating system itself, which allows Windows Defender SmartScreen to check the reputation of files downloaded from the Internet and warn users when they're about to run a high-risk downloaded file. ユーザーがインターネットから始めてアプリを初めて実行する場合、Windows Defender SmartScreen は、デジタル署名や他の要因を使用して、Microsoft が管理するサービスに対してアプリケーションの評判をチェックします。The first time a user runs an app that originates from the Internet, Windows Defender SmartScreen checks the reputation of the application by using digital signatures and other factors against a service that Microsoft maintains. アプリに評判がない場合や悪意のあると知られている場合、管理者が Microsoft Intune またはグループ ポリシー設定を構成した方法に応じて、Windows Defender SmartScreen はユーザーに警告を表示するか、実行を完全にブロックします。If the app lacks a reputation or is known to be malicious, Windows Defender SmartScreen warns the user or blocks execution entirely, depending on how the administrator has configured Microsoft Intune or Group Policy settings.

詳細については 、「Microsoft Defender SmartScreen の概要」を参照してくださいFor more information, see Microsoft Defender SmartScreen overview.

Microsoft Defender ウイルス対策Microsoft Defender Antivirus

Windows 10 の Microsoft Defender ウイルス対策は、マルウェア対策を改善するために複数のアプローチを使用します。Microsoft Defender Antivirus in Windows 10 uses a multi-pronged approach to improve antimalware:

  • クラウドによる保護によって、まったく新しいマルウェアでも、数秒でマルウェアを検出してブロックできます。Cloud-delivered protection helps detect and block new malware within seconds, even if the malware has never been seen before. Windows 10 バージョン 1703 で利用できるこのサービスは、分散リソースと機械学習を使用して、従来の署名の更新よりもはるかに速いペースで、保護をエンドポイントに配布します。The service, available as of Windows 10, version 1703, uses distributed resources and machine learning to deliver protection to endpoints at a rate that is far faster than traditional signature updates.

  • リッチなローカル コンテキストは、マルウェアを識別する方法を強化します。Rich local context improves how malware is identified. Windows 10 は、ファイルやプロセスのようなコンテンツだけでなく、コンテンツのどこから来たか、保存されている場所などについて、Microsoft Defender Antivirus に通知します。Windows 10 informs Microsoft Defender Antivirus not only about content like files and processes but also where the content came from, where it has been stored, and more. ソースと履歴に関する情報を使用すると、Microsoft Defender Antivirus はさまざまなレベルの精査を異なるコンテンツに適用できます。The information about source and history enables Microsoft Defender Antivirus to apply different levels of scrutiny to different content.

  • 広範なグローバル センサーは 、Microsoft Defender ウイルス対策を最新の状態に保ち、最新のマルウェアを認識するのに役立ちます。Extensive global sensors help keep Microsoft Defender Antivirus current and aware of even the newest malware. これは、エンド ポイントからリッチなコンテキスト データを収集する方法と、そのデータを一元的に分析する方法の 2 つにより実現されます。This is accomplished in two ways: by collecting the rich local context data from end points and by centrally analyzing that data.

  • 改ざん防止は 、マルウェア攻撃から Microsoft Defender ウイルス対策自体を保護するのに役立ちます。Tamper proofing helps guard Microsoft Defender Antivirus itself against malware attacks. たとえば、Microsoft Defender ウイルス対策は、保護されたプロセスを使用し、信頼されていないプロセスが Microsoft Defender ウイルス対策のコンポーネントやレジストリ キーなどを改ざんしようとすることを防ぎます。For example, Microsoft Defender Antivirus uses Protected Processes, which prevents untrusted processes from attempting to tamper with Microsoft Defender Antivirus components, its registry keys, and so on. (保護されたプロセスについては、後述します)。(Protected Processes is described later in this topic.)

  • エンタープライズ レベルの機能は 、Microsoft Defender Antivirus をエンタープライズ クラスのマルウェア対策ソリューションにするために必要なツールと構成オプションを IT のプロに提供します。Enterprise-level features give IT pros the tools and configuration options necessary to make Microsoft Defender Antivirus an enterprise-class antimalware solution.

詳しくは、「Windows 10 の Windows Defender」および「Windows Server 用 Windows Defender の概要」をご覧ください。For more information, see Windows Defender in Windows 10 and Windows Defender Overview for Windows Server.

Microsoft Defender for Endpoint の詳細については、「Microsoft Defender for Endpoint」および 「Microsoft Defender for Endpoint (ドキュメント)」を参照してください。For information about Microsoft Defender for Endpoint, a service that helps enterprises to detect, investigate, and respond to advanced and targeted attacks on their networks, see Microsoft Defender for Endpoint (resources) and Microsoft Defender for Endpoint (documentation).

データ実行防止Data Execution Prevention

マルウェアは、悪意のあるペイロードをメモリに挿入して、それが後で実行されることを期待しています。Malware depends on its ability to insert a malicious payload into memory with the hope that it will be executed later. 情報の保存専用に割り当てられている領域にマルウェアが書き込んだ場合に、マルウェアの実行を妨げる可能性がある場合は、この問題は大きな問題ではないでしょうか。Wouldn't it be great if you could prevent malware from running if it wrote to an area that has been allocated solely for the storage of information?

データ実行防止 (DEP) は、悪意のあるコードが自身の利益のために使うことができるメモリの範囲を大幅に削減することでまさにそれを行います。Data Execution Prevention (DEP) does exactly that, by substantially reducing the range of memory that malicious code can use for its benefit. DEP は、最新の CPU の No eXecute ビットを使用してメモリブロックを読み取り専用としてマークし、これらのブロックを使用して、脆弱性の悪用によって挿入される可能性のある悪意のあるコードを実行できません。DEP uses the No eXecute bit on modern CPUs to mark blocks of memory as read-only so that those blocks can't be used to execute malicious code that may be inserted by means of a vulnerability exploit.

タスク マネージャーを使って、DEP を使用するアプリを確認する方法To use Task Manager to see apps that use DEP

  1. タスク マネージャーを開く: Ctrl + Alt + Del キーを押して、[タスク マネージャー] を選択するか、またはスタート画面を検索します。Open Task Manager: Press Ctrl+Alt+Del and select Task Manager, or search the Start screen.

  2. [詳細] (必要な場合) をクリックし、次に [詳細] をクリックします。Click More Details (if necessary), and then click the Details tab.

  3. 任意の列見出しを右クリックし、 [列の選択] をクリックします。Right-click any column heading, and then click Select Columns.

  4. [列の選択] ダイアログ ボックスで、最後の [データ実行防止] チェック ボックスをオンにします。In the Select Columns dialog box, select the last Data Execution Prevention check box.

  5. [OK] をクリックします。Click OK.

DEP が有効なプロセスが表示されます。You can now see which processes have DEP enabled.

Windows 10 で DEP が有効になっているプロセス

図 2   Windows 10 で DEP が有効になっているプロセスFigure 2.  Processes on which DEP has been enabled in Windows 10

コントロール パネルを使用すると、DEP の設定の表示と変更ができます。You can use Control Panel to view or change DEP settings.

コントロール パネルを使って個々の PC で DEP 設定の表示と変更を行う方法To use Control Panel to view or change DEP settings on an individual PC

  1. [コントロール パネル] の [システム]を開く: スタートをクリックし、「コントロール パネル システム」と入力して、Enter キーを押します。Open Control Panel, System: click Start, type Control Panel System, and press ENTER.

  2. [システムの詳細設定] をクリックして、[詳細設定] タブをクリックします。Click Advanced system settings, and then click the Advanced tab.

  3. [パフォーマンス] のボックスで [設定] をクリックします。In the Performance box, click Settings.

  4. [パフォーマンス オプション][データ実行防止] タブをクリックします。In Performance Options, click the Data Execution Prevention tab.

  5. オプションを選択します。Select an option:

    • [重要な Windows のプログラムおよびサービスについてのみ有効にする]Turn on DEP for essential Windows programs and services only

    • [次に選択するものを除くすべてのプログラムおよびサービスについて DEP を有効にする]Turn on DEP for all programs and services except those I select. このオプションを選択する場合は、[追加][削除] ボタンを使って、DEP をオンにしない、例外リストを作成します。If you choose this option, use the Add and Remove buttons to create the list of exceptions for which DEP will not be turned on.

グループ ポリシーを使用して DEP 設定を制御する方法To use Group Policy to control DEP settings

[プロセス軽減策オプション] というグループ ポリシー設定を使って DEP 設定を制御できます。You can use the Group Policy setting called Process Mitigation Options to control DEP settings. 一部のアプリケーションでは、DEP との互換性の問題があるため、必ず使用環境でテストを行ってください。A few applications have compatibility problems with DEP, so be sure to test for your environment. グループ ポリシー設定の使用について、詳しくは、「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。To use the Group Policy setting, see Override Process Mitigation Options to help enforce app-related security policies.

構造化例外処理の上書き保護Structured Exception Handling Overwrite Protection

構造化例外処理上書き保護 (SEHOP) は、攻撃者が悪意のあるコードを使用して構造化例外処理 (SEH) を悪用するのを防ぐのに役立ちます。Structured Exception Handling Overwrite Protection (SEHOP) helps prevent attackers from being able to use malicious code to exploit the Structured Exception Handling (SEH), which is integral to the system and allows (non-malicious) apps to handle exceptions appropriately. この保護メカニズムは実行時に提供されるため、最新の機能強化を使ってコンパイルされているかどうかにかかわらず、アプリケーションを保護するために役立ちます。Because this protection mechanism is provided at run-time, it helps to protect applications regardless of whether they have been compiled with the latest improvements.

[プロセス軽減策オプション] というグループ ポリシー設定を使って SEHOP 設定を制御できます。You can use the Group Policy setting called Process Mitigation Options to control the SEHOP setting. 一部のアプリケーションでは、SEHOP との互換性の問題があるため、必ず使用環境でテストを行ってください。A few applications have compatibility problems with SEHOP, so be sure to test for your environment. グループ ポリシー設定の使用について、詳しくは、「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。To use the Group Policy setting, see Override Process Mitigation Options to help enforce app-related security policies.

アドレス空間レイアウトのランダム化Address Space Layout Randomization

システムへのアクセスを取得するために使われる最も一般的な手法の 1 つは、既に実行されている特権付きプロセスで脆弱性を見つけ、重要なシステム コードやデータが置かれているメモリ内の場所を推測または発券して、その情報を悪意のあるペイロードで置き換える手法です。One of the most common techniques used to gain access to a system is to find a vulnerability in a privileged process that is already running, guess or find a location in memory where important system code and data have been placed, and then overwrite that information with a malicious payload. システム メモリに直接書き込みができるマルウェアは、よく知られた予測可能な場所に上書きすることができます。Any malware that could write directly to the system memory could simply overwrite it in well-known and predictable locations.

アドレス空間レイアウトのランダム化 (ASLR) により、その種の攻撃がかなり難しくなっています。重要なデータがメモリに格納される方法と場所がランダム化されるためです。Address Space Layout Randomization (ASLR) makes that type of attack much more difficult because it randomizes how and where important data is stored in memory. ASLR により、マルウェアが攻撃に必要な特定の場所を見つけるのはより困難になります。With ASLR, it is more difficult for malware to find the specific location it needs to attack. 図 3 は、ASLR のしくみを示しています。重要な各種の Windows コンポーネントのメモリ内の場所が再起動のたび変化するようすを示しています。Figure 3 illustrates how ASLR works by showing how the locations of different critical Windows components can change in memory between restarts.

ASLR のしくみ

図3   ASLR のしくみFigure 3.  ASLR at work

Windows 10 では ASLR をシステム全体にわたって適用し、Windows の以前のバージョンと比較して、エントロピー レベルを数倍も向上させ、ヒープ スプレーなどの高度な攻撃に対抗しています。Windows 10 applies ASLR holistically across the system and increases the level of entropy many times compared with previous versions of Windows to combat sophisticated attacks such as heap spraying. 64 ビット システムとアプリケーションのプロセスでは、はるかに大きいメモリ空間を活用できるため、Windows 10 が重要なデータを格納している場所をマルウェアが推測するのは、さらに困難となります。64-bit system and application processes can take advantage of a vastly increased memory space, which makes it even more difficult for malware to predict where Windows 10 stores vital data. TPM を搭載したシステムで使うと、ASLR メモリ ランダム化のデバイス間での一意性はさらに高まるため、あるシステムで機能している悪用の成功が別のシステムで確実に機能することはより困難になります。When used on systems that have TPMs, ASLR memory randomization will be increasingly unique across devices, which makes it even more difficult for a successful exploit that works on one system to work reliably on another.

プロセス軽減オプションと呼ばれるグループ ポリシー**** 設定を使用して、アプリ関連のセキュリティ ポリシーの適用に役立つプロセス軽減オプションの上書きに関する説明に従って、ASLR 設定 ("Force ASLR" と "Bottom-up ASLR") を制御できます。You can use the Group Policy setting called Process Mitigation Options to control ASLR settings ("Force ASLR" and "Bottom-up ASLR"), as described in Override Process Mitigation Options to help enforce app-related security policies.

Windows 10 に組み込まれている軽減策Mitigations that are built in to Windows 10

Windows 10 では、悪用からの保護を行うための、脅威に対する多くの軽減策がオペレーティング システムに組み込まれて提供されます。オペレーティング システム内で構成をする必要はありません。Windows 10 provides many threat mitigations to protect against exploits that are built into the operating system and need no configuration within the operating system. 次の表では、これらの軽減策の一部について説明します。The table that follows describes some of these mitigations.

Control Flow Guard (CFG) は、オペレーティング システム内の構成は必要ないが、アプリケーション開発者がコンパイル時にアプリケーションに軽減策を構成する必要がある軽減策です。Control Flow Guard (CFG) is a mitigation that does not need configuration within the operating system, but does require that an application developer configure the mitigation into the application when it's compiled. CFGは、Microsoft Edge、IE11、Windows 10 のその他の領域に組み込まれています。他の多くのアプリケーションにコンパイル時に組み込むことができます。CFG is built into Microsoft Edge, IE11, and other areas in Windows 10, and can be built into many other applications when they are compiled.

表 3 メモリの悪用からの保護を行う、構成が不要な Windows 10の軽減策Table 3 Windows 10 mitigations to protect against memory exploits – no configuration needed

軽減策と対応する脅威Mitigation and corresponding threat 説明Description
SYSVOL と NETLOGON 共有に関する SMB セキュリティ強化SMB hardening for SYSVOL and NETLOGON shares
は、man-in-the-middle 攻撃を軽減しますhelps mitigate
中間者攻撃man-in-the-middle attacks
Active Directory ドメイン サービスの、ドメイン コントローラーの既定の SYSVOL 共有および NETLOGON 共有へのクライアント接続には、SMB 署名と (Kerberos などの) 相互認証を必要とするようになりました。Client connections to the Active Directory Domain Services default SYSVOL and NETLOGON shares on domain controllers now require SMB signing and mutual authentication (such as Kerberos).

詳しくは、 後述の「SYSVOL と NETLOGON 共有に関する SMB セキュリティ強化の向上」をご覧ください。More information: SMB hardening improvements for SYSVOL and NETLOGON shares, later in this topic.
保護されたプロセスProtected Processes
は、1 つのプロセスが別のプロセスから改ざんされることを防ぎますhelp prevent one process
別のユーザーの改ざんからfrom tampering with another
プロセスprocess
保護されたプロセスの機能により、Windows 10 は、信頼されていないプロセスが特別に署名されたプロセスを操作または改ざんできないようにします。With the Protected Processes feature, Windows 10 prevents untrusted processes from interacting or tampering with those that have been specially signed.

詳しくは、 後述の「保護されたプロセス」をご覧ください。More information: Protected Processes, later in this topic.
ユニバーサル Windows アプリの保護Universal Windows apps protections
は、ダウンロード可能なアプリの審査を行い、アプリを AppContainer サンドボックス内で実行しますscreen downloadable
アプリを実行し、アプリを実行するapps and run them in
AppContainer サンドボックスan AppContainer sandbox
ユニバーサル Windows アプリは利用可能になる前に慎重に審査されます。アプリは、限られた特権と機能を持った AppContainer サンド ボックス内で実行されます。Universal Windows apps are carefully screened before being made available, and they run in an AppContainer sandbox with limited privileges and capabilities.

詳しくは、 後述の「ユニバーサル Windows アプリの保護」をご覧ください。More information: Universal Windows apps protections, later in this topic.
ヒープの保護Heap protections
は、ヒープの悪用を防止しますhelp prevent
ヒープの悪用exploitation of the heap
Windows 10 には、ヒープで使用されるメモリの破損からの保護を行う内部データ構造の使用など、ヒープの保護が含まれています。Windows 10 includes protections for the heap, such as the use of internal data structures which help protect against corruption of memory used by the heap.

詳しくは、 後述の「Windows のヒープの保護」をご覧ください。More information: Windows heap protections, later in this topic.
カーネル プールの保護Kernel pool protections
は、カーネルが使用するプール メモリの悪用を防止しますhelp prevent
プール メモリの悪用exploitation of pool memory
カーネルで使用されるused by the kernel
Windows 10 には、カーネルが使用するプール メモリの保護が含まれています。Windows 10 includes protections for the pool of memory used by the kernel. たとえば、安全なリンク解除は、攻撃の作成に使われるリンク解除操作と同時に発生する、プール オーバーランからの保護を行います。For example, safe unlinking protects against pool overruns that are combined with unlinking operations that can be used to create an attack.

詳しくは、 後述の「カーネル プールの保護」をご覧ください。More information: Kernel pool protections, later in this topic.
制御フロー ガードControl Flow Guard
は、メモリ内のコードの位置間のフローに基づく悪用を軽減しますhelps mitigate exploits
に基づくものthat are based on
コードの場所間のフローflow between code locations
メモリ内in memory
Control Flow Guard (CFG) は、オペレーティング システム内で構成を必要とするのではなく、コンパイル時にソフトウェアに組み込む軽減策です。Control Flow Guard (CFG) is a mitigation that requires no configuration within the operating system, but instead is built into software when it's compiled. CFG は、Microsoft Edge、IE11、Windows 10 の他の領域に組み込まれています。It is built into Microsoft Edge, IE11, and other areas in Windows 10. CFG は、C または C++ で作成するアプリケーション、または Visual Studio 2015 を使ってコンパイルされるアプリケーションに組み込むことができます。CFG can be built into applications written in C or C++, or applications compiled using Visual Studio 2015.
このようなアプリケーションの場合、CFG は、意図したコード フローを変更しようとする攻撃者の試みを検出できます。For such an application, CFG can detect an attacker's attempt to change the intended flow of code. この問題が発生した場合、CFG はアプリケーションを終了します。If this occurs, CFG terminates the application. CFG を有効にしてコンパイルした Windows アプリケーションを提供するように、ソフトウェア ベンダーに要求を行うことができます。You can request software vendors to deliver Windows applications compiled with CFG enabled.

詳しくは、 後述の「制御フロー ガード」をご覧ください。More information: Control Flow Guard, later in this topic.
Microsoft Edge ブラウザーに組み込まれている保護Protections built into Microsoft Edge (the browser)
は、複数の脅威を軽減できますhelps mitigate multiple
脅威threats
Windows 10 には、まったく新しいブラウザーである Microsoft Edge が含まれています。Microsoft Edge は複数のセキュリティ強化を含めて設計されています。Windows 10 includes an entirely new browser, Microsoft Edge, designed with multiple security improvements.

詳しくは、 後述の「Microsoft Edge と Internet Explorer 11」をご覧ください。More information: Microsoft Edge and Internet Explorer 11, later in this topic.

SYSVOL と NETLOGON 共有に関する SMB セキュリティ強化の向上SMB hardening improvements for SYSVOL and NETLOGON shares

Windows 10 および Windows Server 2016 では、Active Directory Domain Services の、ドメイン コントローラーの既定の SYSVOL 共有および NETLOGON 共有へのアクセスには、サーバー メッセージ ブロック (SMB) 署名と (Kerberos などの) 相互認証を必要とします。In Windows 10 and Windows Server 2016, client connections to the Active Directory Domain Services default SYSVOL and NETLOGON shares on domain controllers require Server Message Block (SMB) signing and mutual authentication (such as Kerberos). これにより、man-in-the-middle 攻撃の可能性を軽減します。This reduces the likelihood of man-in-the-middle attacks. SMB 署名と相互認証を使用できない場合、Windows 10 または Windows Server 2016 を実行しているコンピューターは、ドメイン ベースのグループ ポリシーとスクリプトを処理しません。If SMB signing and mutual authentication are unavailable, a computer running Windows 10 or Windows Server 2016 won't process domain-based Group Policy and scripts.

注意

これらの設定のレジストリ値は既定では存在しませんが、セキュリティ強化の規則は、グループ ポリシーまたはその他のレジストリ値でオーバーライドされるまで引き続き適用されます。The registry values for these settings aren't present by default, but the hardening rules still apply until overridden by Group Policy or other registry values. これらのセキュリティ機能強化 (UNC ハードニングとも呼ばれます) の詳細については、マイクロソフト サポート技術情報の記事 3000483 および「MS15-011 & MS15-014: Hardening Group Policy (MS15-011 & MS15-014: グループ ポリシーのセキュリティ強化)」を参照してください。For more information on these security improvements, (also referred to as UNC hardening), see Microsoft Knowledge Base article 3000483 and MS15-011 & MS15-014: Hardening Group Policy.

保護されたプロセスProtected Processes

ほとんどのセキュリティ制御は、初期の感染ポイントを防止することを目的としています。Most security controls are designed to prevent the initial infection point. しかし、最良の予防的制御をすべて講じても、マルウェアはシステムに感染する方法を最終的に見つける可能性があります。However, despite all the best preventative controls, malware might eventually find a way to infect the system. そのため、デバイスに侵入したマルウェアに制限をかけるための保護があります。So, some protections are built to place limits on malware that gets on the device. 保護されたプロセスは、そのような制限を行います。Protected Processes creates limits of this type.

保護されたプロセスにより、Windows 10 は、信頼されていないプロセスが特別に署名されたプロセスを操作または改ざんできないようにします。With Protected Processes, Windows 10 prevents untrusted processes from interacting or tampering with those that have been specially signed. 保護されたプロセスは、プロセスの信頼レベルを定義します。Protected Processes defines levels of trust for processes. 信頼性の低いプロセスは操作が防止されるため、より信頼性の高いプロセスが攻撃されることになります。Less trusted processes are prevented from interacting with and therefore attacking more trusted processes. Windows 10 は保護されたプロセスを、広くオペレーティング システム全体で活用しています。また Windows 8.1 と同様に、サード パーティのマルウェア対策ベンダーが使用できるように、保護されたプロセスを実装しています。詳しくは、「マルウェア対策サービスの保護」をご覧ください。Windows 10 uses Protected Processes more broadly across the operating system, and as in Windows 8.1, implements them in a way that can be used by 3rd party anti-malware vendors, as described in Protecting Anti-Malware Services. これにより、システムおよびマルウェア対策ソリューションは、システムに侵入しようとするマルウェアによる改ざんを受けにくくなります。This helps make the system and antimalware solutions less susceptible to tampering by malware that does manage to get on the system.

ユニバーサル Windows アプリの保護Universal Windows apps protections

ユーザーが Microsoft Store からユニバーサル Windows アプリをダウンロードすると、ストアで利用可能になる前に、すべてのアプリが慎重に審査処理を行うので、マルウェアに遭遇する可能性は低いと考えられます。When users download Universal Windows apps from the Microsoft Store, it's unlikely that they will encounter malware because all apps go through a careful screening process before being made available in the store. 組織がサイドローディング プロセスを通じてビルドおよび配布するアプリは、組織のセキュリティ要件を満たしているを内部で確認する必要があります。Apps that organizations build and distribute through sideloading processes will need to be reviewed internally to ensure that they meet organizational security requirements.

ユニバーサル Windows アプリは、ユーザーが取得した方法に関係なく安心して使うことができます。Regardless of how users acquire Universal Windows apps, they can use them with increased confidence. ユニバーサル Windows アプリは、特権と機能が限定された AppContainer サンドボックス内で実行されます。Universal Windows apps run in an AppContainer sandbox with limited privileges and capabilities. たとえば、ユニバーサル Windows アプリは、システム レベルのアクセスを持っておらず、他のアプリとのやり取りが厳しく制御されるため、ユーザーがアプリケーションのアクセス許可を明示的に付与しない限りデータにアクセスできません。For example, Universal Windows apps have no system-level access, have tightly controlled interactions with other apps, and have no access to data unless the user explicitly grants the application permission.

さらに、すべてのユニバーサル Windows アプリは、最小限の特権のセキュリティ原則に従っています。In addition, all Universal Windows apps follow the security principle of least privilege. アプリは、正当なタスクの実行に必要な最小限の特権のみ受け取るため、攻撃者がアプリを悪用した場合でも、悪用による損害はかなり限定的で、サンドボックス内に収まります。Apps receive only the minimum privileges they need to perform their legitimate tasks, so even if an attacker exploits an app, the damage the exploit can do is severely limited and should be contained within the sandbox. Microsoft Store には、アプリが必要とする正確な機能 (カメラへのアクセスなど) と、アプリの年齢評価と発行元が表示されます。The Microsoft Store displays the exact capabilities the app requires (for example, access to the camera), along with the app's age rating and publisher.

Windows のヒープの保護Windows heap protections

ヒープ は、Windows が動的なアプリケーション データの格納に使うメモリ内の場所です。The heap is a location in memory that Windows uses to store dynamic application data. Windows 10 では、攻撃の一部として使われるヒープの悪用のリスクを軽減することにより、以前の Windows のヒープ設計の強化が続けられています。Windows 10 continues to improve on earlier Windows heap designs by further mitigating the risk of heap exploits that could be used as part of an attack.

Windows 10 のヒープのセキュリティは、いくつかの重要な強化が行われています。Windows 10 has several important improvements to the security of the heap:

  • ヒープ メタデータの強化により、ヒープが使用する内部データ構造体を強化して、メモリの破損に対する保護を向上させています。Heap metadata hardening for internal data structures that the heap uses, to improve protections against memory corruption.

  • ヒープ割り当てのランダム化により、ヒープ メモリの割り当てにランダム化された場所とサイズを使用するため、重要なメモリの場所を予測して上書きしようとする攻撃者の試みがより困難になります。Heap allocation randomization, that is, the use of randomized locations and sizes for heap memory allocations, which makes it more difficult for an attacker to predict the location of critical memory to overwrite. 具体的には、Windows 10 では新たに割り当てられたヒープのアドレスにランダム オフセットが追加されるため、割り当てはかなり予測しにくくなります。Specifically, Windows 10 adds a random offset to the address of a newly allocated heap, which makes the allocation much less predictable.

  • ヒープ ガード は、トリップ ワイヤーとして機能するメモリ ブロックの前と後にページを保護します。Heap guard pages before and after blocks of memory, which work as trip wires. 攻撃者は、メモリ ブロックを越えて書き込もうとする場合 (バッファー オーバーフローと呼ばれる一般的な手法)、ガード ページを上書きする必要があります。If an attacker attempts to write past a block of memory (a common technique known as a buffer overflow), the attacker will have to overwrite a guard page. ガード ページを変更しようとする試みはすべて、メモリの破損と見なされるため、Windows 10 がすぐにアプリを終了して対応します。Any attempt to modify a guard page is considered a memory corruption, and Windows 10 responds by instantly terminating the app.

カーネル プールの保護Kernel pool protections

Windows のオペレーティング システム カーネルは、2 つのメモリ プールを確保します。1 つは物理メモリ ("非ページ プール") に残り、もう 1 つは物理メモリ ("paged pool") でページインおよびページアウトできます。The operating system kernel in Windows sets aside two pools of memory, one which remains in physical memory ("nonpaged pool") and one which can be paged in and out of physical memory ("paged pool"). プロセス クォータ ポインターのエンコードなど、時間の長い間に追加された多くの軽減策があります。lookaside、遅延無料、およびプール ページ Cookie。と PoolIndex の境界チェック。There are many mitigations that have been added over time, such as process quota pointer encoding; lookaside, delay free, and pool page cookies; and PoolIndex bounds checks. Windows 10 では、整合性チェックなど、複数の "プール強化" 保護が追加され、カーネル プールを高度な攻撃から保護できます。Windows 10 adds multiple "pool hardening" protections, such as integrity checks, that help protect the kernel pool against more advanced attacks.

プールの強化だけでなく、Windows 10 には、その他のカーネルのセキュリティ強化機能が含まれています。In addition to pool hardening, Windows 10 includes other kernel hardening features:

  • カーネル DEPカーネル ASLR: 先述のデータ実行防止アドレス空間レイアウトのランダム化と同じ原則に従います。Kernel DEP and Kernel ASLR: Follow the same principles as Data Execution Prevention and Address Space Layout Randomization, described earlier in this topic.

  • AppContainer でのフォント解析: フォント解析を AppContainer サンドボックス内に分離します。Font parsing in AppContainer: Isolates font parsing in an AppContainer sandbox.

  • NT 仮想 DOS コンピューター (NTVDM) の無効化: 以前の NTVDM カーネル モジュール (16 ビット アプリケーション実行用) は既定で無効化されているため、関連する脆弱性を無効化できます。Disabling of NT Virtual DOS Machine (NTVDM): The old NTVDM kernel module (for running 16-bit applications) is disabled by default, which neutralizes the associated vulnerabilities. (NTVDM を有効化すると、NULL 逆参照やその他の悪用への保護が低下します。)(Enabling NTVDM decreases protection against Null dereference and other exploits.)

  • スーパーバイザ モード実行防止 (SMEP): カーネル ("スーパーバイザー") がユーザー ページでコードを実行するのを防ぐのに役立ちます。攻撃者がローカル カーネルの特権昇格 (EOP) に使用する一般的な手法です。Supervisor Mode Execution Prevention (SMEP): Helps prevent the kernel (the "supervisor") from executing code in user pages, a common technique used by attackers for local kernel elevation of privilege (EOP). これは、Intel Ivy Bridge 以降のプロセッサによるサポート、または PXN を備えた ARM のサポートを必要とします。This requires processor support found in Intel Ivy Bridge or later processors, or ARM with PXN support.

  • 安全なリンク解除: プール オーバーランからの保護を行います。プール オーバーランは、リンク解除操作と同時に発生し、攻撃に利用されます。Safe unlinking: Helps protect against pool overruns that are combined with unlinking operations to create an attack. Windows 10 にはグローバル セーフ リンク解除が含まれています。ヒープとカーネル プールの安全なリンクを LIST_ENTRY のすべての使用法に拡張し、迅速かつ安全なプロセス終了を可能にする "FastFail" メカニズムが含まれています。Windows 10 includes global safe unlinking, which extends heap and kernel pool safe unlinking to all usage of LIST_ENTRY and includes the "FastFail" mechanism to enable rapid and safe process termination.

  • メモリ予約: システムには、最小限の 64 KB のプロセス メモリが予約されています。Memory reservations: The lowest 64 KB of process memory is reserved for the system. アプリは、メモリのこの部分を割り当てることはできません。Apps are not allowed to allocate that portion of the memory. これにより、マルウェアが "NULL 逆参照" などの手法を使用して、メモリ内の重要なシステム データ構造を上書きすることはより困難になります。This makes it more difficult for malware to use techniques such as "NULL dereference" to overwrite critical system data structures in memory.

制御フロー ガードControl Flow Guard

アプリケーションがメモリに読み込まれると、コードのサイズ、要求されたメモリ、他の要素に基づいてスペースが割り当てられます。When applications are loaded into memory, they are allocated space based on the size of the code, requested memory, and other factors. アプリケーションがコードを実行し始めると、他のメモリ アドレスにある追加のコードを呼び出します。When an application begins to execute code, it calls additional code located in other memory addresses. コードの場所間の関係はよく知られていますが (コード自体に書き込まれます)、Windows 10 より前では、これらの場所間のフローが強制的に適用されませんでした。このため、攻撃者が自分のニーズを満たすためにフローを変更することができました。The relationships between the code locations are well known—they are written in the code itself—but previous to Windows 10, the flow between these locations was not enforced, which gave attackers the opportunity to change the flow to meet their needs.

Windows 10 では、この種の脅威が制御フロー ガード (CFG) 機能によって軽減されています。This kind of threat is mitigated in Windows 10 through the Control Flow Guard (CFG) feature. 信頼されたアプリケーションが CFG 呼び出しコードを使うようにコンパイルされている場合、CFG は呼び出されたコードの場所が信頼して実行できることを確認します。When a trusted application that was compiled to use CFG calls code, CFG verifies that the code location called is trusted for execution. 場所が信頼できない場合、潜在的なセキュリティ リスクが存在するためアプリケーションがすぐに終了されます。If the location is not trusted, the application is immediately terminated as a potential security risk.

管理者が CFG を構成することはできません。代わりに、アプリケーション開発者がアプリケーションのコンパイル時に構成することで CFG を利用できます。An administrator cannot configure CFG; rather, an application developer can take advantage of CFG by configuring it when the application is compiled. CFG を有効にしてコンパイルされた信頼できる Windows アプリケーションを提供するよう、アプリケーション開発者とソフトウェア ベンダーに依頼することを検討してください。Consider asking application developers and software vendors to deliver trustworthy Windows applications compiled with CFG enabled. たとえば、C や C++ で記述されたアプリケーション、または Visual Studio 2015 を使ってコンパイルされたアプリケーションで、CFG を有効にすることができます。For example, it can be enabled for applications written in C or C++, or applications compiled using Visual Studio 2015. Visual Studio 2015 プロジェクトでの CFG の有効化について、詳しくは、「制御フロー ガード」をご覧ください。For information about enabling CFG for a Visual Studio 2015 project, see Control Flow Guard.

もちろん、ブラウザーは攻撃の主要なエントリ ポイントであるため、Microsoft Edge、IE、および他の Windows の機能は CFG を十分に活用しています。Of course, browsers are a key entry point for attacks, so Microsoft Edge, IE, and other Windows features take full advantage of CFG.

Microsoft Edge と Internet Explorer 11Microsoft Edge and Internet Explorer 11

ブラウザーのセキュリティは、セキュリティ戦略の重要なコンポーネントであり、良い理由から、ブラウザーはインターネットへのユーザーのインターフェイスであり、悪意のあるサイトやコンテンツの多くが攻撃を待っている環境です。Browser security is a critical component of any security strategy, and for good reason: the browser is the user's interface to the Internet, an environment with many malicious sites and content waiting to attack. ほとんどのユーザーは、ブラウザーなしでは少なくともジョブの一部を実行できず、多くのユーザーはブラウザーに完全に頼っています。Most users cannot perform at least part of their job without a browser, and many users are completely reliant on one. この現実のため、ブラウザーは悪意のあるハッカーが攻撃を開始する一般的な経路となっています。This reality has made the browser the common pathway from which malicious hackers initiate their attacks.

すべてのブラウザーでは、ブラウザーの元の範囲を超えた操作を行うことができるように、ある程度の機能拡張が可能です。All browsers enable some amount of extensibility to do things beyond the original scope of the browser. 一般的な例として Flash 拡張と Java 拡張の 2 つがあり、対応するアプリケーションをブラウザー内で実行することができます。Two common examples of this are Flash and Java extensions that enable their respective applications to run inside a browser. Web の閲覧やアプリケーションに対して (特にこれらの 2 つのコンテンツの種類に対して) Windows 10 のセキュリティを維持することは、優先事項です。Keeping Windows 10 secure for web browsing and applications, especially for these two content types, is a priority.

Windows 10 では、まったく新しいブラウザーである Microsoft Edge が含まれています。Windows 10 includes an entirely new browser, Microsoft Edge. Microsoft Edge は、次のような複数の点でセキュリティが強化されています。Microsoft Edge is more secure in multiple ways, especially:

  • 攻撃対象領域が低減されています。Microsoft 以外のバイナリ拡張機能はサポートされません。Smaller attack surface; no support for non-Microsoft binary extensions. 脆弱な攻撃対象領域のある複数のブラウザー コンポーネントは、Microsoft Edge から削除されています。Multiple browser components with vulnerable attack surfaces have been removed from Microsoft Edge. 削除されたコンポーネントには、従来のドキュメント モードとスクリプト エンジン、ブラウザー ヘルパー オブジェクト (BHO)、ActiveX コントロール、Java などがあります。Components that have been removed include legacy document modes and script engines, Browser Helper Objects (BHOs), ActiveX controls, and Java. ただし Microsoft Edge は、Flash コンテンツおよび PDF の表示は、組み込みの拡張機能によって、既定でサポートしています。However, Microsoft Edge supports Flash content and PDF viewing by default through built-in extensions.

  • 64 ビット プロセスを実行します。Runs 64-bit processes. 以前のバージョンの Windows を実行する 64 ビット PC は、セキュリティの低い以前の拡張機能をサポートするため、32 ビット互換モードで実行されることがよくあります。A 64-bit PC running an older version of Windows often runs in 32-bit compatibility mode to support older and less secure extensions. Microsoft Edge が 64 ビット PC で実行される場合、64 ビット プロセスのみを実行します。これによって、悪用に対してより安全となります。When Microsoft Edge runs on a 64-bit PC, it runs only 64-bit processes, which are much more secure against exploits.

  • メモリ ガベージ コレクション (MemGC) を含んでいますIncludes Memory Garbage Collection (MemGC). これは、解放後使用 (UAF) の問題からの保護を行います。This helps protect against use-after-free (UAF) issues.

  • ユニバーサル Windows アプリとして設計されています。Designed as a Universal Windows app. Microsoft Edge は本質的に分離されており、ブラウザーをシステム、データ、他のアプリからサンドボックス化する AppContainer で実行されます。Microsoft Edge is inherently compartmentalized and runs in an AppContainer that sandboxes the browser from the system, data, and other apps. Windows 10 の IE11 も、拡張保護モードを通じて同じ AppContainer テクノロジを利用できます。IE11 on Windows 10 can also take advantage of the same AppContainer technology through Enhanced Protect Mode. ただし、IE11 は ActiveX と BHO を実行することができるため、ブラウザーとサンドボックスは Microsoft Edge よりかなり多くの攻撃を受けやすくなります。However, because IE11 can run ActiveX and BHOs, the browser and sandbox are susceptible to a much broader range of attacks than Microsoft Edge.

  • セキュリティ構成タスクが簡素化されます。Simplifies security configuration tasks. Microsoft Edge では、簡略化されたアプリケーション構造と単一サンドボックス構成が使われるため、必要なセキュリティ設定が少なくなります。Because Microsoft Edge uses a simplified application structure and a single sandbox configuration, there are fewer required security settings. さらに、Microsoft Edge の既定の設定は、セキュリティのベスト プラクティスに沿って作成されているため、既定でもより安全です。In addition, Microsoft Edge default settings align with security best practices, which makes it more secure by default.

Microsoft Edge に加えて、主に Microsoft Edge では動作しない Web サイトやバイナリ拡張機能との下位互換性を確保するため、IE11 が Windows 10 に搭載されています。In addition to Microsoft Edge, Microsoft includes IE11 in Windows 10, primarily for backwards-compatibility with websites and with binary extensions that do not work with Microsoft Edge. このブラウザーは、メイン ブラウザーとして構成するのではなく、オプションまたは自動切り替えブラウザーとして構成してください。It should not be configured as the primary browser but rather as an optional or automatic switchover. Microsoft では、メイン Web ブラウザーとして Microsoft Edge を使うことをお勧めしています。最新の Web と互換性があり、できる限り高いセキュリティが実現されているためです。We recommend using Microsoft Edge as the primary web browser because it provides compatibility with the modern web and the best possible security.

バイナリ拡張機能とプラグインを必要とするサイトを含む、IE11 の互換性が必要なサイトの場合は、エンタープライズ モードを有効にし、エンタープライズ モード サイト一覧を使用して、依存関係を持つサイトを定義します。For sites that require IE11 compatibility, including those that require binary extensions and plug-ins, enable Enterprise mode and use the Enterprise Mode Site List to define which sites have the dependency. この構成によって、Microsoft Edge が IE11 を必要とするサイトを識別すると、自動的に IE11 に切り替わります。With this configuration, when Microsoft Edge identifies a site that requires IE11, users will automatically be switched to IE11.

ソフトウェア ベンダーが軽減策をアプリに組み込むための関数Functions that software vendors can use to build mitigations into apps

Windows 10 で利用可能な保護のいくつかについては、アプリまたはその他のソフトウェアから呼び出すことができる関数が提供されています。Some of the protections available in Windows 10 are provided through functions that can be called from apps or other software. 保護を活用したソフトウェアは悪用される可能性が低減します。Such software is less likely to provide openings for exploits. ソフトウェア ベンダーによるアプリケーションを利用している場合は、これらのセキュリティ指向の関数をアプリケーションに含めるように要求できます。If you are working with a software vendor, you can request that they include these security-oriented functions in the application. 次の表では、いくつかの軽減策と、対応するアプリで使用可能なセキュリティ指向の関数を示します。The following table lists some types of mitigations and the corresponding security-oriented functions that can be used in apps.

注意

制御フロー ガード (CFG) も、開発者がコンパイル時にソフトウェアに含めることができる、重要な軽減策です。Control Flow Guard (CFG) is also an important mitigation that a developer can include in software when it is compiled. 詳しくは、先述の「制御フロー ガード」をご覧ください。For more information, see Control Flow Guard, earlier in this topic.

表4 開発者がアプリに軽減策を組み込むために利用可能な関数Table 4 Functions available to developers for building mitigations into apps

軽減策Mitigation 関数Function
MemProt 動的なコードの制限MemProt dynamic code restriction UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON]
LoadLib イメージの読み込みの制限LoadLib image loading restrictions UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON]
子プロセスの制限: 子プロセスを作成する機能の制限Child Process Restriction to restrict the ability to create child processes UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY][PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY]
コード整合性制限による、イメージの読み込みの制限Code Integrity Restriction to restrict image loading SetProcessMitigationPolicy 関数SetProcessMitigationPolicy function
[ProcessSignaturePolicy][ProcessSignaturePolicy]
Win32k システム呼び出し無効の制限による、NTUser と GDI の使用の制限Win32k System Call Disable Restriction to restrict ability to use NTUser and GDI SetProcessMitigationPolicy 関数SetProcessMitigationPolicy function
[ProcessSystemCallDisablePolicy][ProcessSystemCallDisablePolicy]
高エントロピー ASLR による、最大 1 TB のメモリ割り当ての分散High Entropy ASLR for up to 1TB of variance in memory allocations UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON]
厳密なハンドル確認による、不正ハンドル参照時の例外の即時発生Strict handle checks to raise immediate exception upon bad handle reference UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON]
拡張ポイントの無効化による、特定のサード パーティ拡張ポイントの使用のブロックExtension point disable to block the use of certain third-party extension points UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON]
破損時のヒープ終了による、破損ヒープに対するシステムの保護Heap terminate on corruption to protect the system against a corrupted heap UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON]

Enhanced Mitigation Experience Toolkit に関連する Windows 10 の理解Understanding Windows 10 in relation to the Enhanced Mitigation Experience Toolkit

ご存知の方も多いと思いますが、Enhanced Mitigation Experience Toolkit (EMET) は 2009 年以来、さまざまな悪用の軽減策と、軽減策のための構成インターフェイスを提供してきました。You might already be familiar with the Enhanced Mitigation Experience Toolkit (EMET), which has since 2009 offered a variety of exploit mitigations, and an interface for configuring those mitigations. このセクションでは、EMET の軽減策と Windows 10 の軽減策の関連を理解するための説明を提供します。You can use this section to understand how EMET mitigations relate to those in Windows 10. EMET の軽減策の多くは Windows 10 に組み込み、いくつかは追加の改善を加え、組み込みされています。Many of EMET's mitigations have been built into Windows 10, some with additional improvements. しかし一部の EMET 軽減策では、パフォーマンス上のコストが高かったり、最近の脅威に対して相対的に効果が低いため、Windows 10 に導入されなかったものがあります。However, some EMET mitigations carry high performance cost, or appear to be relatively ineffective against modern threats, and therefore have not been brought into Windows 10.

EMET の軽減策とセキュリティメカニズムの多くは Windows 10 に既に存在し、特に既知のバイパスの軽減に高い有効性が評価されたため、バージョン 5.5x は EMET の最終メジャー バージョン リリースとして発表されています (「Enhanced Mitigation Experience Toolkit」を参照)。Because many of EMET's mitigations and security mechanisms already exist in Windows 10 and have been improved, particularly those assessed to have high effectiveness at mitigating known bypasses, version 5.5x has been announced as the final major version release for EMET (see Enhanced Mitigation Experience Toolkit).

次の表では、EMET の機能と Windows 10 の関連機能を示します。The following table lists EMET features in relation to Windows 10 features.

表5 EMET の機能と Windows 10 の関連機能Table 5 EMET features in relation to Windows 10 features

EMET の機能Specific EMET features EMET の機能に対応する Windows 10 の機能How these EMET features map
Windows 10 の機能to Windows 10 features
  • DEPDEP

  • SEHOPSEHOP

  • ASLR (Force ASLR、Bottom-up ASLR)ASLR (Force ASLR, Bottom-up ASLR)

DEP、SEHOP、ASLR は、構成可能な機能として Windows 10 に含まれています。DEP, SEHOP and ASLR are included in Windows 10 as configurable features. 先述の表 2 をご覧ください。See Table 2, earlier in this topic.

ProcessMitigations PowerShell モジュールをインストールすると、お使いのこれらの機能の EMET 設定を Windows 10 に適用できるポリシーに変換することができます。You can install the ProcessMitigations PowerShell module to convert your EMET settings for these features into policies that you can apply to Windows 10.

  • ライブラリ読み込みチェック (LoadLib)Load Library Check (LoadLib)

  • メモリ保護チェック (MemProt)Memory Protection Check (MemProt)

LoadLib と MemProt は、Windows 10 では、これらの機能を使用するように作成されているすべてのアプリケーションでサポートされています。LoadLib and MemProt are supported in Windows 10, for all applications that are written to use these functions. 先述の表 4 をご覧ください。See Table 4, earlier in this topic.
  • Null ページNull Page

この脅威の軽減策は、このトピックの「カーネル プール保護」の「メモリ予約」の項目で説明したように、Windows 10 に組み込されています。Mitigations for this threat are built into Windows 10, as described in the "Memory reservations" item in Kernel pool protections, earlier in this topic.
  • ヒープ スプレーHeap Spray

  • EAFEAF

  • EAF+EAF+

Windows 10 では、これらの EMET の機能に具体的に対応する軽減策は含まれていません。今日の脅威の状況では影響が低いこと、また脆弱性の悪用をあまり困難にしないためです。Windows 10 does not include mitigations that map specifically to these EMET features because they have low impact in the current threat landscape, and do not significantly increase the difficulty of exploiting vulnerabilities. Microsoft は引き続き、セキュリティの環境を監視し、新しい悪用の出現に対応して、オペレーティング システムを強化するための対策の実行に努めていきます。Microsoft remains committed to monitoring the security environment as new exploits appear and taking steps to harden the operating system against them.
  • 呼び出し元チェック (Caller Check)Caller Check

  • 実行フローのシミュレート (Simulate Execution Flow)Simulate Execution Flow

  • スタック ピボット (Stack Pivot)Stack Pivot

  • ディープ フック (ROP "Advanced Mitigation")Deep Hooks (an ROP "Advanced Mitigation")

  • アンチ 迂回 (ROP "Advanced Mitigation")Anti Detours (an ROP "Advanced Mitigation")

  • 禁止された関数 (ROP "Advanced Mitigation")Banned Functions (an ROP "Advanced Mitigation")

Windows 10 では、制御フロー ガードを使ってコンパイルされたアプリケーションで、軽減されます。詳しくは、先述の「制御フロー ガード」をご覧ください。Mitigated in Windows 10 with applications compiled with Control Flow Guard, as described in Control Flow Guard, earlier in this topic.

EMET の XML 設定ファイルを Windows 10 の軽減策ポリシーに変換するConverting an EMET XML settings file into Windows 10 mitigation policies

EMET の強みの 1 つは、簡単に展開できる XML 設定ファイルとして、EMET 軽減策の構成設定をインポートおよびエクスポートできる機能です。One of EMET's strengths is that it allows you to import and export configuration settings for EMET mitigations as an XML settings file for straightforward deployment. EMET の XML 設定ファイルから Windows 10 の軽減策のポリシーを生成するには、ProcessMitigations PowerShell モジュールをインストールします。To generate mitigation policies for Windows 10 from an EMET XML settings file, you can install the ProcessMitigations PowerShell module. 管理者特権の PowerShell セッションで、次のコマンドレットを実行します。In an elevated PowerShell session, run this cmdlet:

Install-Module -Name ProcessMitigations

Get-ProcessMitigation コマンドレットは、レジストリや実行中のプロセスから、現在の軽減策の設定を取得するか、またはすべての設定を XML ファイルに保存することができます。The Get-ProcessMitigation cmdlet gets the current mitigation settings from the registry or from a running process, or it can save all settings to an XML file.

notepad.exe の実行中のすべてのインスタンスで、現在の設定を取得するには:To get the current settings on all running instances of notepad.exe:

Get-ProcessMitigation -Name notepad.exe -RunningProcess

notepad.exe のレジストリ内の現在の設定を取得するには:To get the current settings in the registry for notepad.exe:

Get-ProcessMitigation -Name notepad.exe

プロセス ID 1304 で実行中のプロセスの現在の設定を取得するには:To get the current settings for the running process with pid 1304:

Get-ProcessMitigation -Id 1304

すべてのプロセスの軽減策の設定をレジストリから取得して、それを xml ファイル settings.xml に保存するには:To get the all process mitigation settings from the registry and save them to the xml file settings.xml:

Get-ProcessMitigation -RegistryConfigFilePath settings.xml

Set-ProcessMitigation コマンドレットを使うと、プロセスの軽減策の有効化と無効化を行えます。また XML ファイルから設定を一括で行えます。The Set-ProcessMitigation cmdlet can enable and disable process mitigations or set them in bulk from an XML file.

"notepad.exe" の現在のプロセスの軽減策をレジストリから取得し、MicrosoftSignedOnly を有効化して、MandatoryASLR を無効化するには:To get the current process mitigation for "notepad.exe" from the registry and then enable MicrosoftSignedOnly and disable MandatoryASLR:

Set-ProcessMitigation -Name Notepad.exe -Enable MicrosoftSignedOnly -Disable MandatoryASLR

XML ファイルからプロセスの軽減策を設定するには (XML ファイルは get-ProcessMitigation -RegistryConfigFilePath settings.xml によって生成できます):To set the process mitigations from an XML file (which can be generated from get-ProcessMitigation -RegistryConfigFilePath settings.xml):

Set-ProcessMitigation -PolicyFilePath settings.xml

システムの既定値を MicrosoftSignedOnly に設定するには:To set the system default to be MicrosoftSignedOnly:

Set-ProcessMitigation -System -Enable MicrosoftSignedOnly

ConvertTo-ProcessMitigationPolicy コマンドレットは、軽減策のポリシー ファイルの形式を変換します。The ConvertTo-ProcessMitigationPolicy cmdlet converts mitigation policy file formats. 構文は次のとおりです。The syntax is:

ConvertTo-ProcessMitigationPolicy -EMETFilePath <String> -OutputFilePath <String> [<CommonParameters>]

例:Examples:

  • EMET 設定から Windows 10 設定への変換: EMET XML 設定ファイルを入力として、ConvertTo-ProcessMitigationPolicy を実行し、Windows 10 軽減策設定のための結果ファイルを生成します。Convert EMET settings to Windows 10 settings: You can run ConvertTo-ProcessMitigationPolicy and provide an EMET XML settings file as input, which will generate a result file of Windows 10 mitigation settings. 以下に例を示します。For example:

    ConvertTo-ProcessMitigationPolicy -EMETFilePath policy.xml -OutputFilePath result.xml
    
  • 変換された設定 (出力ファイル) の監査と変更: 追加のコマンドレットを使うと、出力ファイルの設定の適用、列挙、有効化、無効化、保存を実行できます。Audit and modify the converted settings (the output file): Additional cmdlets let you apply, enumerate, enable, disable, and save settings in the output file. たとえば次のコマンドレットにより、メモ帳の SEHOP を有効化し、MandatoryASLR と DEPATL レジストリ設定を無効化できます。For example, this cmdlet enables SEHOP and disables MandatoryASLR and DEPATL registry settings for Notepad:

    Set-ProcessMitigation -Name notepad.exe -Enable SEHOP -Disable MandatoryASLR,DEPATL
    
  • 攻撃表面縮小 (ASR) 設定をコード整合性ポリシー ファイルに変換する: 入力ファイルに EMET の攻撃表面縮小 (ASR) 軽減の設定が含まれている場合、コンバーターはコード整合性ポリシー ファイルも作成します。Convert Attack surface reduction (ASR) settings to a Code Integrity policy file: If the input file contains any settings for EMET's Attack surface reduction (ASR) mitigation, the converter will also create a Code Integrity policy file. この場合、コードの整合性ポリシーのマージ、監視、展開のプロセスを完了できます。詳しくは、「Device Guard の展開: コード整合性ポリシーを展開する」をご覧ください。In this case, you can complete the merging, auditing, and deployment process for the Code Integrity policy, as described in Deploy Device Guard: deploy code integrity policies. これにより、EMET の ASR 保護と同等の Windows 10 での保護が有効です。This will enable protections on Windows 10 equivalent to EMET's ASR protections.

  • 証明書信頼設定をエンタープライズ証明書のピン留めルールに変換する : EMET "Certificate Trust" XML ファイル (ピン留めルール ファイル) がある場合は、ConvertTo-ProcessMitigationPolicy を使用して、ピン留めルール ファイルをエンタープライズ証明書ピン留めルール ファイルに変換することもできます。Convert Certificate Trust settings to enterprise certificate pinning rules: If you have an EMET "Certificate Trust" XML file (pinning rules file), you can also use ConvertTo-ProcessMitigationPolicy to convert the pinning rules file into an enterprise certificate pinning rules file. 次にそのファイルの有効化を完了できます。詳しくは、「エンタープライズ証明書のピン留め」をご覧ください。Then you can finish enabling that file as described in Enterprise Certificate Pinning. 以下に例を示します。For example:

    ConvertTo-ProcessMitigationPolicy -EMETfilePath certtrustrules.xml -OutputFilePath enterprisecertpinningrules.xml
    

Microsoft コンサルティング サービス (MCS) と Microsoft サポート/プレミア フィールド エンジニアリング (PFE) では、EMET と EMET のサポートに関するさまざまなオプションや、EMET Enterprise Reporting Service (ERS) などの EMET 関連のレポート作成や監視を行う製品を提供しています。Microsoft Consulting Services (MCS) and Microsoft Support/Premier Field Engineering (PFE) offer a range of options for EMET, support for EMET, and EMET-related reporting and auditing products such as the EMET Enterprise Reporting Service (ERS). このような製品を今日使用している企業のお客様、または類似の機能に関心がある企業のお客様には 、Microsoft Defender for Endpointの評価をお勧めします。For any enterprise customers who use such products today or who are interested in similar capabilities, we recommend evaluating Microsoft Defender for Endpoint.