Windows 10 のセキュリティ機能を使用して脅威を軽減するMitigate threats by using Windows 10 security features

適用対象Applies to:

  • Windows 10Windows 10

このトピックでは、現在のセキュリティ環境におけるソフトウェアやファームウェアの脅威の概要と、これらの脅威に対応するために Windows 10 が提供する軽減策について説明します。This topic provides an overview of some of the software and firmware threats faced in the current security landscape, and the mitigations that Windows 10 offers in response to these threats. Microsoft が提供する関連する保護については、「関連トピック」をご覧ください。For information about related types of protection offered by Microsoft, see Related topics.

セクションSection 内容Contents
今日のセキュリティの脅威The security threat landscape 今日のセキュリティの脅威の性質を説明し、ソフトウェアの悪用や脅威を軽減するための Windows 10 の対応策について説明します。Describes the current nature of the security threat landscape, and outlines how Windows 10 is designed to mitigate software exploits and similar threats.
構成可能な Windows 10 の軽減策Windows 10 mitigations that you can configure 構成可能な脅威の軽減策の一覧表と、詳細情報へのリンクを提供します。Provides tables of configurable threat mitigations with links to more information. Device Guard などの製品の機能を表 1 に示し、データ実行防止などのメモリ保護オプションを表 2 に示します。Product features such as Device Guard appear in Table 1, and memory protection options such as Data Execution Prevention appear in Table 2.
Windows 10 に組み込まれている軽減策Mitigations that are built in to Windows 10 構成を必要としない、オペレーティング システムに組み込まれている、Windows 10 の軽減策について説明します。Provides descriptions of Windows 10 mitigations that require no configuration—they are built into the operating system. たとえば、ヒープの保護とカーネル プールの保護は、Windows 10 に組み込まれています。For example, heap protections and kernel pool protections are built into Windows 10.
Enhanced Mitigation Experience Toolkit に関連する Windows 10 の理解Understanding Windows 10 in relation to the Enhanced Mitigation Experience Toolkit Enhanced Mitigation Experience Toolkit (EMET) の軽減策と Windows 10 の組み込み機能の対応、および EMET の設定を Windows 10 の軽減策のポリシーに変換する方法について説明します。Describes how mitigations in the Enhanced Mitigation Experience Toolkit (EMET) correspond to features built into Windows 10 and how to convert EMET settings into mitigation policies for Windows 10.

このトピックでは、侵害発生前の軽減策である、デバイス保護と脅威への対抗について説明します。This topic focuses on pre-breach mitigations aimed at device protection and threat resistance. Windows 10 でのこれらの保護機能とその他のセキュリティ防御のしくみを次の図に示します。These protections work with other security defenses in Windows 10, as shown in the following illustration:

Types of defenses in Windows 10

図 1    Windows 10 のセキュリティ防御の一部としてのデバイス保護と脅威への対抗Figure 1.  Device protection and threat resistance as part of the Windows 10 security defenses

今日のセキュリティの脅威The security threat landscape

現在のセキュリティの脅威の脅威の 1 つは、集計と一時的な脅威の 1 つです。Today's security threat landscape is one of aggressive and tenacious threats. 以前は、悪意のある攻撃者は、主に攻撃を通じてコミュニティで認められることや、システムを一時的にオフラインにするスリルに重点を置いていました。In previous years, malicious attackers mostly focused on gaining community recognition through their attacks or the thrill of temporarily taking a system offline. その後、アタックモーブは、必要なランサムが支払われるまで、デバイスやデータ ホストを含めて、お送りのおかげでやりとりすくなっています。Since then, attacker's motives have shifted toward making money, including holding devices and data hostage until the owner pays the demanded ransom. 最近の攻撃は次第に大規模な知的財産の窃盗に集中してきています。システムがターゲットとなったことによる名誉損失が金銭的な損失につながったり、サイバー テロによって世界中の個人、企業、および国家の利益のセキュリティまで脅かされるようになりました。Modern attacks increasingly focus on large-scale intellectual property theft; targeted system degradation that can result in financial loss; and now even cyberterrorism that threatens the security of individuals, businesses, and national interests all over the world. 通常、これらの攻撃者は高いスキルを持った個人やセキュリティの専門家であり、大規模な予算や、無制限とも言える人材を持つ、国家や組織に雇われている場合もあります。These attackers are typically highly trained individuals and security experts, some of whom are in the employ of nation states that have large budgets and seemingly unlimited human resources. これらの脅威には、その課題に対応したアプローチが必要となります。Threats like these require an approach that can meet this challenge.

今日のこれらの状況を踏まえ、Windows 10 Creators Update (Windows 10 バージョン 1073) には、多くのソフトウェア脆弱性の発見と悪用を困難 (またはコストがかかるよう) にするための、複数のセキュリティ機能が含まれています。In recognition of this landscape, Windows 10 Creator's Update (Windows 10, version 1703) includes multiple security features that were created to make it difficult (and costly) to find and exploit many software vulnerabilities. これらの機能は、次の目的で設計されています。These features are designed to:

  • あらゆるクラスの脆弱性を排除しますEliminate entire classes of vulnerabilities

  • 悪用手法を防ぎますBreak exploitation techniques

  • 損害を阻止し、持続化を防止しますContain the damage and prevent persistence

  • 悪用される機会を制限しますLimit the window of opportunity to exploit

以下のセクションでは、Windows 10 バージョン 1703 におけるセキュリティの軽減策の詳細を説明します。The following sections provide more detail about security mitigations in Windows 10, version 1703.

構成可能な Windows 10 の軽減策Windows 10 mitigations that you can configure

構成可能な Windows 10 の軽減策を、次の 2 つの表に示します。Windows 10 mitigations that you can configure are listed in the following two tables. 最初の表は、企業におけるデバイスとユーザーのためのさまざまな保護を示します。2 つ目の表は、データ実行防止などの具体的なメモリ保護について詳しく説明しています。The first table covers a wide array of protections for devices and users across the enterprise and the second table drills down into specific memory protections such as Data Execution Prevention. メモリ保護オプションは、システムの制御を取得するためにメモリを操作しようとするマルウェアに対する具体的な軽減策を提供します。Memory protection options provide specific mitigations against malware that attempts to manipulate memory in order to gain control of a system.

表 1Windows 10 の数を構成Table 1Windows 10 mitigations that you can configure

軽減策と対応する脅威Mitigation and corresponding threat 説明とリンクDescription and links
Windows Defender SmartScreenWindows Defender SmartScreen
は、悪意のあるアプリケーションがダウンロードされることを防ぎますhelps prevent
複数のアプリケーションmalicious applications
ダウンロードできないようにするfrom being downloaded
Windows Defender SmartScreen では、Microsoft が保守を行っているサービスを使用して、ダウンロードされたアプリケーションの評判を確認できます。Windows Defender SmartScreen can check the reputation of a downloaded application by using a service that Microsoft maintains. インターネットに由来するアプリ (ユーザーが別の PC からコピーしたものも含む) をユーザーが初めて実行する場合、SmartScreen はアプリに評判があるかどうか、悪意があることがわかっているかどうかを確認し、それに応じて対応します。The first time a user runs an app that originates from the Internet (even if the user copied it from another PC), SmartScreen checks to see if the app lacks a reputation or is known to be malicious, and responds accordingly.

詳しくは、 後述の「Windows Defender SmartScreen」をご覧ください。More information: Windows Defender SmartScreen, later in this topic
Credential GuardCredential Guard
は、pass-the-hash または pass-the-ticket 攻撃によって、攻撃者がアクセスを取得しないようにしますhelps keep attackers
アクセスを取得する方法from gaining access through
ハッシュをパスポッシュまたはPass-the-Hash or
Pass-the-TicketatsPass-the-Ticket attacks
Credential Guard は、仮想化ベースのセキュリティを使って、NTLM パスワード ハッシュ、Kerberos チケット保証チケットなどのシークレットを分離し、特権を持つシステム ソフトウェアのみがアクセスできるようにします。Credential Guard uses virtualization-based security to isolate secrets, such as NTLM password hashes and Kerberos Ticket Granting Tickets, so that only privileged system software can access them.
Credential Guard は Windows 10 Enterprise および Windows Server 2016 に含まれています。Credential Guard is included in Windows 10 Enterprise and Windows Server 2016.

詳しくは、Credential Guard によるドメインの派生資格情報の保護」をご覧ください。More information: Protect derived domain credentials with Credential Guard
エンタープライズ証明書のピン留めEnterprise certificate pinning
は、PKI を使った man-in-the-middle 攻撃を防ぎますhelps prevent
man-in-middle attacksman-in-the-middle attacks
PKI を利用するthat leverage PKI
エンタープライズ証明書のピン留めを使用すると、望ましくない証明書や不正に発行された証明書にチェーンすることを防ぎ、内部のドメイン名を保護できます。Enterprise certificate pinning enables you to protect your internal domain names from chaining to unwanted certificates or to fraudulently issued certificates. エンタープライズ証明書ピンを使用すると、X.509 証明書を "ピン" (関連付け) でき、そのサーティフィケーション当事業者に公開キー (ルートまたはリーフ) を公開することができます。With enterprise certificate pinning, you can "pin" (associate) an X.509 certificate and its public key to its Certification Authority, either root or leaf.

詳しくは、エンタープライズ証明書のピン留め」をご覧ください。More information: Enterprise Certificate Pinning
Device GuardDevice Guard
は、デバイスでマルウェアやその他の信頼されていないアプリが実行されることを防ぎますhelps keep a device
マルウェアを実行するか、from running malware or
その他の信頼できないアプリother untrusted apps
Device Guard には、作成したコード整合性ポリシーが含まれます。信頼できるアプリの許可リスト。組織内で実行できるアプリのみが許可されています。Device Guard includes a Code Integrity policy that you create; an allowlist of trusted apps—the only apps allowed to run in your organization. Device Guard には、ハイパーバイアで保護されたコードの整合性 (HVCI) と呼ぶ強力なシステム統合も含まれており、これにはウイルス ベースのセキュリティ (VBS) を利用して Windows のカーネル モード コードの整合性検証プロセスを保護します。Device Guard also includes a powerful system mitigation called hypervisor-protected code integrity (HVCI), which leverages virtualization-based security (VBS) to protect Windows' kernel-mode code integrity validation process. HVCI には特定のハードウェア要件があり、コード整合性ポリシーと共に動作して、攻撃者がカーネルへのアクセスを取得した場合でも、攻撃を防止します。HVCI has specific hardware requirements, and works with Code Integrity policies to help stop attacks even if they gain access to the kernel.
Device Guard は Windows 10 Enterprise および Windows Server 2016 に含まれています。Device Guard is included in Windows 10 Enterprise and Windows Server 2016.

詳しくは、Device Guard の概要」をご覧ください。More information: Introduction to Device Guard
Microsoft Defender ウイルスウイルスMicrosoft Defender Antivirus,
は、デバイスをウイルスやその他のマルウェアから防ぎますwhich helps keep devices
無料のウイルスやその他free of viruses and other
マルウェアmalware
Windows 10 には、Microsoft Defender ウイルス対策ソリューションが付加されています。Windows 10 includes Microsoft Defender Antivirus, a robust inbox antimalware solution. Windows 8 で発生した後、Microsoft Defender ウイルスウイルスが非常に改善されました。Microsoft Defender Antivirus has been significantly improved since it was introduced in Windows 8.

詳細情報: Microsoft Defender ウイルスベルス 、このトピックの後半のセクションを参照してくださいMore information: Microsoft Defender Antivirus, later in this topic
信頼されていないフォントのブロックBlocking of untrusted fonts
は、特権の昇格攻撃でフォントが使用されるのを防ぎますhelps prevent fonts
からの使用を開始from being used in
elevation-of-privilege attackselevation-of-privilege attacks
信頼されていないフォントのブロックの設定により、ネットワークで信頼されていないフォントをユーザーが読み込むことを防ぐことができます。これにより、フォント ファイルの解析に関連付けられている、特権の昇格攻撃を軽減することができます。Block Untrusted Fonts is a setting that allows you to prevent users from loading fonts that are "untrusted" onto your network, which can mitigate elevation-of-privilege attacks associated with the parsing of font files. ただし、Windows 10 バージョン 1703 では、フォントの解析は AppContainer サンドボックス (これとその他のカーネル プールの保護を説明している一覧は、後述の「カーネル プールの保護」をご覧ください) 内で分離されているため、この軽減策の重要性は低くなっています。However, as of Windows 10, version 1703, this mitigation is less important, because font parsing is isolated in an AppContainer sandbox (for a list describing this and other kernel pool protections, see Kernel pool protections, later in this topic).

詳しくは、エンタープライズ内の信頼されていないフォントのブロック」をご覧ください。More information: Block untrusted fonts in an enterprise
メモリ保護Memory protections
は、マルウェアがバッファ オーバーランなどのメモリ操作技術を使用することを防ぎますhelp prevent malware
メモリのモデリの使用方法from using memory manipulation
バッファーなどの手方法techniques such as buffer
overrunsoverruns
表 2 に記されている軽減策は、マルウェアやその他のコードがメモリを操作してシステムの制御を取得する(たとえば、マルウェアがバッファ オーバーランを使って悪意のある実行コードをメモリに挿入しようとするなど)、メモリ ベースの攻撃からの保護を行います。These mitigations, listed in Table 2, help to protect against memory-based attacks, where malware or other code manipulates memory to gain control of a system (for example, malware that attempts to use buffer overruns to inject malicious executable code into memory. 注:Note:
これらの軽減策のいくつかで、最も制限の厳しい設定に設定されている場合、アプリのサブセットは実行できません。A subset of apps will not be able to run if some of these mitigations are set to their most restrictive settings. テストは、これらのアプリを実行しながら、保護を最大化するのに役立ちます。Testing can help you maximize protection while still allowing these apps to run.

詳しくは、 後述の「表 2」をご覧ください。More information: Table 2, later in this topic
UEFI セキュア ブートUEFI Secure Boot
は、プラットフォームをブートキットやルートキットから保護しますhelps protect
プラットフォーム:the platform from
ブート キットとルートキットboot kits and rootkits
Unified Extensible Firmware Interface (UEFI) セキュア ブートは、Windows 8 以降、メーカーによって PC に組み込まれている、ファームウェアのセキュリティ標準です。Unified Extensible Firmware Interface (UEFI) Secure Boot is a security standard for firmware built in to PCs by manufacturers beginning with Windows 8. これにより、物理的に存在する攻撃者や、ブート プロセスの初期段階や起動後のカーネルで実行されるマルウェアによる改ざんから、ブート プロセスとファームウェアを保護します。It helps to protect the boot process and firmware against tampering, such as from a physically present attacker or from forms of malware that run early in the boot process or in kernel after startup.

詳しくは、UEFI とセキュア ブート」をご覧ください。More information: UEFI and Secure Boot
起動時マルウェア対策 (ELAM)Early Launch Antimalware (ELAM)
は、ドライバーに偽装するルートキットからプラットフォームを保護しますhelps protect
プラットフォーム:the platform from
ドライバーとしてデスクを分けたルートキットrootkits disguised as drivers
起動時マルウェア対策 (ELAM) は、Microsoft 以外のすべてのドライバーとアプリより前に、マルウェア対策ソリューションを起動できるように設計されています。Early Launch Antimalware (ELAM) is designed to enable the antimalware solution to start before all non-Microsoft drivers and apps. マルウェアが起動関連のドライバーを変更した場合、ELAM によって変更が検出され、Windows がドライバーの起動を防止するため、ドライバー ベースのルートキットがブロックされます。If malware modifies a boot-related driver, ELAM will detect the change, and Windows will prevent the driver from starting, thus blocking driver-based rootkits.

詳しくは、起動時マルウェア対策」をご覧ください。More information: Early Launch Antimalware
デバイス正常性構成証明Device Health Attestation
は、侵害されたデバイスが組織の資産にアクセスすることを防ぎますhelps prevent
デバイスのデータの保護compromised devices from
組織のaccessing an organization's
資産assets
デバイス正常性構成証明 (DHA) は、組織のネットワークに接続しようとするデバイスが、正常な状態であり、マルウェアに侵害されていないことを確認する方法を提供します。Device Health Attestation (DHA) provides a way to confirm that devices attempting to connect to an organization's network are in a healthy state, not compromised with malware. DHA が構成されている場合、デバイスの実際のボット データ測定は、予期される "正常性" のボット データに対してチェックすることができます。When DHA has been configured, a device's actual boot data measurements can be checked against the expected "healthy" boot data. チェックによってデバイスが正常でないことが示されると、デバイスからネットワークへのアクセスが行われないようにします。If the check indicates a device is unhealthy, the device can be prevented from accessing the network.

詳しくは、Windows 10 ベースのデバイスの正常性の制御」および「デバイス正常性構成証明」をご覧ください。More information: Control the health of Windows 10-based devices and Device Health Attestation

メモリ操作からの保護を提供するための、構成可能な Windows 10 の軽減策には、これらの脅威および軽減策の詳細な理解と、オペレーティング システムとアプリケーションがメモリを処理する方法に関する知識が必要です。Configurable Windows 10 mitigations designed to help protect against memory manipulation require in-depth understanding of these threats and mitigations and knowledge about how the operating system and applications handle memory. これらの軽減策を最大化するための標準的なプロセスは、テスト ラボで、ある設定が使用しているアプリケーションと干渉しないかどうかを確認することです。それによって、アプリが正常に実行されるようにしながら、保護を最大化できる設定を展開します。The standard process for maximizing these types of mitigations is to work in a test lab to discover whether a given setting interferes with any applications that you use so that you can deploy settings that maximize protection while still allowing apps to run correctly.

IT 担当者は、制御フロー ガード (CFG) と呼ばれる追加の保護機能を含んだアプリケーションを提供するように、アプリケーション開発者やソフトウェア ベンダーに依頼することができます。As an IT professional, you can ask application developers and software vendors to deliver applications that include an additional protection called Control Flow Guard (CFG). オペレーティング システムの構成は必要ありません。保護は、アプリケーションにコンパイルされています。No configuration is needed in the operating system—the protection is compiled into applications. 詳しくは、「制御フロー ガード」をご覧ください。More information can be found in Control Flow Guard.

表 2   メモリ攻撃からの保護のための構成可能な Windows 10 の軽減策Table 2  Configurable Windows 10 mitigations designed to help protect against memory exploits

軽減策と対応する脅威Mitigation and corresponding threat 説明Description
データ実行防止 (DEP)Data Execution Prevention (DEP)
は、バッファ オーバーランの悪用を防ぎますhelps prevent
バッファー オーバーランドの概要exploitation of buffer overruns
データ実行防止 (DEP) は、Windows オペレーティング システムで利用できる、システム レベルのメモリ保護機能です。Data Execution Prevention (DEP) is a system-level memory protection feature available in Windows operating systems. DEP によってオペレーティング システムは、メモリの 1 つ以上のページを非実行可能としてマークできます。これにより、メモリのその領域からコードが実行されることを防ぎ、バッファ オーバーランの悪用を防ぎます。DEP enables the operating system to mark one or more pages of memory as non-executable, which prevents code from being run from that region of memory, to help prevent exploitation of buffer overruns.
DEP は、コードが、既定のヒープ、スタック、メモリ プールなどのデータ ページから実行されることを防ぎます。DEP helps prevent code from being run from data pages such as the default heap, stacks, and memory pools. 一部のアプリケーションでは、DEP と互換性の問題がありますが、アプリケーションの大部分は問題ありません。Although some applications have compatibility problems with DEP, the vast majority of applications do not.
詳しくは、 後述の「データ実行防止」をご覧ください。More information: Data Execution Prevention, later in this topic.

グループ ポリシー設定: DEP は 64 ビット アプリケーションでは既定でオンになっていますが、グループ ポリシーの設定を使って、DEP 保護の追加の構成を行うことができます。詳しくは「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。Group Policy settings: DEP is on by default for 64-bit applications, but you can configure additional DEP protections by using the Group Policy settings described in Override Process Mitigation Options to help enforce app-related security policies.
SEHOPSEHOP
は、構造化例外ハンドラーの上書きを防ぎますhelps prevent
上書きoverwrites of the
構造化例ハンドラーStructured Exception Handler
構造化例外処理の上書き保護 (SEHOP) は、構造化例外ハンドラー (SEH) の上書き処理の悪用を防ぎます。Structured Exception Handling Overwrite Protection (SEHOP) is designed to help block exploits that use the Structured Exception Handler (SEH) overwrite technique. この保護メカニズムは実行時に提供されるため、最新の機能強化を使ってコンパイルされているかどうかにかかわらず、アプリを保護するために役立ちます。Because this protection mechanism is provided at run-time, it helps to protect apps regardless of whether they have been compiled with the latest improvements. 一部のアプリケーションでは、SEHOP との互換性の問題があるため、必ず使用環境でテストを行ってください。A few applications have compatibility problems with SEHOP, so be sure to test for your environment.
詳しくは、 後述の「構造化例外処理の上書き保護」をご覧ください。More information: Structured Exception Handling Overwrite Protection, later in this topic.

グループ ポリシー設定: SEHOP は 64 ビット アプリケーションでは既定でオンになっていますが、グループ ポリシーの設定を使って、SEHOP 保護の追加の構成を行うことができます。詳しくは「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。Group Policy setting: SEHOP is on by default for 64-bit applications, but you can configure additional SEHOP protections by using the Group Policy setting described in Override Process Mitigation Options to help enforce app-related security policies.
ASLRASLR
は、予期されるメモリ位置に基いて、マルウェア攻撃を軽減しますhelps mitigate malware
基づく取り付けattacks based on
期待されるメモリ位置expected memory locations
アドレス空間レイアウトのランダム化 (ASLR) は、ブート時に DLL をランダムなメモリ アドレスに読み込みます。Address Space Layout Randomization (ASLR) loads DLLs into random memory addresses at boot time. これによって、特定の DLL が読み込まれる特定のメモリ位置を攻撃するようなマルウェアを軽減できます。This helps mitigate malware that's designed to attack specific memory locations, where specific DLLs are expected to be loaded.
詳しくは、 後述の「アドレス空間レイアウトのランダム化」をご覧ください。More information: Address Space Layout Randomization, later in this topic.

グループ ポリシー設定: ASLR は 64 ビット アプリケーションでは既定でオンになっていますが、グループ ポリシーの設定を使って、ASLR 保護の追加の構成を行うことができます。詳しくは「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。Group Policy settings: ASLR is on by default for 64-bit applications, but you can configure additional ASLR protections by using the Group Policy settings described in Override Process Mitigation Options to help enforce app-related security policies.

Windows Defender SmartScreenWindows Defender SmartScreen

Windows Defender SmartScreen は、報告されたフィッシングやマルウェアの Web サイトをユーザーがクリックした場合に、ユーザーに通知して、安全でないダウンロードを防いだり、情報に基いてダウンロードに関する判断を行えるようにします。Windows Defender SmartScreen notifies users if they click on reported phishing and malware websites, and helps protect them against unsafe downloads or make informed decisions about downloads.

Windows10 の場合、Microsoft はアプリの代替機能をオペレーティ Windows Defenderング システム自体に統合することで、保護機能を強化しました 。Windows Defender SmartScreen では、インターネットからダウンロードしたファイルの回復機能を確認し、高リスクダウンロードされたファイルの実行をユーザーに警告できます。For Windows10, Microsoft improved SmartScreen (now called Windows Defender SmartScreen) protection capability by integrating its app reputation abilities into the operating system itself, which allows Windows Defender SmartScreen to check the reputation of files downloaded from the Internet and warn users when they're about to run a high-risk downloaded file. ユーザーがインターネットから送信したアプリを初めて実行すると、smartScreen Windows Defender は、Microsoft が保持するサービスに対するデジタル署名とその他の要素を使用してアプリケーションの繰り返しをチェックします。The first time a user runs an app that originates from the Internet, Windows Defender SmartScreen checks the reputation of the application by using digital signatures and other factors against a service that Microsoft maintains. アプリでの返復ができない場合や、エラーが発生している場合、Windows Defender SmartScreen では、管理者が Microsoft Intune またはグループ ポリシー設定に応じて、ユーザーまたはブロック全体に警告します。If the app lacks a reputation or is known to be malicious, Windows Defender SmartScreen warns the user or blocks execution entirely, depending on how the administrator has configured Microsoft Intune or Group Policy settings.

詳細については 、Microsoft Defender SmartScreen の概要を参照してくださいFor more information, see Microsoft Defender SmartScreen overview.

Microsoft Defender ウイルス対策Microsoft Defender Antivirus

Windows 10 の Microsoft Defender ウイルスウイルスを使用して、ウイルスを改善します。Microsoft Defender Antivirus in Windows 10 uses a multi-pronged approach to improve antimalware:

  • クラウドによる保護によって、まったく新しいマルウェアでも、数秒でマルウェアを検出してブロックできます。Cloud-delivered protection helps detect and block new malware within seconds, even if the malware has never been seen before. Windows 10 バージョン 1703 で利用できるこのサービスは、分散リソースと機械学習を使用して、従来の署名の更新よりもはるかに速いペースで、保護をエンドポイントに配布します。The service, available as of Windows 10, version 1703, uses distributed resources and machine learning to deliver protection to endpoints at a rate that is far faster than traditional signature updates.

  • リッチなローカル コンテキストは、マルウェアを識別する方法を強化します。Rich local context improves how malware is identified. Windows 10 は、Microsoft Defender ウイルスベンダーウイルスは、ファイルやプロセスなどのコンテンツだけでなく、コンテンツがどこから取得されてきたか、そのコンテンツが保存されている場所などを通知します。Windows 10 informs Microsoft Defender Antivirus not only about content like files and processes but also where the content came from, where it has been stored, and more. ソースと履歴に関する情報により、Microsoft Defender ウイルス対イルス対イルス対イルス対イルス対数はさまざまなコンテンツにさまざまなスクリットレベルを適用できます。The information about source and history enables Microsoft Defender Antivirus to apply different levels of scrutiny to different content.

  • 全体的な グローバル センサーは、Microsoft Defender ウイルス対イルス対イルス対注を最新状態に保ち、最新のマルウェアを認知するのに役立ちます。Extensive global sensors help keep Microsoft Defender Antivirus current and aware of even the newest malware. これは、エンド ポイントからリッチなコンテキスト データを収集する方法と、そのデータを一元的に分析する方法の 2 つにより実現されます。This is accomplished in two ways: by collecting the rich local context data from end points and by centrally analyzing that data.

  • バッパー校正を行 うと、マルウェアの脅りに対する Microsoft Defender ウイルス対対立対立対自体の保保に役立ちます。Tamper proofing helps guard Microsoft Defender Antivirus itself against malware attacks. たとえば、Microsoft Defender ウイルス対策は、保護されたプロセスを使用し、信頼されていないプロセスが Microsoft Defender ウイルス対策のコンポーネントやレジストリ キーなどを改ざんしようとすることを防ぎます。For example, Microsoft Defender Antivirus uses Protected Processes, which prevents untrusted processes from attempting to tamper with Microsoft Defender Antivirus components, its registry keys, and so on. (保護されたプロセスについては、後述します)。(Protected Processes is described later in this topic.)

  • ンタープライズ レベルの機能により、Microsoft Defender ウイルス対策ソリューションをエンタープライズ クラスのウェアソリューションにするために必要なツールと構成オプションが与えられます。Enterprise-level features give IT pros the tools and configuration options necessary to make Microsoft Defender Antivirus an enterprise-class antimalware solution.

詳しくは、「Windows 10 の Windows Defender」および「Windows Server 用 Windows Defender の概要」をご覧ください。For more information, see Windows Defender in Windows 10 and Windows Defender Overview for Windows Server.

Microsoft Defender Advanced Threat Protection の詳細については、企業がネットワーク上で高度な検出、調査、対象の属性を対象とした属性に対応するためのサービスについては 、Microsoft Defender Advanced Threat Protection (ATP)Microsoft Defender Advanced Threat Protection (ATP) (ドキュメント) を参照してください。For information about Microsoft Defender Advanced Threat Protection, a service that helps enterprises to detect, investigate, and respond to advanced and targeted attacks on their networks, see Microsoft Defender Advanced Threat Protection (ATP) (resources) and Microsoft Defender Advanced Threat Protection (ATP) (documentation).

データ実行防止Data Execution Prevention

マルウェアは、悪意のあるペイロードをメモリに挿入して、それが後で実行されることを期待しています。Malware depends on its ability to insert a malicious payload into memory with the hope that it will be executed later. 情報の記憶域だけに割り当てた領域にマルウェアがあった場合、マルウェアの実行を防ぐことは有効ではありませんか?Wouldn't it be great if you could prevent malware from running if it wrote to an area that has been allocated solely for the storage of information?

データ実行防止 (DEP) は、悪意のあるコードが自身の利益のために使うことができるメモリの範囲を大幅に削減することでまさにそれを行います。Data Execution Prevention (DEP) does exactly that, by substantially reducing the range of memory that malicious code can use for its benefit. DEP では、最新の CPUs では No eXecute ビットを使用してメモリのブロックを読み取り専用としてマークします。そのため、それらのブロックを使用して、さまざまなコードを実行できなくなります。このため、さまざまなパラメーター機能が用意されている可能性があるため、それらのブロックを実行することはできません。DEP uses the No eXecute bit on modern CPUs to mark blocks of memory as read-only so that those blocks can't be used to execute malicious code that may be inserted by means of a vulnerability exploit.

タスク マネージャーを使って、DEP を使用するアプリを確認する方法To use Task Manager to see apps that use DEP

  1. タスク マネージャーを開く: Ctrl + Alt + Del キーを押して、[タスク マネージャー] を選択するか、またはスタート画面を検索します。Open Task Manager: Press Ctrl+Alt+Del and select Task Manager, or search the Start screen.

  2. [詳細] (必要な場合) をクリックし、次に [詳細] をクリックします。Click More Details (if necessary), and then click the Details tab.

  3. 任意の列見出しを右クリックし、 [列の選択] をクリックします。Right-click any column heading, and then click Select Columns.

  4. [列の選択] ダイアログ ボックスで、最後の [データ実行防止] チェック ボックスをオンにします。In the Select Columns dialog box, select the last Data Execution Prevention check box.

  5. [OK] をクリックします。Click OK.

DEP が有効なプロセスが表示されます。You can now see which processes have DEP enabled.

Windows 10 で DEP を有効にしたプロセス

図 2.    Windows 10 で DEP が有効になっているプロセスFigure 2.  Processes on which DEP has been enabled in Windows10

コントロール パネルを使用すると、DEP の設定の表示と変更ができます。You can use Control Panel to view or change DEP settings.

コントロール パネルを使って個々の PC で DEP 設定の表示と変更を行う方法To use Control Panel to view or change DEP settings on an individual PC

  1. [コントロール パネル] の [システム]を開く: スタートをクリックし、「コントロール パネル システム」と入力して、Enter キーを押します。Open Control Panel, System: click Start, type Control Panel System, and press ENTER.

  2. [システムの詳細設定] をクリックして、[詳細設定] タブをクリックします。Click Advanced system settings, and then click the Advanced tab.

  3. [パフォーマンス] のボックスで [設定] をクリックします。In the Performance box, click Settings.

  4. [パフォーマンス オプション][データ実行防止] タブをクリックします。In Performance Options, click the Data Execution Prevention tab.

  5. オプションを選択します。Select an option:

    • [重要な Windows のプログラムおよびサービスについてのみ有効にする]Turn on DEP for essential Windows programs and services only

    • [次に選択するものを除くすべてのプログラムおよびサービスについて DEP を有効にする]Turn on DEP for all programs and services except those I select. このオプションを選択する場合は、[追加][削除] ボタンを使って、DEP をオンにしない、例外リストを作成します。If you choose this option, use the Add and Remove buttons to create the list of exceptions for which DEP will not be turned on.

グループ ポリシーを使用して DEP 設定を制御する方法To use Group Policy to control DEP settings

[プロセス軽減策オプション] というグループ ポリシー設定を使って DEP 設定を制御できます。You can use the Group Policy setting called Process Mitigation Options to control DEP settings. 一部のアプリケーションでは、DEP との互換性の問題があるため、必ず使用環境でテストを行ってください。A few applications have compatibility problems with DEP, so be sure to test for your environment. グループ ポリシー設定の使用について、詳しくは、「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。To use the Group Policy setting, see Override Process Mitigation Options to help enforce app-related security policies.

構造化例外処理の上書き保護Structured Exception Handling Overwrite Protection

構造化例外ハンドリング上書き保護 (SEHOP) は、属性化された例外取り手Structured Exception Handling (SEH) を使用して、構造化例外取り (SEH) を検出することを防止するのに役立ちます。 これはシステムにととって統合され、(重大でない) アプリが適切に例外処理を処理できるシステムに統合されています。Structured Exception Handling Overwrite Protection (SEHOP) helps prevent attackers from being able to use malicious code to exploit the Structured Exception Handling (SEH), which is integral to the system and allows (non-malicious) apps to handle exceptions appropriately. この保護メカニズムは実行時に提供されるため、最新の機能強化を使ってコンパイルされているかどうかにかかわらず、アプリケーションを保護するために役立ちます。Because this protection mechanism is provided at run-time, it helps to protect applications regardless of whether they have been compiled with the latest improvements.

[プロセス軽減策オプション] というグループ ポリシー設定を使って SEHOP 設定を制御できます。You can use the Group Policy setting called Process Mitigation Options to control the SEHOP setting. 一部のアプリケーションでは、SEHOP との互換性の問題があるため、必ず使用環境でテストを行ってください。A few applications have compatibility problems with SEHOP, so be sure to test for your environment. グループ ポリシー設定の使用について、詳しくは、「アプリに関連するセキュリティ ポリシーの適用に役立つ [プロセス軽減策オプション] の上書き」をご覧ください。To use the Group Policy setting, see Override Process Mitigation Options to help enforce app-related security policies.

アドレス空間レイアウトのランダム化Address Space Layout Randomization

システムへのアクセスを取得するために使われる最も一般的な手法の 1 つは、既に実行されている特権付きプロセスで脆弱性を見つけ、重要なシステム コードやデータが置かれているメモリ内の場所を推測または発券して、その情報を悪意のあるペイロードで置き換える手法です。One of the most common techniques used to gain access to a system is to find a vulnerability in a privileged process that is already running, guess or find a location in memory where important system code and data have been placed, and then overwrite that information with a malicious payload. システム メモリに直接書き込みができるマルウェアは、よく知られた予測可能な場所に上書きすることができます。Any malware that could write directly to the system memory could simply overwrite it in well-known and predictable locations.

アドレス空間レイアウトのランダム化 (ASLR) により、その種の攻撃がかなり難しくなっています。重要なデータがメモリに格納される方法と場所がランダム化されるためです。Address Space Layout Randomization (ASLR) makes that type of attack much more difficult because it randomizes how and where important data is stored in memory. ASLR により、マルウェアが攻撃に必要な特定の場所を見つけるのはより困難になります。With ASLR, it is more difficult for malware to find the specific location it needs to attack. 図 3 は、ASLR のしくみを示しています。重要な各種の Windows コンポーネントのメモリ内の場所が再起動のたび変化するようすを示しています。Figure 3 illustrates how ASLR works by showing how the locations of different critical Windows components can change in memory between restarts.

ASLR のしくみ

図3   ASLR のしくみFigure 3.  ASLR at work

Windows10 では、システムに同時に ASLR が適用され、以前のバージョンの Windows と比較して、ヒープのスプレッドシートなどの高度なアタックを統合するエントリのレベルが大きくなります。Windows10 applies ASLR holistically across the system and increases the level of entropy many times compared with previous versions of Windows to combat sophisticated attacks such as heap spraying. 64 ビット システムおよびアプリケーション プロセスでは、メモリ領域が大きくなる可能性が高くなる可能性があり、Windows 10 がクリティカル データを保存するマルウェアを予測するのはさらに簡単に行うことができます。64-bit system and application processes can take advantage of a vastly increased memory space, which makes it even more difficult for malware to predict where Windows10 stores vital data. TPM を搭載したシステムで使うと、ASLR メモリ ランダム化のデバイス間での一意性はさらに高まるため、あるシステムで機能している悪用の成功が別のシステムで確実に機能することはより困難になります。When used on systems that have TPMs, ASLR memory randomization will be increasingly unique across devices, which makes it even more difficult for a successful exploit that works on one system to work reliably on another.

プロセスモニゲーション オプションの説明に規定されているように、ASLR 設定 ("Force ASLR" と "ボトムアップ ASLR") を制御できます。これについては、オーバーライド プロセス モニタリング オプションの説明に記載されているように、ASLR 設定 ("Force ASLR" と "下位アップ ASLR") を制御できます。You can use the Group Policy setting called Process Mitigation Options to control ASLR settings ("Force ASLR" and "Bottom-up ASLR"), as described in Override Process Mitigation Options to help enforce app-related security policies.

Windows 10 に組み込まれている軽減策Mitigations that are built in to Windows 10

Windows 10 では、悪用からの保護を行うための、脅威に対する多くの軽減策がオペレーティング システムに組み込まれて提供されます。オペレーティング システム内で構成をする必要はありません。Windows 10 provides many threat mitigations to protect against exploits that are built into the operating system and need no configuration within the operating system. 次の表では、これらの軽減策の一部について説明します。The table that follows describes some of these mitigations.

制御 Flow Guard (CFG) はオペレーティング システム内で構成を必要としなくても、アプリケーションデベロッパーがコンパイルされたときにアプリケーションを構成する必要があります。Control Flow Guard (CFG) is a mitigation that does not need configuration within the operating system, but does require that an application developer configure the mitigation into the application when it's compiled. CFGは、Microsoft Edge、IE11、Windows 10 のその他の領域に組み込まれています。他の多くのアプリケーションにコンパイル時に組み込むことができます。CFG is built into Microsoft Edge, IE11, and other areas in Windows 10, and can be built into many other applications when they are compiled.

メモリの出版から保護する Windows 10 の診定 – 構成は必要ありませんTable 3 Windows 10 mitigations to protect against memory exploits – no configuration needed

軽減策と対応する脅威Mitigation and corresponding threat 説明Description
SYSVOL と NETLOGON 共有に関する SMB セキュリティ強化SMB hardening for SYSVOL and NETLOGON shares
は、man-in-the-middle 攻撃を軽減しますhelps mitigate
man-in-middle attacksman-in-the-middle attacks
Active Directory ドメイン サービスの、ドメイン コントローラーの既定の SYSVOL 共有および NETLOGON 共有へのクライアント接続には、SMB 署名と (Kerberos などの) 相互認証を必要とするようになりました。Client connections to the Active Directory Domain Services default SYSVOL and NETLOGON shares on domain controllers now require SMB signing and mutual authentication (such as Kerberos).

詳しくは、 後述の「SYSVOL と NETLOGON 共有に関する SMB セキュリティ強化の向上」をご覧ください。More information: SMB hardening improvements for SYSVOL and NETLOGON shares, later in this topic.
保護されたプロセスProtected Processes
は、1 つのプロセスが別のプロセスから改ざんされることを防ぎますhelp prevent one process
を別の方法でタッパングからfrom tampering with another
プロセスprocess
保護されたプロセスの機能により、Windows 10 は、信頼されていないプロセスが特別に署名されたプロセスを操作または改ざんできないようにします。With the Protected Processes feature, Windows 10 prevents untrusted processes from interacting or tampering with those that have been specially signed.

詳しくは、 後述の「保護されたプロセス」をご覧ください。More information: Protected Processes, later in this topic.
ユニバーサル Windows アプリの保護Universal Windows apps protections
は、ダウンロード可能なアプリの審査を行い、アプリを AppContainer サンドボックス内で実行しますscreen downloadable
アプリを開き、apps and run them in
AppContainer のスタンドボックスan AppContainer sandbox
ユニバーサル Windows アプリは利用可能になる前に慎重に審査されます。アプリは、限られた特権と機能を持った AppContainer サンド ボックス内で実行されます。Universal Windows apps are carefully screened before being made available, and they run in an AppContainer sandbox with limited privileges and capabilities.

詳しくは、 後述の「ユニバーサル Windows アプリの保護」をご覧ください。More information: Universal Windows apps protections, later in this topic.
ヒープの保護Heap protections
は、ヒープの悪用を防止しますhelp prevent
ヒープの詳細exploitation of the heap
Windows 10 には、ヒープで使用されるメモリの破損からの保護を行う内部データ構造の使用など、ヒープの保護が含まれています。Windows 10 includes protections for the heap, such as the use of internal data structures which help protect against corruption of memory used by the heap.

詳しくは、 後述の「Windows のヒープの保護」をご覧ください。More information: Windows heap protections, later in this topic.
カーネル プールの保護Kernel pool protections
は、カーネルが使用するプール メモリの悪用を防止しますhelp prevent
プール メモリの展開exploitation of pool memory
カーネルで使用されるused by the kernel
Windows 10 には、カーネルが使用するプール メモリの保護が含まれています。Windows 10 includes protections for the pool of memory used by the kernel. たとえば、安全なリンク解除は、攻撃の作成に使われるリンク解除操作と同時に発生する、プール オーバーランからの保護を行います。For example, safe unlinking protects against pool overruns that are combined with unlinking operations that can be used to create an attack.

詳しくは、 後述の「カーネル プールの保護」をご覧ください。More information: Kernel pool protections, later in this topic.
制御フロー ガードControl Flow Guard
は、メモリ内のコードの位置間のフローに基づく悪用を軽減しますhelps mitigate exploits
に基づくthat are based on
コードの場所間のフローflow between code locations
メモリ内in memory
Control Flow Guard (CFG) は、オペレーティング システム内で構成を必要としなくても、コンパイルされたソフトウェアに組み込まれていません。Control Flow Guard (CFG) is a mitigation that requires no configuration within the operating system, but instead is built into software when it's compiled. CFG は、Microsoft Edge、IE11、Windows 10 の他の領域に組み込まれています。It is built into Microsoft Edge, IE11, and other areas in Windows 10. CFG は、C または C++ で作成するアプリケーション、または Visual Studio 2015 を使ってコンパイルされるアプリケーションに組み込むことができます。CFG can be built into applications written in C or C++, or applications compiled using Visual Studio 2015.
このようなアプリケーションの場合、CFG は、コードの指定されたフローの変更を検出できます。For such an application, CFG can detect an attacker's attempt to change the intended flow of code. この問題が発生した場合、CFG はアプリケーションを終了します。If this occurs, CFG terminates the application. CFG を有効にしてコンパイルした Windows アプリケーションを提供するように、ソフトウェア ベンダーに要求を行うことができます。You can request software vendors to deliver Windows applications compiled with CFG enabled.

詳しくは、 後述の「制御フロー ガード」をご覧ください。More information: Control Flow Guard, later in this topic.
Microsoft Edge ブラウザーに組み込まれている保護Protections built into Microsoft Edge (the browser)
は、複数の脅威を軽減できますhelps mitigate multiple
脅威threats
Windows 10 には、まったく新しいブラウザーである Microsoft Edge が含まれています。Microsoft Edge は複数のセキュリティ強化を含めて設計されています。Windows 10 includes an entirely new browser, Microsoft Edge, designed with multiple security improvements.

詳しくは、 後述の「Microsoft Edge と Internet Explorer 11」をご覧ください。More information: Microsoft Edge and Internet Explorer 11, later in this topic.

SYSVOL と NETLOGON 共有に関する SMB セキュリティ強化の向上SMB hardening improvements for SYSVOL and NETLOGON shares

Windows 10 および Windows Server 2016 では、Active Directory Domain Services の、ドメイン コントローラーの既定の SYSVOL 共有および NETLOGON 共有へのアクセスには、サーバー メッセージ ブロック (SMB) 署名と (Kerberos などの) 相互認証を必要とします。In Windows 10 and Windows Server 2016, client connections to the Active Directory Domain Services default SYSVOL and NETLOGON shares on domain controllers require Server Message Block (SMB) signing and mutual authentication (such as Kerberos). これにより、man-in-the-middle 攻撃の可能性を軽減します。This reduces the likelihood of man-in-the-middle attacks. SMB の署名とミュート認証が利用できない場合、Windows 10 または Windows Server 2016 を実行しているコンピューターでは、ドメイン ベースのグループ ポリシーとスクリプトは処理されません。If SMB signing and mutual authentication are unavailable, a computer running Windows 10 or Windows Server 2016 won't process domain-based Group Policy and scripts.

注意

これらの設定のレジストリ値は既定では存在しませんが、セキュリティ強化の規則は、グループ ポリシーまたはその他のレジストリ値でオーバーライドされるまで引き続き適用されます。The registry values for these settings aren't present by default, but the hardening rules still apply until overridden by Group Policy or other registry values. これらのセキュリティ機能強化 (UNC ハードニングとも呼ばれます) の詳細については、マイクロソフト サポート技術情報の記事 3000483 および「MS15-011 & MS15-014: Hardening Group Policy (MS15-011 & MS15-014: グループ ポリシーのセキュリティ強化)」を参照してください。For more information on these security improvements, (also referred to as UNC hardening), see Microsoft Knowledge Base article 3000483 and MS15-011 & MS15-014: Hardening Group Policy.

保護されたプロセスProtected Processes

ほとんどのセキュリティ制御は、初期の感染ポイントを防止することを目的としています。Most security controls are designed to prevent the initial infection point. しかし、最良の予防的制御をすべて講じても、マルウェアはシステムに感染する方法を最終的に見つける可能性があります。However, despite all the best preventative controls, malware might eventually find a way to infect the system. そのため、デバイスに侵入したマルウェアに制限をかけるための保護があります。So, some protections are built to place limits on malware that gets on the device. 保護されたプロセスは、そのような制限を行います。Protected Processes creates limits of this type.

保護されたプロセスにより、Windows 10 は、信頼されていないプロセスが特別に署名されたプロセスを操作または改ざんできないようにします。With Protected Processes, Windows 10 prevents untrusted processes from interacting or tampering with those that have been specially signed. 保護されたプロセスは、プロセスの信頼レベルを定義します。Protected Processes defines levels of trust for processes. 信頼性の低いプロセスは操作が防止されるため、より信頼性の高いプロセスが攻撃されることになります。Less trusted processes are prevented from interacting with and therefore attacking more trusted processes. Windows 10 は保護されたプロセスを、広くオペレーティング システム全体で活用しています。また Windows 8.1 と同様に、サード パーティのマルウェア対策ベンダーが使用できるように、保護されたプロセスを実装しています。詳しくは、「マルウェア対策サービスの保護」をご覧ください。Windows 10 uses Protected Processes more broadly across the operating system, and as in Windows 8.1, implements them in a way that can be used by 3rd party anti-malware vendors, as described in Protecting Anti-Malware Services. これにより、システムおよびマルウェア対策ソリューションは、システムに侵入しようとするマルウェアによる改ざんを受けにくくなります。This helps make the system and antimalware solutions less susceptible to tampering by malware that does manage to get on the system.

ユニバーサル Windows アプリの保護Universal Windows apps protections

ユーザーが Microsoft Store からユニバーサル Windows アプリをダウンロードする場合、すべてのアプリがストアで入手する前に、すべてのアプリが気に入っているので、マルウェアが発生する可能性が高くなります。When users download Universal Windows apps from the Microsoft Store, it's unlikely that they will encounter malware because all apps go through a careful screening process before being made available in the store. 組織がサイドローディング プロセスを通じてビルドおよび配布するアプリは、組織のセキュリティ要件を満たしているを内部で確認する必要があります。Apps that organizations build and distribute through sideloading processes will need to be reviewed internally to ensure that they meet organizational security requirements.

ユニバーサル Windows アプリは、ユーザーが取得した方法に関係なく安心して使うことができます。Regardless of how users acquire Universal Windows apps, they can use them with increased confidence. ユニバーサル Windows アプリは、特権と機能が限定された AppContainer サンドボックス内で実行されます。Universal Windows apps run in an AppContainer sandbox with limited privileges and capabilities. たとえば、ユニバーサル Windows アプリは、システム レベルのアクセスを持っておらず、他のアプリとのやり取りが厳しく制御されるため、ユーザーがアプリケーションのアクセス許可を明示的に付与しない限りデータにアクセスできません。For example, Universal Windows apps have no system-level access, have tightly controlled interactions with other apps, and have no access to data unless the user explicitly grants the application permission.

さらに、すべてのユニバーサル Windows アプリは、最小限の特権のセキュリティ原則に従っています。In addition, all Universal Windows apps follow the security principle of least privilege. アプリは、正当なタスクの実行に必要な最小限の特権のみ受け取るため、攻撃者がアプリを悪用した場合でも、悪用による損害はかなり限定的で、サンドボックス内に収まります。Apps receive only the minimum privileges they need to perform their legitimate tasks, so even if an attacker exploits an app, the damage the exploit can do is severely limited and should be contained within the sandbox. Microsoft Store には、アプリに必要な正しい機能 (カメラへのアクセスなど) とアプリの年齢レーティングとパブリッシャーが表示されます。The Microsoft Store displays the exact capabilities the app requires (for example, access to the camera), along with the app's age rating and publisher.

Windows のヒープの保護Windows heap protections

ヒープ は、Windows が動的なアプリケーション データの格納に使うメモリ内の場所です。The heap is a location in memory that Windows uses to store dynamic application data. Windows 10 では、ヒープのヒープのリスクに対するリスクをより高め、バッテックの一部として使用できる可能性の高いリスクをまとめて、Windows 10 の以前の Windows ヒープデザインを改善します。Windows10 continues to improve on earlier Windows heap designs by further mitigating the risk of heap exploits that could be used as part of an attack.

Windows 10 には、ヒープのセキュリティに関するいくつかの重要な改善があります。Windows10 has several important improvements to the security of the heap:

  • ヒープ メタデータの強化により、ヒープが使用する内部データ構造体を強化して、メモリの破損に対する保護を向上させています。Heap metadata hardening for internal data structures that the heap uses, to improve protections against memory corruption.

  • ヒープ割り当てのランダム化により、ヒープ メモリの割り当てにランダム化された場所とサイズを使用するため、重要なメモリの場所を予測して上書きしようとする攻撃者の試みがより困難になります。Heap allocation randomization, that is, the use of randomized locations and sizes for heap memory allocations, which makes it more difficult for an attacker to predict the location of critical memory to overwrite. 具体的には、Windows 10 では、新しく割り当てたヒープのアドレスにランダーム オフセットを追加します。このため割り当ての予期は可能な限り減らされます。Specifically, Windows10 adds a random offset to the address of a newly allocated heap, which makes the allocation much less predictable.

  • メモリのブロックの前 後のヒープ ギャラッシュ ページ。このページは、出線ワイヤーとして機能します。Heap guard pages before and after blocks of memory, which work as trip wires. 攻撃者は、メモリ ブロックを越えて書き込もうとする場合 (バッファー オーバーフローと呼ばれる一般的な手法)、ガード ページを上書きする必要があります。If an attacker attempts to write past a block of memory (a common technique known as a buffer overflow), the attacker will have to overwrite a guard page. ガジェット ページを変更しなけやすくするとメモリがクローズと見なされ、アプリをすぐに終了することで応答します。Any attempt to modify a guard page is considered a memory corruption, and Windows10 responds by instantly terminating the app.

カーネル プールの保護Kernel pool protections

Windows のオペレーティング システム カーネルはメモリ の 2 つのプールをセットします。これは、メモリ ("nonpaged pool") に残り、実理メモリ ("ページ プール") に含めることができます。The operating system kernel in Windows sets aside two pools of memory, one which remains in physical memory ("nonpaged pool") and one which can be paged in and out of physical memory ("paged pool"). 時間のとりに追加される多くの分数には、プロセス クォータ ポインター エンコーディングなどが多数追加されています。外観、遅延、プール ページ Cookieチェックとプールインデックスがバインドされます。There are many mitigations that have been added over time, such as process quota pointer encoding; lookaside, delay free, and pool page cookies; and PoolIndex bounds checks. Windows 10 では、より高度な添付ファイルに対してカーネル プールを保護するのに役立つ、"プールハーティング" 保護を追加します。Windows 10 adds multiple "pool hardening" protections, such as integrity checks, that help protect the kernel pool against more advanced attacks.

プールの強化だけでなく、Windows 10 には、その他のカーネルのセキュリティ強化機能が含まれています。In addition to pool hardening, Windows 10 includes other kernel hardening features:

  • カーネル DEPカーネル ASLR: 先述のデータ実行防止アドレス空間レイアウトのランダム化と同じ原則に従います。Kernel DEP and Kernel ASLR: Follow the same principles as Data Execution Prevention and Address Space Layout Randomization, described earlier in this topic.

  • AppContainer でのフォント解析: フォント解析を AppContainer サンドボックス内に分離します。Font parsing in AppContainer: Isolates font parsing in an AppContainer sandbox.

  • NTVirtual DOS マシン (NTVDM) の無効化: 既定では、16 ビット アプリケーションを実行する場合に使用しません。このモジュールは関連する vulnerabilities をネイヤル化します。Disabling of NTVirtual DOS Machine (NTVDM): The old NTVDM kernel module (for running 16-bit applications) is disabled by default, which neutralizes the associated vulnerabilities. (NTVDM を有効化すると、NULL 逆参照やその他の悪用への保護が低下します。)(Enabling NTVDM decreases protection against Null dereference and other exploits.)

  • スーパーバイサー モード実行防止 (SMEP): カーネル ("supervisor") がユーザー ページでコードを実行できないようにします。ローカル カーネルの権限 (EOP) の属性 (EOP) に使用される一般的な手続きがあります。Supervisor Mode Execution Prevention (SMEP): Helps prevent the kernel (the "supervisor") from executing code in user pages, a common technique used by attackers for local kernel elevation of privilege (EOP). これは、Intel Ivy Bridge 以降のプロセッサによるサポート、または PXN を備えた ARM のサポートを必要とします。This requires processor support found in Intel Ivy Bridge or later processors, or ARM with PXN support.

  • 安全なリンク解除: プール オーバーランからの保護を行います。プール オーバーランは、リンク解除操作と同時に発生し、攻撃に利用されます。Safe unlinking: Helps protect against pool overruns that are combined with unlinking operations to create an attack. Windows 10 には、グローバルな安全なリンクが含まれており、このリンクは LIST_ENTRY のすべての使用に対する保護され、高速処理と安全なプロセスの終了を有効にする "FastFail" メカニスが含まれます。Windows 10 includes global safe unlinking, which extends heap and kernel pool safe unlinking to all usage of LIST_ENTRY and includes the "FastFail" mechanism to enable rapid and safe process termination.

  • メモリ予約: システムには、最小限の 64 KB のプロセス メモリが予約されています。Memory reservations: The lowest 64 KB of process memory is reserved for the system. アプリは、メモリのこの部分を割り当てることはできません。Apps are not allowed to allocate that portion of the memory. これにより、マルウェアで "NULL 検査" などのテクニックを使用してメモリ内で重大なシステム データ構造を上書きするのがよりは大きくなります。This makes it more difficult for malware to use techniques such as "NULL dereference" to overwrite critical system data structures in memory.

制御フロー ガードControl Flow Guard

アプリケーションがメモリに読み込まれると、コードのサイズ、要求されたメモリ、他の要素に基づいてスペースが割り当てられます。When applications are loaded into memory, they are allocated space based on the size of the code, requested memory, and other factors. アプリケーションがコードを実行し始めると、他のメモリ アドレスにある追加のコードを呼び出します。When an application begins to execute code, it calls additional code located in other memory addresses. コードの場所間の関係はよく知られていますが (コード自体に書き込まれます)、Windows 10 より前では、これらの場所間のフローが強制的に適用されませんでした。このため、攻撃者が自分のニーズを満たすためにフローを変更することができました。The relationships between the code locations are well known—they are written in the code itself—but previous to Windows 10, the flow between these locations was not enforced, which gave attackers the opportunity to change the flow to meet their needs.

Windows 10 では、この種の脅威が制御フロー ガード (CFG) 機能によって軽減されています。This kind of threat is mitigated in Windows 10 through the Control Flow Guard (CFG) feature. 信頼されたアプリケーションが CFG 呼び出しコードを使うようにコンパイルされている場合、CFG は呼び出されたコードの場所が信頼して実行できることを確認します。When a trusted application that was compiled to use CFG calls code, CFG verifies that the code location called is trusted for execution. 場所が信頼できない場合、潜在的なセキュリティ リスクが存在するためアプリケーションがすぐに終了されます。If the location is not trusted, the application is immediately terminated as a potential security risk.

管理者が CFG を構成することはできません。代わりに、アプリケーション開発者がアプリケーションのコンパイル時に構成することで CFG を利用できます。An administrator cannot configure CFG; rather, an application developer can take advantage of CFG by configuring it when the application is compiled. CFG を有効にしてコンパイルされた信頼できる Windows アプリケーションを提供するよう、アプリケーション開発者とソフトウェア ベンダーに依頼することを検討してください。Consider asking application developers and software vendors to deliver trustworthy Windows applications compiled with CFG enabled. たとえば、C や C++ で記述されたアプリケーション、または Visual Studio 2015 を使ってコンパイルされたアプリケーションで、CFG を有効にすることができます。For example, it can be enabled for applications written in C or C++, or applications compiled using Visual Studio 2015. Visual Studio 2015 プロジェクトでの CFG の有効化について、詳しくは、「制御フロー ガード」をご覧ください。For information about enabling CFG for a Visual Studio 2015 project, see Control Flow Guard.

もちろん、ブラウザーは攻撃の主要なエントリ ポイントであるため、Microsoft Edge、IE、および他の Windows の機能は CFG を十分に活用しています。Of course, browsers are a key entry point for attacks, so Microsoft Edge, IE, and other Windows features take full advantage of CFG.

Microsoft Edge と Internet Explorer11Microsoft Edge and Internet Explorer11

ブラウザーのセキュリティはセキュリティ戦略の重大なコンポーンであり、そのため、ブラウザーはインターネットへのユーザー インターフェイスです。ブラウザーは、多くの重大なサイトとコンテンツが添付される環境です。Browser security is a critical component of any security strategy, and for good reason: the browser is the user's interface to the Internet, an environment with many malicious sites and content waiting to attack. ほとんどのユーザーは、ブラウザーなしでは少なくともジョブの一部を実行できず、多くのユーザーはブラウザーに完全に頼っています。Most users cannot perform at least part of their job without a browser, and many users are completely reliant on one. この現実のため、ブラウザーは悪意のあるハッカーが攻撃を開始する一般的な経路となっています。This reality has made the browser the common pathway from which malicious hackers initiate their attacks.

すべてのブラウザーでは、ブラウザーの元の範囲を超えた操作を行うことができるように、ある程度の機能拡張が可能です。All browsers enable some amount of extensibility to do things beyond the original scope of the browser. 一般的な例として Flash 拡張と Java 拡張の 2 つがあり、対応するアプリケーションをブラウザー内で実行することができます。Two common examples of this are Flash and Java extensions that enable their respective applications to run inside a browser. 特に、Web の閲覧とアプリケーションのための Windows10 の安全性を維維します (特に、これら 2 つのコンテンツ タイプの場合)。Keeping Windows10 secure for web browsing and applications, especially for these two content types, is a priority.

Windows 10 では、まったく新しいブラウザーである Microsoft Edge が含まれています。Windows 10 includes an entirely new browser, Microsoft Edge. Microsoft Edge は、次のような複数の点でセキュリティが強化されています。Microsoft Edge is more secure in multiple ways, especially:

  • 攻撃対象領域が低減されています。Microsoft 以外のバイナリ拡張機能はサポートされません。Smaller attack surface; no support for non-Microsoft binary extensions. 脆弱な攻撃対象領域のある複数のブラウザー コンポーネントは、Microsoft Edge から削除されています。Multiple browser components with vulnerable attack surfaces have been removed from Microsoft Edge. 削除されたコンポーネントには、従来のドキュメント モードとスクリプト エンジン、ブラウザー ヘルパー オブジェクト (BHO)、ActiveX コントロール、Java などがあります。Components that have been removed include legacy document modes and script engines, Browser Helper Objects (BHOs), ActiveX controls, and Java. ただし Microsoft Edge は、Flash コンテンツおよび PDF の表示は、組み込みの拡張機能によって、既定でサポートしています。However, Microsoft Edge supports Flash content and PDF viewing by default through built-in extensions.

  • 64 ビット プロセスを実行します。Runs 64-bit processes. 以前のバージョンの Windows を実行する 64 ビット PC は、セキュリティの低い以前の拡張機能をサポートするため、32 ビット互換モードで実行されることがよくあります。A 64-bit PC running an older version of Windows often runs in 32-bit compatibility mode to support older and less secure extensions. Microsoft Edge が 64 ビット PC で実行される場合、64 ビット プロセスのみを実行します。これによって、悪用に対してより安全となります。When Microsoft Edge runs on a 64-bit PC, it runs only 64-bit processes, which are much more secure against exploits.

  • メモリ ガベージ コレクション (MemGC) を含んでいますIncludes Memory Garbage Collection (MemGC). これは、解放後使用 (UAF) の問題からの保護を行います。This helps protect against use-after-free (UAF) issues.

  • ユニバーサル Windows アプリとして設計されています。Designed as a Universal Windows app. Microsoft Edge は本質的に分離されており、ブラウザーをシステム、データ、他のアプリからサンドボックス化する AppContainer で実行されます。Microsoft Edge is inherently compartmentalized and runs in an AppContainer that sandboxes the browser from the system, data, and other apps. Windows10 の IE11 は、拡張モードで同じ AppContainer テクノロジを利用できます。IE11 on Windows10 can also take advantage of the same AppContainer technology through Enhanced Protect Mode. ただし、IE11 は ActiveX と BHO を実行することができるため、ブラウザーとサンドボックスは Microsoft Edge よりかなり多くの攻撃を受けやすくなります。However, because IE11 can run ActiveX and BHOs, the browser and sandbox are susceptible to a much broader range of attacks than Microsoft Edge.

  • セキュリティ構成タスクが簡素化されます。Simplifies security configuration tasks. Microsoft Edge では、簡略化されたアプリケーション構造と単一サンドボックス構成が使われるため、必要なセキュリティ設定が少なくなります。Because Microsoft Edge uses a simplified application structure and a single sandbox configuration, there are fewer required security settings. さらに、Microsoft Edge の既定の設定は、セキュリティのベスト プラクティスに沿って作成されているため、既定でもより安全です。In addition, Microsoft Edge default settings align with security best practices, which makes it more secure by default.

Microsoft Edge の他に、Microsoft Edge には Windows10 の IE11 も含まれており、主に Web サイトとの下位互換性や Microsoft Edge で動作しないバイナリ拡張機能を使用しています。In addition to Microsoft Edge, Microsoft includes IE11 in Windows10, primarily for backwards-compatibility with websites and with binary extensions that do not work with Microsoft Edge. このブラウザーは、メイン ブラウザーとして構成するのではなく、オプションまたは自動切り替えブラウザーとして構成してください。It should not be configured as the primary browser but rather as an optional or automatic switchover. Microsoft では、メイン Web ブラウザーとして Microsoft Edge を使うことをお勧めしています。最新の Web と互換性があり、できる限り高いセキュリティが実現されているためです。We recommend using Microsoft Edge as the primary web browser because it provides compatibility with the modern web and the best possible security.

バイナリの拡張機能やプラグインが必要なサイトの場合は、エンタープライズ モードを有効にし、エンタープライズ モードのサイト リストを使用して、依存関係があるサイトを定義します。For sites that require IE11 compatibility, including those that require binary extensions and plug-ins, enable Enterprise mode and use the Enterprise Mode Site List to define which sites have the dependency. この構成によって、Microsoft Edge が IE11 を必要とするサイトを識別すると、自動的に IE11 に切り替わります。With this configuration, when Microsoft Edge identifies a site that requires IE11, users will automatically be switched to IE11.

ソフトウェア ベンダーが軽減策をアプリに組み込むための関数Functions that software vendors can use to build mitigations into apps

Windows 10 で利用可能な保護のいくつかについては、アプリまたはその他のソフトウェアから呼び出すことができる関数が提供されています。Some of the protections available in Windows 10 are provided through functions that can be called from apps or other software. 保護を活用したソフトウェアは悪用される可能性が低減します。Such software is less likely to provide openings for exploits. ソフトウェア ベンダーによるアプリケーションを利用している場合は、これらのセキュリティ指向の関数をアプリケーションに含めるように要求できます。If you are working with a software vendor, you can request that they include these security-oriented functions in the application. 次の表では、いくつかの軽減策と、対応するアプリで使用可能なセキュリティ指向の関数を示します。The following table lists some types of mitigations and the corresponding security-oriented functions that can be used in apps.

注意

制御フロー ガード (CFG) も、開発者がコンパイル時にソフトウェアに含めることができる、重要な軽減策です。Control Flow Guard (CFG) is also an important mitigation that a developer can include in software when it is compiled. 詳しくは、先述の「制御フロー ガード」をご覧ください。For more information, see Control Flow Guard, earlier in this topic.

デベロッパーがアプリへのミッティングを構築できるテーブル 4 つの関数Table 4Functions available to developers for building mitigations into apps

軽減策Mitigation 関数Function
MemProt 動的なコードの制限MemProt dynamic code restriction UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON]
LoadLib イメージの読み込みの制限LoadLib image loading restrictions UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON]
子プロセスの制限: 子プロセスを作成する機能の制限Child Process Restriction to restrict the ability to create child processes UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY][PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY]
コード整合性制限による、イメージの読み込みの制限Code Integrity Restriction to restrict image loading SetProcessMitigationPolicy 関数SetProcessMitigationPolicy function
[ProcessSignaturePolicy][ProcessSignaturePolicy]
Win32k システム呼び出し無効の制限による、NTUser と GDI の使用の制限Win32k System Call Disable Restriction to restrict ability to use NTUser and GDI SetProcessMitigationPolicy 関数SetProcessMitigationPolicy function
[ProcessSystemCallDisablePolicy][ProcessSystemCallDisablePolicy]
高エントロピー ASLR による、最大 1 TB のメモリ割り当ての分散High Entropy ASLR for up to 1TB of variance in memory allocations UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON]
厳密なハンドル確認による、不正ハンドル参照時の例外の即時発生Strict handle checks to raise immediate exception upon bad handle reference UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON]
拡張ポイントの無効化による、特定のサード パーティ拡張ポイントの使用のブロックExtension point disable to block the use of certain third-party extension points UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON]
破損時のヒープ終了による、破損ヒープに対するシステムの保護Heap terminate on corruption to protect the system against a corrupted heap UpdateProcThreadAttribute 関数UpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON]

Enhanced Mitigation Experience Toolkit に関連する Windows 10 の理解Understanding Windows 10 in relation to the Enhanced Mitigation Experience Toolkit

ご存知の方も多いと思いますが、Enhanced Mitigation Experience Toolkit (EMET) は 2009 年以来、さまざまな悪用の軽減策と、軽減策のための構成インターフェイスを提供してきました。You might already be familiar with the Enhanced Mitigation Experience Toolkit (EMET), which has since 2009 offered a variety of exploit mitigations, and an interface for configuring those mitigations. このセクションでは、EMET の軽減策と Windows 10 の軽減策の関連を理解するための説明を提供します。You can use this section to understand how EMET mitigations relate to those in Windows 10. EMET の多くの機能は Windows 10 に組み込まれており、機能強化機能が強化されています。Many of EMET's mitigations have been built into Windows 10, some with additional improvements. しかし一部の EMET 軽減策では、パフォーマンス上のコストが高かったり、最近の脅威に対して相対的に効果が低いため、Windows 10 に導入されなかったものがあります。However, some EMET mitigations carry high performance cost, or appear to be relatively ineffective against modern threats, and therefore have not been brought into Windows 10.

EMET の多くの取り出しとセキュリティ メカニズムは既に Windows 10 に既に存在し、改善されたため、 特に、既知のバイパスを大きくする評価が高い評価では、EMET の最後のメジャー バージョン リリースとしてバージョン 5.5xが発表されました (拡張マイティングエクスペリエンス Toolkit 参照)。Because many of EMET's mitigations and security mechanisms already exist in Windows 10 and have been improved, particularly those assessed to have high effectiveness at mitigating known bypasses, version 5.5x has been announced as the final major version release for EMET (see Enhanced Mitigation Experience Toolkit).

次の表では、EMET の機能と Windows 10 の関連機能を示します。The following table lists EMET features in relation to Windows 10 features.

Windows 10 の機能とは、表 5EMET 機能Table 5EMET features in relation to Windows 10 features

EMET の機能Specific EMET features EMET の機能に対応する Windows 10 の機能How these EMET features map
Windows 10 の機能to Windows 10 features
  • DEPDEP

  • SEHOPSEHOP

  • ASLR (Force ASLR、Bottom-up ASLR)ASLR (Force ASLR, Bottom-up ASLR)

DEP、SEHOP、ASLR は、構成可能な機能として Windows 10 に含まれています。DEP, SEHOP and ASLR are included in Windows 10 as configurable features. 先述の表 2 をご覧ください。See Table 2, earlier in this topic.

ProcessMitigations PowerShell モジュールをインストールすると、お使いのこれらの機能の EMET 設定を Windows 10 に適用できるポリシーに変換することができます。You can install the ProcessMitigations PowerShell module to convert your EMET settings for these features into policies that you can apply to Windows 10.

  • ライブラリ読み込みチェック (LoadLib)Load Library Check (LoadLib)

  • メモリ保護チェック (MemProt)Memory Protection Check (MemProt)

LoadLib と MemProt は、Windows 10 では、これらの機能を使用するように作成されているすべてのアプリケーションでサポートされています。LoadLib and MemProt are supported in Windows 10, for all applications that are written to use these functions. 先述の表 4 をご覧ください。See Table 4, earlier in this topic.
  • Null ページNull Page

この脅威の対数の対の対数は、このトピックの前述の「メモリの再記入」アイテムに記載されているように、Windows 10 に組み 込まれます。Mitigations for this threat are built into Windows 10, as described in the "Memory reservations" item in Kernel pool protections, earlier in this topic.
  • ヒープ スプレーHeap Spray

  • EAFEAF

  • EAF+EAF+

Windows 10 では、これらの EMET の機能に具体的に対応する軽減策は含まれていません。今日の脅威の状況では影響が低いこと、また脆弱性の悪用をあまり困難にしないためです。Windows 10 does not include mitigations that map specifically to these EMET features because they have low impact in the current threat landscape, and do not significantly increase the difficulty of exploiting vulnerabilities. Microsoft は引き続き、セキュリティの環境を監視し、新しい悪用の出現に対応して、オペレーティング システムを強化するための対策の実行に努めていきます。Microsoft remains committed to monitoring the security environment as new exploits appear and taking steps to harden the operating system against them.
  • 呼び出し元チェック (Caller Check)Caller Check

  • 実行フローのシミュレート (Simulate Execution Flow)Simulate Execution Flow

  • スタック ピボット (Stack Pivot)Stack Pivot

  • Deep Hooks (ROP "詳細な大きさ")Deep Hooks (an ROP "Advanced Mitigation")

  • Anti Detours (ROP "高度な大きさ")Anti Detours (an ROP "Advanced Mitigation")

  • バニング関数 (ROP "詳細な大きさ")Banned Functions (an ROP "Advanced Mitigation")

Windows 10 では、制御フロー ガードを使ってコンパイルされたアプリケーションで、軽減されます。詳しくは、先述の「制御フロー ガード」をご覧ください。Mitigated in Windows 10 with applications compiled with Control Flow Guard, as described in Control Flow Guard, earlier in this topic.

EMET の XML 設定ファイルを Windows 10 の軽減策ポリシーに変換するConverting an EMET XML settings file into Windows 10 mitigation policies

EMET の強度の 1 つとして、EMET の集計の構成設定をまっすめ展開用の XML 設定ファイルとしてインポートおよびエクスポートできる点が異なります。One of EMET's strengths is that it allows you to import and export configuration settings for EMET mitigations as an XML settings file for straightforward deployment. EMET の XML 設定ファイルから Windows 10 の軽減策のポリシーを生成するには、ProcessMitigations PowerShell モジュールをインストールします。To generate mitigation policies for Windows 10 from an EMET XML settings file, you can install the ProcessMitigations PowerShell module. 管理者特権の PowerShell セッションで、次のコマンドレットを実行します。In an elevated PowerShell session, run this cmdlet:

Install-Module -Name ProcessMitigations

Get-ProcessMitigation コマンドレットは、レジストリや実行中のプロセスから、現在の軽減策の設定を取得するか、またはすべての設定を XML ファイルに保存することができます。The Get-ProcessMitigation cmdlet gets the current mitigation settings from the registry or from a running process, or it can save all settings to an XML file.

notepad.exe の実行中のすべてのインスタンスで、現在の設定を取得するには:To get the current settings on all running instances of notepad.exe:

Get-ProcessMitigation -Name notepad.exe -RunningProcess

notepad.exe のレジストリ内の現在の設定を取得するには:To get the current settings in the registry for notepad.exe:

Get-ProcessMitigation -Name notepad.exe

プロセス ID 1304 で実行中のプロセスの現在の設定を取得するには:To get the current settings for the running process with pid 1304:

Get-ProcessMitigation -Id 1304

すべてのプロセスの軽減策の設定をレジストリから取得して、それを xml ファイル settings.xml に保存するには:To get the all process mitigation settings from the registry and save them to the xml file settings.xml:

Get-ProcessMitigation -RegistryConfigFilePath settings.xml

Set-ProcessMitigation コマンドレットを使うと、プロセスの軽減策の有効化と無効化を行えます。また XML ファイルから設定を一括で行えます。The Set-ProcessMitigation cmdlet can enable and disable process mitigations or set them in bulk from an XML file.

"notepad.exe" の現在のプロセスの軽減策をレジストリから取得し、MicrosoftSignedOnly を有効化して、MandatoryASLR を無効化するには:To get the current process mitigation for "notepad.exe" from the registry and then enable MicrosoftSignedOnly and disable MandatoryASLR:

Set-ProcessMitigation -Name Notepad.exe -Enable MicrosoftSignedOnly -Disable MandatoryASLR

XML ファイルからプロセスの軽減策を設定するには (XML ファイルは get-ProcessMitigation -RegistryConfigFilePath settings.xml によって生成できます):To set the process mitigations from an XML file (which can be generated from get-ProcessMitigation -RegistryConfigFilePath settings.xml):

Set-ProcessMitigation -PolicyFilePath settings.xml

システムの既定値を MicrosoftSignedOnly に設定するには:To set the system default to be MicrosoftSignedOnly:

Set-ProcessMitigation -System -Enable MicrosoftSignedOnly

ConvertTo-ProcessMitigationPolicy コマンドレットは、軽減策のポリシー ファイルの形式を変換します。The ConvertTo-ProcessMitigationPolicy cmdlet converts mitigation policy file formats. 構文は次のとおりです。The syntax is:

ConvertTo-ProcessMitigationPolicy -EMETFilePath <String> -OutputFilePath <String> [<CommonParameters>]

例:Examples:

  • EMET 設定から Windows 10 設定への変換: EMET XML 設定ファイルを入力として、ConvertTo-ProcessMitigationPolicy を実行し、Windows 10 軽減策設定のための結果ファイルを生成します。Convert EMET settings to Windows 10 settings: You can run ConvertTo-ProcessMitigationPolicy and provide an EMET XML settings file as input, which will generate a result file of Windows 10 mitigation settings. 以下に例を示します。For example:

    ConvertTo-ProcessMitigationPolicy -EMETFilePath policy.xml -OutputFilePath result.xml
    
  • 変換された設定 (出力ファイル) の監査と変更: 追加のコマンドレットを使うと、出力ファイルの設定の適用、列挙、有効化、無効化、保存を実行できます。Audit and modify the converted settings (the output file): Additional cmdlets let you apply, enumerate, enable, disable, and save settings in the output file. たとえば次のコマンドレットにより、メモ帳の SEHOP を有効化し、MandatoryASLR と DEPATL レジストリ設定を無効化できます。For example, this cmdlet enables SEHOP and disables MandatoryASLR and DEPATL registry settings for Notepad:

    Set-ProcessMitigation -Name notepad.exe -Enable SEHOP -Disable MandatoryASLR,DEPATL
    
  • アタック サーフェス リダクション (ASR) 設定をコード整合性ポリシー ファイルに変換する: 入力ファイルに EMET の Attack サーフェイス ディッション (ASR) の文字の任意の設定が含まれている場合、コンバーターはコード整合性ポリシー ファイルも作成されます。Convert Attack surface reduction (ASR) settings to a Code Integrity policy file: If the input file contains any settings for EMET's Attack surface reduction (ASR) mitigation, the converter will also create a Code Integrity policy file. この場合、コードの整合性ポリシーのマージ、監視、展開のプロセスを完了できます。詳しくは、「Device Guard の展開: コード整合性ポリシーを展開する」をご覧ください。In this case, you can complete the merging, auditing, and deployment process for the Code Integrity policy, as described in Deploy Device Guard: deploy code integrity policies. これにより、Windows 10 の保護は EMET の ASR 保護と同等になりました。This will enable protections on Windows 10 equivalent to EMET's ASR protections.

  • 証明書の信頼設定をエンタープライズ証明書のピンニング ルールに変換する: EMET "証明書の信頼" XML ファイル (ピン止めルール ファイル) がある場合は、ConvertTo-ProcessMitigationPolicy を使用して、ピンニング ルール ファイルをエンタープライズ証明書のピンニング 規則ファイルに変換することもできます。Convert Certificate Trust settings to enterprise certificate pinning rules: If you have an EMET "Certificate Trust" XML file (pinning rules file), you can also use ConvertTo-ProcessMitigationPolicy to convert the pinning rules file into an enterprise certificate pinning rules file. 次にそのファイルの有効化を完了できます。詳しくは、「エンタープライズ証明書のピン留め」をご覧ください。Then you can finish enabling that file as described in Enterprise Certificate Pinning. 以下に例を示します。For example:

    ConvertTo-ProcessMitigationPolicy -EMETfilePath certtrustrules.xml -OutputFilePath enterprisecertpinningrules.xml
    

Microsoft コンサルティング サービス (MCS) と Microsoft サポート/プレミア フィールド エンジニアリング (PFE) では、EMET と EMET のサポートに関するさまざまなオプションや、EMET Enterprise Reporting Service (ERS) などの EMET 関連のレポート作成や監視を行う製品を提供しています。Microsoft Consulting Services (MCS) and Microsoft Support/Premier Field Engineering (PFE) offer a range of options for EMET, support for EMET, and EMET-related reporting and auditing products such as the EMET Enterprise Reporting Service (ERS). 今日の製品を使用している、または同様の機能に関する関わりのある企業のお客様には 、Microsoft Defender Advanced Threat Protection (ATP) の評価が推奨されます。For any enterprise customers who use such products today or who are interested in similar capabilities, we recommend evaluating Microsoft Defender Advanced Threat Protection (ATP).

関連トピックRelated topics