Windows Defender アプリケーション制御

適用対象:

  • Windows 10
  • WindowsServer 2016
  • Windows Server 2019

毎日何千もの悪意のあるファイルが新しく作成されているため、署名ベースの検出によってマルウェアに対抗するウイルス対策ソリューションのような従来の方法では、新しい攻撃を十分に防ぐことはできません。 ほとんどの組織では、情報は最も重要な資産であり、承認されたユーザーのみがその情報にアクセスできることを確認する必要があります。

ただし、ユーザーがプロセスを実行する場合、そのプロセスはユーザーが所有するデータと同じアクセス レベルになります。 この結果、ユーザーが故意にまたは気づかずに悪意のあるソフトウェアを実行すると、重要情報が簡単に削除されたり、組織外に送信されたりする可能性があります。

アプリケーション制御は、今日の脅威のある企業を保護するための、非常に重要な防衛策であり、従来のウイルス対策ソリューションに固有の利点があります。 具体的には、アプリケーションコントロールは、すべてのアプリケーションが、実行するために信頼を付与する必要がある場合は、既定で信頼できるとみなされる、従来のアプリケーション信頼モデルから移動します。 オーストラリアのシグナル Directorate のような多くの組織では、実行可能ファイルベースのマルウェア (.exe、.dll など) の脅威に対処するための最も効果的な手段の1つとして、このような、よく利用されるアプリケーションコントロールについて理解しています。

Windows Defender アプリケーション制御 (WDAC) を使うと、ユーザーが実行できるアプリケーションと、System Core (kernel) で実行されるコードを制限することで、このような種類のセキュリティの脅威を軽減することができます。 WDAC ポリシーは、署名されていないスクリプトと MSIs もブロックし、Windows PowerShell は制約された言語モードで実行されます。

注意

Windows 10 バージョン 1709 より前では、Windows Defender Application Control は構成可能なコード整合性ポリシーと呼ばれていました。

WDAC システム要件

WDAC ポリシーは、Windows 10 Enterprise または Professional エディションまたは Windows Server 2016 以降を搭載したコンピューターでのみ作成できます。 これらは、任意のエディションの Windows 10 または Windows Server 2016 を実行しているコンピューターに適用することができます。また、Microsoft Intune などのモバイルデバイス管理 (MDM) を使用して管理することもできます。 グループポリシーまたは Intune を使って、WDAC ポリシーを配布することができます。

新機能と変更された機能

Windows 10 バージョン1709より前のバージョンでは、windows Defender アプリケーションコントロールは Windows Defender Device Guard の構成可能なコード整合性ポリシーと呼ばれていました。

Windows 10 Version 1703 以降では、WDAC を使用してアプリケーションを制御できるだけでなく、特定のプラグイン、アドイン、モジュールを特定のアプリケーション (基幹業務アプリケーションやブラウザーなど) から実行できるかどうかも制御します。 詳しくは、「Windows Defender Application Control ポリシーを使用して、特定のプラグイン、アドイン、モジュールを制御する」をご覧ください。

関連項目