Windows
日本 (日本語)
サインイン
ホーム Windows 10 Windows 8.1 Windows 7 以前のバージョン Windows Phone MDOP Surface ライブラリ フォーラム
解決策はありますか。 エクスポート (0) 印刷
すべて展開

Device Guard の概要

最終更新日

  • 2015 年 5 月 1 日

Device Guard は、企業に関連するハードウェアとソフトウェアのセキュリティ機能の組み合わせです。これらをまとめて構成した場合、デバイスがロックダウンされ、信頼されているアプリケーション以外は実行できなくなります。信頼されていないアプリは、いずれも実行できません。また、攻撃者が Windows カーネルの制御を取得できた場合でも、実行できるコードと実行時間が決定されるしくみが機能するため、コンピューターの再起動後に悪意のある実行可能コードを実行できる可能性がはるかに低くなります。

Device Guard は、Windows 10 Enterprise の新しい仮想化ベースのセキュリティを使用して、Microsoft Windows カーネル自体のコード整合性サービスを分離します。これにより、このサービスで、企業が管理するポリシーで定義された署名を使用できるため、信頼できるものを特定するのに役立ちます。 実際には、コード整合性サービスは、Windows ハイパーバイザーで保護されているコンテナーでカーネルと並行して動作します。

Device Guard を使用する理由

毎日、数千もの悪意のあるファイルが新しく作成されているため、署名ベースの検出のような従来の方法を使用したマルウェア対策では、新しい攻撃に対する十分な保護を提供できません。Windows 10 Enterprise の Device Guard は、ウイルス対策ソフトウェアやその他のセキュリティ ソリューションでブロックされない限り、アプリが信頼されるモードを、オペレーティング システムが、企業によって承認されたアプリのみを信頼するモードに変更します。

Device Guard は、ゼロ デイ攻撃からの保護に役立ち、多様な形式のウイルスという課題への取り組みに使用できます。

Device Guard を使用する利点

次に示すように、どのようなメリットを有効にして使用するかに基づいて、Device Guard を活用することができます。

  • 企業での管理が容易で強力なマルウェア対策の提供に役立つ
  • これまでに Windows プラットフォームで提供された最も高度なマルウェア対策の提供に役立つ
  • 改ざんに対する耐性の向上

Device Guard のしくみ

Device Guard は、Windows 10 Enterprise オペレーティング システムで、信頼できる署名者が署名したコードのみが実行されるよう制限します。これは、特定のハードウェアとセキュリティで構成された、次のようなコード整合性ポリシーで定義されています。

  • ユーザー モード コード整合性 (UMCI)

  • 新しいカーネル コード整合性規則 (新しい Windows Hardware Quality Labs (WHQL) の署名制約を含む)

  • データベースによるセキュア ブート (db/dbx) の制限

  • システム メモリ、およびカーネル モードのアプリやドライバーを、考えられる改ざんから保護するための仮想化ベースのセキュリティ

  • 省略可能: トラステッド プラットフォーム モジュール (TPM) 1.2 または 2.0

Device Guard はイメージ ビルド プロセスで動作するため、対応デバイスに対して仮想化ベースのセキュリティ機能を有効にし、コード整合性ポリシーを構成し、Windows 10 Enterprise に必要なその他のオペレーティング システム設定を指定することができます。その後、Device Guard が機能して、デバイスの保護に役立ちます。

  1. デバイスは、Universal Extensible Firmware Interface (UEFI) セキュア ブートを使って起動します。これにより、ブート キットが動作できなくなり、他のすべての項目の前に Windows 10 Enterprise が起動します。

  2. Windows ブート コンポーネントが安全を起動した後、Windows 10 Enterprise は、カーネル モード コード整合性などの Hyper-V 仮想化ベース セキュリティ サービスを開始できます。これらのサービスは、起動プロセスの初期段階、または起動後のカーネルでのマルウェアの動作を防ぐことによって、システムのコア (カーネル)、特権ドライバー、およびマルウェア対策ソリューションなどのシステム防御を保護するために役立ちます。

  3. Device Guard は、UMCI を使って、サービス、ユニバーサル Windows プラットフォーム (UWP) アプリ、または従来の Windows アプリケーションなど、ユーザー モードで実行されるものがすべて信頼できることを確認し、信頼されているバイナリだけが実行されるようにします。

  4. Windows 10 Enterprise の起動と同時に、トラステッド プラットフォーム モジュール (TPM) も起動します。TPM は、ユーザーの資格情報や証明書などの機密情報の保護に役立つ、分離されたハードウェア コンポーネントを提供します。

必要なハードウェアおよびソフトウェア

Device Guard を効果的に使用するには、次のハードウェアとソフトウェアをインストールして構成することも必要です。

  • Windows 10 Enterprise。Device Guard は、Windows 10 Enterprise を実行しているデバイスでのみ機能します。

  • UEFI 2.3.1 以降。コンピューターのファームウェアをオペレーティング システムに接続するプログラムの仕様です。UEFI には、ファームウェア自体でデバイスの整合性を保護するのに役立つ、セキュア ブートと呼ばれる機能が含まれます。これにより、ブート キットなどの潜在的なマルウェアの前に Windows を起動できる可能性が高くなります。詳しくは、「セキュア ブートの概要」をご覧ください。

  • 信頼できるブート。UEFI 仕様のセキュア ブート機能を使用して、システムの起動プロセス中に悪意のあるアプリが読み込まれないようにする、オペレーティング システムの一部です。信頼できるブートは、ルートキット攻撃から保護するためのアーキテクチャの変更です。ルートキット攻撃とは、Windows 起動プロセスを改ざんして、システムへのアクセス権を取得する攻撃を意味します。

  • 仮想化ベースのセキュリティ。機密性の高い Windows 10 Enterprise プロセスを分離する Hyper-V 保護コンテナーです。これにより、Windows 10 Enterprise カーネルが侵害された場合でも、マルウェアがプロセスを改ざんしたり、攻撃に必要なデータを抽出したりすることが困難になります。このサービスは、信頼できるものを特定する、会社で定義されたコード整合性ポリシーで許可された署名を使って機能します。

    重要  仮想化ベース セキュリティを使用するのには、仮想化拡張機能が有効になっていることが必要です。
     

  • パッケージ インスペクター ツール。従来の Windows アプリケーションのための署名が必要なファイルのカタログの作成に役立つツールです。これにより、信頼できる署名者が簡単にアプリに署名できます。

社内で Device Guard を使用する前に

Device Guard を効果的に使用する前に、環境とポリシーをセットアップする必要があります。

アプリの署名

Device Guard モードは、UWP アプリと従来の Windows アプリケーションの両方をサポートしています。Device Guard とアプリの間の信頼は、ユーザーが信頼できると判断した署名を使ってアプリが署名されている場合に生まれます。すべての署名が機能するわけではありません。

この署名は、次のようにして実行できます。

  • Windows ストアの発行プロセスを使用する。Microsoft ストアから取得されるすべてのアプリは自動的に、証明機関 (CA) やユーザー自身にロールアップできる特別な署名で署名されます。

  • ユーザー自身のデジタル証明書または公開キー基盤 (PKI) を使用する。ISV や企業は、信頼されている署名者一覧に自身を追加して、自社製の従来の Windows アプリケーションに自身で署名できます。

  • Microsoft 以外の署名機関を使用する。ISV と企業は、Microsoft 以外の信頼されている署名機関を使って、自社製の従来の Windows アプリケーションすべてに署名できます。

  • Microsoft が提供する Web サービス (今年の後半に開始予定) を使用する。ISV や企業は、Microsoft によって提供される、より安全な Web サービスを使って、従来の Windows アプリケーションに署名できるようになります。

コード整合性ポリシー

Device Guard に含まれるアプリの保護を使う前に、Microsoft が提供するツールを使用してコード整合性ポリシーを作成する必要があります。ただし、このツールは、グループ ポリシーなど、現在の管理ツールを使って展開されます。コード整合性ポリシーは、Windows 10 Enterprise のユーザー モードとカーネル モードの両方の構成設定と共に、Windows 10 スクリプト ホストの制限を含む、バイナリ形式でエンコードされた XML ドキュメントです。このポリシーで、デバイスで実行できるコードが制限されます。

Device Guard 機能では、顧客が提供するイメージ用に顧客が設定を提供する場合は、デバイスが、あらかじめ構成されたコード整合性のみを備えている必要があります。

  この XML ドキュメントは Windows 10 Enterprise で署名できるため、このポリシーの変更や削除を行う管理ユーザーに対する詳細な保護が追加されます。
 

Windows 10 Enterprise ハイパーバイザーを使った仮想化ベース セキュリティ

Windows 10 Enterprise ハイパーバイザーで、仮想信頼レベル関連の新機能が導入されます。これにより、Windows 10 Enterprise サービスが、実行中のオペレーティング システムから分離された状態で、保護された環境で動作できます。 Windows 10 Enterprise 仮想化ベース セキュリティは、カーネル コードの整合性を保護し、ローカル セキュリティ機関 (LSA) の資格情報の分離を提供するために役立ちます。カーネル コードの整合性サービスが、ハイパーバイザーでホストされたサービスとして動作できるようにすると、ルート オペレーティング システム関連の保護レベルが向上し、カーネル レイヤーを脅かすあらゆるマルウェアに対する保護が追加されます。

重要  仮想化ベース セキュリティでカーネル コードの整合性を実行する Device Guard デバイスは、互換性のあるドライバー (レガシ ドライバーは更新可能) を備えており、すべての仮想化機能が有効である必要があります。これには、仮想化拡張機能と入出力メモリ管理ユニット (IOMMU) のサポートが含まれます。
 

 

 

表示:
© 2015 Microsoft