Windows Defenderアプリケーションコントロールとは何ですか?

Windows Defender Application Control(WDAC)に精通していない場合は、Hyper-Vを使用してブラウザセッションを隔離するMicrosoft Edgeのコンテナ化ソリューションであるWindows Defender Application Guardと混同しないでください。WDACは、 Windows Device Guardのインストール この混乱に加えて、マイクロソフトはWindows Device Guardを使用して、WDACとハイパーバイザーで保護されたコードの完全性(HVCI)の併用について言及しています。

Windows Defender Application Guardの詳細については、以下を参照してください。 Windows 10 April 2018アップデートでのApplication Guardの再訪 ペトリ。

Windows Device Guardは、AppLockerよりも柔軟性が高く設計された、堅牢な新しいアプリケーションコントロールソリューションとしてWindows 10に導入されました。 しかし、MicrosoftはHVCIと一緒にDevice Guardを宣伝していました。多くのIT管理者は、HVCIなしではDevice Guardのアプリケーション制御部分を使用できないと誤って想定していました。

昨年、マイクロソフトは、Device Guardを構成する2つの技術が、アプリケーションのホワイトリストを扱うWindows Defender Application Controlと、必要に応じてHVCIを使用してWDACを保護するWindows Defender Exploit Guardに分かれていると発表しました。 Device Guardを2つの異なるテクノロジに分けることで、MicrosoftはIT管理者がHVCIがWDACを使用する必要がないことを理解することを望んでいます。

Windows Defenderアプリケーションコントロール

アプリケーションコントロールは、Windows XPではソフトウェア制限ポリシー(SRP)として初めて登場しましたが、実装が難しいため広く採用されていませんでした。 Windows 7のAppLockerは、この問題を解決するために設計されています。 しかしAppLockerには欠点がありません。 その実装はそれほど強くないわけではありません。 たとえば、管理者権限を持つユーザーは、AppLockerを無効にすることができます。

Windows Defender Application Controlは、他のほとんどのOSコードの実行が開始される前に、ブートシーケンスの早い段階からWindowsカーネルによって実装されたコード整合性(CI)ポリシーを使用します。 CIポリシーは、ユーザーモードコードのホワイトリストにのみ使用できるAppLockerとは異なり、ドライバやWindowsコンポーネントなどのカーネルモードコードにも拡張されています。 管理者は、CIポリシーにデジタル署名することにより、WDACを改ざんすることを防ぐことができます。 ポリシーを変更するには、管理者権限と組織のデジタル署名プロセスにアクセスする必要があります。

エクスプロイトガード、HVCI、メモリインテグリティ、VBS

さらに、デバイスが必要なハードウェア要件を満たしている場合、仮想化ベースのセキュリティ(VBS)を使用してプロセス全体をさらに保護することができます。 これは、Windows Defender Exploit Guardを使用して有効になります。 場合によっては、MicrosoftのドキュメントでHVCIと呼ばれることもあります。 さらに水を濁すために、この機能にはラベルが付けられています メモリの整合性 Windows Defenderセキュリティセンターの[デバイスセキュリティ]の下に表示されます。

Windows DefenderセキュリティセンターでHVCIを有効にする(イメージクレジット:Russell Smith)

Windows DefenderセキュリティセンターでHVCIを有効にする(イメージクレジット:Russell Smith)

グループポリシーまたはMDMを使用してHVCIを有効にする場合は、 仮想化ベースのセキュリティを有効にする [コンピュータの構成]> [管理用テンプレート]> [システム]> [デバイスガード]で設定します。 HVCIを有効にする方法の詳細については、MicrosoftのWebサイトを参照してください。 詳細はこちら。 お使いのデバイスがHVCIをサポートしているかどうかは、 デバイスガードとクレデンシャルガードレディネスツール マイクロソフトから。

Windows Defender Application Controlは、実装時に高度な永続的脅威(APT)とゼロデイマルウェアに感染するリスクを大幅に削減できる堅牢なアプリケーションホワイトリストテクノロジです。 しかし、中央管理されたGUI管理ツールが欠けているため、取り込みが制限される可能性があります。 PowerShell構成ツールには、学習曲線が険しく、テストに多額の投資が必要です。 一部のドライバはHVCIと互換性がない場合があります。 マイクロソフトでは、この問題に関する詳細情報があります 詳細はこちら。 WDACの導入に関心を持つ組織は、ソフトウェアポートフォリオが比較的静的なサーバーで最初に有効にすることを検討するかもしれません。

ポスト Windows Defenderアプリケーションコントロールとは何ですか? 最初に登場した ペトリ.

関連のポスト

返信を残します

このサイトはAkismetを使用して迷惑メールを減らします。 コメントの処理方法を学ぶ.