状態の分割と分離

[アーティクル]
03/27/2023
適用対象:

HoloLens 2

状態の分離と分離により、オペレーティングシステムが信頼された状態に起動するために必要な部分など、HoloLens 2 オペレーティングシステムの重要な部分が変更から保護されます。分離テクノロジを使用すると、信頼されていないアプリは、システムのセキュリティに影響を与えないように、分離されたサンドボックス環境に移動されます。

状態の分割

HoloLens 2 の状態の分割によって、セキュリティと保守性は大幅に改良され (更新中)、アプリケーションのデータが保護されます。状態の分割の機能は次のとおりです。

コアオペレーティングシステムは、コアオペレーティングシステムボリュームに格納されています (信頼済みまたは検証済みの Microsoft OS によってオペレーティングシステムが更新されています)。
実行時に変更できるオペレーティングシステムの部分 (ダウンロード可能なドライバーや構成など) は、さらに状態の分割を使用してデータを分割し、セキュリティで保護された別の格納場所に格納します。
セキュリティで保護された各保存場所には、個別のセキュリティポリシーが関連付けられているおり、次のセクションで説明するように、さまざまなセキュリティ上の利点があります。

状態の分割の利点

セキュリティ: HoloLens 2 の特長である状態の分割により、プラットフォームの整合性、マルウェアへの耐性、ユーザーデータの保護が大幅に向上します。オペレーティングシステムの変更不可能な部分を分離し、読み取り専用または整合性を保護することで、状態の分離により、マルウェアがコールドリブート全体で保持されにくくなります。
更新: HoloLens 2 では、コアオペレーティングシステムが変更不可能になり、デバイス上の他のデータと完全に分割されたので、更新がシンプルかつ信頼性の高いものになります。さらに、状態の分割により、更新プログラムを劇的に早くするための非常に重要な基礎作りが行われるため、1 回の操作 (アトミック単位) でオペレーティングシステムを置き換えることができます。
デバイスのリセット: HoloLens 2 のリセットにより、ユーザーが生成したデータおよびデバイス上のユーザーアプリのデータ (内部と外部の保存場所を含む) がクリアされます。現在の OS アプリとセキュリティ上重要なアプリ、および現在の Microsoft と OEM のカスタマイズ済みアプリ (プリインストールされたアプリ) は保持されます。プリインストールされたアプリはリセットの完了後にデバイス上で復元できます

状態の分割の状態

状態の分離により、オペレーティングシステムは Microsoft の信頼されたデバイスコンポーネントによってのみ変更でき、再起動後も高い値の状態のみを保持できます。他のシステム状態はブートセッション中にのみ存在し、再起動後に破棄されます。状態の分離を使用すると、デバイスをすぐに工場出荷時の状態に戻すことができます。 Windows Holographic for Business の状態は、次のような異なるカテゴリに分割されます。

コアオペレーティングシステム - 変更不可能な状態
オペレーティングシステムデータ - 変更可能な状態
ユーザーデータ - 変更可能な状態

HoloLens 2 のこれらの動作状態については、次のセクションで説明します。

コアオペレーティングシステム

変更できない状態には、変更不可能な実行可能ファイルとデータが含まれており、更新プログラムのインストール中にのみ Microsoft が変更できます。このようなコアオペレーティングシステムの更新中は、最新のオペレーティングの状態を含む新しいイメージが有効になります。変更不可能な状態は、読み取り専用とマークされ (または整合性が保護され)、管理者特権を使用するマルウェアの存続を防ぎます。変更不可能な状態では、次の実行可能ファイルとデータが保護されます。

Windows Holographic インボックスドライバー
オペレーティングシステムのバイナリ
Windows インボックスドライバー
Windows レジストリハイブ (HKLM) に格納されている静的な Windows Holographic の設定
- 例: HKLM には、コンピューターにインストールされているアプリの構成情報が格納されています。また、ハードウェアと対応するドライバーを検出するための情報も格納されています。これらを変更不可能な (読み取り専用で整合性が保護されている) 状態で保護することで、コアオペレーティングシステムは常に信頼された状態で起動します。また、デバイスがリセットされた場合、そのデバイスはこの変更不可能なセクション上にあるコンポーネントでのみ起動します。

オペレーティングシステムデータ

実行時に変更可能な実行可能ファイルとデータ (およびオペレーティングシステム機能にとって重要ではない) は、データが破損または侵害された場合に破棄して再作成できることに注意してください。重要な変更可能な状態とは、オペレーティングシステムによって存続することが機能的に要求されているか、オペレーティングシステムのシャットダウンやサポートされている Windows オペレーティングシステムとデバイスのシナリオによる再起動を経ても存続することが期待される状態です。重要な変更可能な状態の例を次に示します。

すべてのユーザーを対象に場所を無効にするなどの IT 管理者構成のグローバルデバイス設定。
Wi-Fi ネットワーク接続のアクセスデータデバイスに記憶されたネットワークとそれに関連する接続パスワード。
設定、ログを含むクラッシュダンプ。
新しく検出されたデバイスのために必要に応じてダウンロードされるドライバー。 HoloLens 2 の重要な変更可能な状態は、オペレーティングシステムデータセキュリティの保管場所の、ディスク内または保存済みのレジストリハイブ内にファイルとして保存されます。

ユーザーデータ

状態の最後のカテゴリは、UWP アプリケーションまたはオペレーティングシステムによって作成または保存されたユーザーデータを表します。また、ダウンロード、ドキュメント、ビデオ、ユーザープロファイル、HKEY_CURRENT_USER ハイブなどのすべての既知のユーザーフォルダーもこの場所に格納されます。このデータは、適切な資格情報がないと抽出できません。データの保護方法の詳細については、「暗号化とデータ保護」を参照してください。

分離:

このバランスを実現するために、HoloLens 2には、起動、ハードウェア制御、ログインなどの主要な機能に使用されるコアオペレーティングシステムがあります。コアオペレーティングシステムで実行されるアプリケーションのセットは、プレインストールされているアプリケーションと UWP アプリの 2 つだけです。

コード署名

デジタル署名コードを使用すると、実行可能ファイルとスクリプトが信頼できるソースによって署名された後に変更されていないため、信頼性と整合性を提供するという実証が可能になります。 HoloLens 2 は、Microsoft および Microsoft ストアの 2 つの機関を信頼しています。 IT 管理者は ClientCertificateInstall および RootCATrustedCertificates CSP から新しい証明書をデバイスに追加できます。また、AllowAllTrustedApps ポリシーを使用して、他のサイドロードされたアプリまたは基幹業務アプリを信頼することもできます。証明書は、"Device" を使用している場合は HKLM/Root に格納され、"User" を使用している場合は HKCU に格納されるローカルコンピューター証明書ストアに存在します。

Defender の保護

HoloLens 2 では、Microsoft サービスを使用して最新水準のセキュリティを提供しています。

Defender SmartScreen は、OS によって Windows Holographic で自動的に有効になり、Microsoft Edge でのフィッシング詐欺やマルウェア、悪意がある可能性があるファイルのダウンロードに対して保護を実行します。ユーザーが無効にすることはできませんが、ポリシーを使用して無効にできます。
Defender Firewall を使用すると、承認されていないネットワークトラフィックがデバイスへ、またはデバイスから送信されるのを防ぐことができます。既定では有効になっており、ローカルアクションまたはポリシーを使用して顧客が構成することはできません。
Windows Defender アプリケーション制御: HoloLens 2 は WDAC をサポートしているため、IT 管理者はアプリケーション制御ポリシーをデバイスにプッシュすることができます。詳細については、MSFT Intune を使用して HoloLens 2 デバイス上で WDAC を使用する方法に関するページを参照してください。

IT 管理者は、AllowSmartScreen を使用して SmartScreen の動作を管理し、これらのポリシーを使用してブラウザーの動作を管理することができます。

状態の分割と分離