セキュリティと保護
適用対象: Windows 8.1,Windows Server 2012 R2,Windows Server 2012,Windows 8
このコレクションでは、Windows Server 2012 R2、Windows Server 2012、Windows 8.1、および Windows 8 のセキュリティ テクノロジの変更点について説明し、テクノロジに関する情報へのリンクを示します。
Windows Server 2012 R2、Windows Server 2012、Windows 8.1、および Windows 8 のセキュリティ テクノロジと機能に関する IT 担当者向けの情報へのリンクを次の表に示します。 コンテンツが利用できるようになった時点で、テクノロジと機能をこの表に追加する予定です。
機能/テクノロジ |
概要 |
Windows Server 2012 R2 での変更点 |
Windows Server 2012 での変更点 |
|---|---|---|---|
アクセス制御 |
アクセス制御は、ファイル、アプリケーションなどのリソースが未承認で使用されないように保護する役に立ちます。 |
Protected Users セキュリティ グループと認証ポリシー サイロでの資格情報保護が追加されました。 これらは Active Directory ドメイン サービスを通じて管理されます。 リモート デスクトップ サービス (RDS) クライアントで制限付き管理モードを使用できます。 詳細については、「資格情報の保護と管理」を参照してください。 |
動的な規則ベース ポリシーを使用して、共有のフォルダーやファイルを保護する機能が追加されました。 詳細については、「ダイナミック アクセス制御:シナリオの概要」を参照してください。 アクセス制御リスト エディター (ACL エディター) が再設計され、アクセス制御の評価と管理に必要なキー情報がより明確に提示されるようになりました。 詳細については、「拡張 ACL エディター」を参照してください。 |
AppLocker |
AppLocker を使用すると、アプリケーションについて、ポリシー ベースのアクセス制御管理を行うことができます。 |
プロセスの分析を支援するため、AppLocker は実行時に各プロセスのコマンド情報をキャプチャし、そのデータをセキュリティ ログに書き込んで、"システムは、次の属性を使用してプロセスを起動しようとしています" というメッセージを表示します。 |
アプリ パッケージに規則を設定する機能が追加され、Windows ストア アプリの管理が行いやすくなりました。 詳細については、「AppLocker のパッケージ アプリの規則とパッケージ アプリのインストーラーの規則」を参照してください。 |
BitLocker |
BitLocker ドライブ暗号化を使用すると、Windows のサポート対象バージョンを実行しているコンピューターのオペレーティング システム ボリュームと構成されたデータ ボリュームに保存されている、すべてのデータを暗号化できます。 トラステッド プラットフォーム モジュール (TPM) を使用することで、初期スタートアップ コンポーネントの整合性を確保できます。 |
追加プラットフォームのサポートが拡大されました。 回復パスワードが FIPS 準拠になりました。 詳細については、「BitLocker の新機能」を参照してください。 |
プロビジョニングと暗号化のメソッドの改善点、標準ユーザーが自分の PIN を変更できる機能、暗号化ハード ドライブのサポート、およびネットワーク ロック解除機能が追加されました。 詳細については、「What's New in BitLocker for Windows 8 and Windows Server 2012 (Windows 8 と Windows Server 2012 の BitLocker の新機能)[リダイレクト]」を参照してください。 |
資格情報保管ボックス |
資格情報保管ボックスは、コントロール パネルの資格情報マネージャーを使って管理でき、多くの消費者シナリオに対応します。 |
Web 認証ブローカー対応のアプリによって資格情報の格納機能が強化されたほか、各サイトの既定の資格情報を選択できるようになりました。 |
資格情報保管ボックスを使用するように Windows ストア アプリをプログラムできるようになったほか、資格情報の移動がさらに改善されました (これは、ドメインに参加しているコンピューターについては無効に設定されています)。 詳細については、「新機能と変更された機能」を参照してください。 |
資格情報の保護 |
認証時に資格情報を管理および保護するための新しいテクニックと機能です。 |
追加の LSA の保護構成オプションや、新しいセキュリティ グループが追加されたほか、ユーザーをグループ化し、特定の認証ポリシーを適用するための新しい方法が提供されました。 詳細については、「資格情報の保護と管理」を参照してください。 |
使用できません |
暗号化されたハード ドライブ |
暗号化されたハード ドライブは、データのセキュリティと管理を強化するために、BitLocker によって提供される機能です。 |
Windows のほとんどのエディションでデバイスの暗号化を利用できます。 詳細については、Device encryption (デバイスの暗号化)」を参照してください。 |
Windows Server 2012 と Windows 8で導入されました。 詳細については、「Windows の暗号化ハード ドライブのサポート」を参照してください。 |
Exchange ActiveSync ポリシー エンジン |
Exchange activesync メールボックス ポリシー エンジンの概要 アプリによって、デスクトップ、ラップトップ、およびタブレットに EAS ポリシーを適用し、クラウドから同期されるデータ (Exchange サーバーからのデータなど) を保護できる API のセットです。 |
場合によっては、試行回数の上限を超えてサインインが失敗すると、生体認証によるサインインが無効になります。 詳細については、「新機能と変更された機能」を参照してください。 |
Windows Server 2012 で導入されました。 |
グループの管理されたサービス アカウント |
Group Managed Service Accounts Overview グループの管理されたサービス アカウントはドメイン内のスタンドアロンの管理されたサービス アカウントと同じ機能を提供するもので、複数のサーバーにその機能を拡張することもできます。 |
変更はありません。 |
グループの管理されたサービス アカウントが追加されました。 詳細については、「What's New for Managed Service Accounts」を参照してください。 |
Kerberos |
Kerberos プロトコルは、ユーザーまたはホストの身元を確認する認証メカニズムです。 |
アカウントが Protected Users セキュリティ グループに属する場合の動作が変更されました。 詳細については、「資格情報の保護と管理」を参照してください。 |
サービス チケットの拡張によって認証の失敗が減り、開発者や IT プロフェッショナル向けの変更が追加され、KDC 検証の既定値がスマート カード サインオンに変更され、構成とメンテナンスの改善点が追加されました。 重要 ドメインに参加しているデバイスについては、規定値が変更されたため、スマート カード サインオンでは、KDC 証明書が NTAuth ストア内の CA にチェーンされなければならなくなりました。 詳細については、「Kerberos 認証の新機能」を参照してください。 |
ローカル コンピューター ポリシーの設定 |
Security Policy Settings Overview セキュリティ ポリシーの設定は、オペレーティング システムがリソースへのアクセス要求を受け取った場合に、アクセス許可を付与するかどうかを決定するときに従う、構成可能な規則です。 グループ ポリシーの管理用テンプレートは、セキュリティ管理にも使用できます。 |
ポリシー設定 システム暗号化: 使用 FIPS 準拠アルゴリズム、ハッシュ、署名の暗号化 が変更され、BitLocker 回復パスワード プロセスの変更が反映されました。 強化されたプロセス監査については、[コンピューターの構成] にある [管理用テンプレート] の [システム] ノードに、[プロセス作成の監査] が追加されました。 |
セキュリティ管理を改善するための新しいセキュリティ ポリシーが追加されました。 詳細については、「新機能と変更された機能」を参照してください。 |
NTLM |
NTLM 認証プロトコルは、チャレンジおよびレスポンス メカニズムに基づいています。このメカニズムでは、アカウントに関連付けられたパスワードをユーザーが把握していることがサーバーまたはドメイン コントローラーに対して証明されます。 |
アカウントが Protected User セキュリティ グループに属する場合の動作が変更されました。 詳細については、「Protected Users セキュリティ グループ」を参照してください。 |
変更はありません。 |
パスワード |
ユーザー ID を認証する最も一般的な方法は、サインイン プロセスの一部として、秘密のパスフレーズやパスワードを使用することです。 |
変更はありません。 Microsoft では、ID を証明するための他の手段を提供しています。 詳細については、「Smart Card Overview」および「Virtual smart cards (仮想スマート カード)」を参照してください。 |
変更はありません。 |
セキュリティ監査 |
セキュリティ監査は、成功したかどうかにかかわらず、ネットワークに脅威が及ぶ攻撃や、リスク評価で重要であると判断したリソースに対する攻撃を識別するのに役立ちます。 |
変更はありません。 |
式ベースの監査ポリシーが追加されたほか、新しい種類のセキュリティ保護可能オブジェクトやリムーバブル記憶装置を監査できる機能が改善されました。 詳細については、「セキュリティ監査の新機能」を参照してください。 |
セキュリティの構成ウィザード |
セキュリティの構成ウィザードは、管理者がサーバーの役割に対して必要な最小限の機能に基づいてセキュリティ ポリシーを作成する場合に、表示される手順に従って行うことができる、攻撃を受ける可能性を減らすためのツールです。 |
変更はありません。 |
変更はありません。 |
スマート カード |
スマート カードは、クライアントの認証、ドメインへのサインイン、コードの署名、電子メールのセキュリティ保護などのタスクのための、改ざんされにくく、可搬性に優れたセキュリティ ソリューションを提供します。 |
TPM 対応のデバイスを仮想スマート カード デバイスとして登録するためのプロセスが改善されました。 API が追加されたことで登録プロセスが簡略化され、デバイスがドメインに参加しているかどうかに関係なく、またハードウェアにも関係なく、仮想スマート カードを使ってデバイスを簡単に登録できるようになりました。 |
Windows RT デバイスと Windows 8 アプリケーションのサポートが追加されたことで、スマート カードのサインイン エクスペリエンス、サービスの開始と停止の動作、およびスマート カードのトランザクションが変更されました。 詳細については、「What's New in Smart Cards」を参照してください。 |
ソフトウェア制限ポリシー |
ソフトウェアの制限のポリシー (SRP) はグループ ポリシー ベースの機能で、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、これらのプログラムを実行する機能を制御します。 |
変更はありません。 |
変更はありません。 AppLocker で、企業内のプログラムをより柔軟に制御できるようになりました。 詳細については、「AppLocker の技術概要」を参照してください。 |
TLS/SSL (Schannel SSP) |
Schannel は、インターネットで標準的に用いられている 2 種類の認証プロトコル、Secure Sockets Layer (SSL) とトランスポート層セキュリティ (TLS) を実装するセキュリティ サポート プロバイダー (SSP) です。 |
RFC 5077 (サーバー側の状態を使用しない TLS/SSL セッションの再開) がサポートされました。 クライアント側のアプリケーション プロトコル ネゴシエーションが追加されました。 詳細については、「Windows Server 2012 R2 および Windows 8.1 での TLS/SSL (Schannel SSP) の新機能」を参照してください。 |
クライアント認証用の信頼済み発行者の管理方法が変更され、Server Name Indicator (SNI) 拡張に対する TLS サポートが追加され、プロバイダーのデータグラム トランスポート層セキュリティ (DTLS) が追加されました。 詳細については、「Windows Server 2012 および Windows 8 での TLS/SSL (Schannel SSP) の新機能」を参照してください。 |
トラステッド プラットフォーム モジュール (TPM) |
トラステッド プラットフォーム モジュール テクノロジの概要 トラステッド プラットフォーム モジュール (TPM) テクノロジは、ハードウェア ベースのセキュリティ関連機能を提供するために設計されています。 |
プラットフォームとキーの構成証明のための TPM キー格納プロバイダーが改善されました。 詳細については、「Malware resistance (マルウェア対策)」と「What's New for the TPM in Windows 8.1 (Windows 8.1 での TPM の新機能)」を参照してください。 |
管理と機能が改善されました (自動プロビジョニングと自動管理、構成証明に対応したメジャー ブート、TPM ベースの仮想スマート カード、重要な要素のセキュリティ保護記憶域など)。 詳細については、「新機能と変更された機能」を参照してください。 |
ユーザー アカウント制御 (UAC) |
UAC は、悪意のあるプログラムの影響を軽減するのに役立ちます。 |
変更はありません。 |
UAC の構成とメッセージをより簡単に管理できるようになりました。 詳細については、「新機能と変更された機能」を参照してください。 |
仮想スマート カード |
仮想スマート カードを使用すると、多要素認証が可能になり、多くのスマート カード インフラストラクチャとの互換性が確保されるほか、ユーザーが物理カードを持ち歩く必要がなくなるので、各ユーザーが組織のセキュリティ ガイドラインに従いやすくなります。 |
TPM 対応のデバイスを仮想スマート カード デバイスとして登録するためのプロセスが改善されました。 API が追加されたことで登録プロセスが簡略化され、デバイスがドメインに参加しているかどうかに関係なく、またハードウェアにも関係なく、仮想スマート カードを使ってデバイスを簡単に登録できるようになりました。 詳細については、「Virtual smart cards (仮想スマート カード)」を参照してください。 |
Windows Server 2012 で導入されました。 |
Windows 生体認証フレームワークと Windows 生体認証 |
Windows 生体認証フレームワーク (WBF) は、生体認証デバイス (指紋リーダーなど) の一貫した開発と管理を実現する一連のサービスとインターフェイスから成ります。 WBF は、生体認証サービスと生体認証ドライバーの信頼性と互換性を高めます。 |
クライアントと、関連する API が拡張されました。 詳細については、「Fingerprint biometrics (指紋による生体認証)」を参照してください。 |
指紋リーダーとユーザーの簡易切り替えの統合性が改善されたほか、パスワードと指紋の同期も改善されました。 詳細については、「新機能と変更された機能」を参照してください。 |
Windows Defender |
Windows Defender は、悪意のあるソフトウェア (ウイルスなど) を、従来よりも幅広く検出して阻止できる、フル機能のマルウェア対策ソリューションです。 |
Server Core インストール オプションとコア システム サーバー (ユーザー インターフェイスなし) では、既定で提供され、有効化されます。 詳細については、「Windows Defender」を参照してください。 |
スパイウェア対策ソフトウェアからアップグレードされ、悪意のあるソフトウェア (ウイルスなど) をより幅広く検出して阻止できる、フル機能のマルウェア対策ソリューションになりました。 |
関連項目
セキュリティ保護された Windows Server 2012 R2 および Windows Server 2012
Secure Windows (セキュリティ保護された Windows)[Win8]
What's Changed in Security Technologies in Windows 8.1 (Windows 8.1 でのセキュリティ テクノロジの変更点) [Win 8.1]