デバイスのセーフガード

Windows IoT Enterprise には、デバイス管理者が改ざん、マルウェア感染、データ損失から IoT デバイスを保護し、周辺機器がデバイスにアクセスできないようにするためのポリシーがいくつか用意されています。 Windows IoT Enterprise を使うと、このような脅威から保護するカスタマイズされたエクスペリエンスを作成できます。

Windows IoT デバイスの制限プロファイルでは、ほとんどの構成可能な設定は、デバイス グループを使用してデバイス レベルでデプロイされます。

次のガイドでは、安心安全なデバイス使用エクスペリエンスを作成するよう構成できるさまざまなポリシーを確認します。

デバイスのインストール - グループ ポリシー

組織でグループ ポリシーを使用してデバイスを管理する場合は、このステップ バイ ステップガイドに従ってください。

Microsoft Defender for Endpoint を使用してリムーバブル メディアを制御する

Microsoft では、リムーバブル メディアをセキュリティで保護するためのレイヤード アプローチを推奨します。また、Microsoft Defender for Endpoint には、承認されていない周辺機器の脅威によるデバイス侵害を防止するのに役立つ複数の監視機能と制御機能が提供されています。

1. Microsoft Defender for Endpoint の高度なハンティングで、周辺機器のプラグ アンド プレイ接続イベントを検出します。 疑わしい使用状況アクティビティを特定または調査します。

2. 特定のリムーバブル デバイスのみを許可またはブロックし、脅威を防止する構成を行います。

   1. 詳細な構成に基づいて、リムーバブル デバイスを許可またはブロックし、リムーバブル ディスクへの書き込みアクセスを拒否し、USB デバイスの ID を使用してデバイスを承認または拒否します。

   2. 次の機能を有効にすることで、リムーバブル ストレージ デバイスによってもたらされたリムーバブル ストレージからの脅威を防ぎます。

      • Microsoft Defender ウイルス対策のリアルタイム保護 (RTP) を使って、リムーバブル ストレージのマルウェアをスキャンします。
      • USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする攻撃面の減少 (ASR) USB ルール。
      • DMA 攻撃を軽減するためのダイレクト メモリ アクセス (DMA) 保護設定。これには Thunderbolt の Kernel DMA Protection や、ユーザーがサインインするまで DMA をブロックする機能などがあります。

3. カスタマイズされたアラートと応答アクションを作成し、このようなプラグ アンド プレイ イベントに基づいてリムーバブル デバイスの使用状況を監視します。 カスタム検出規則を使って、他の Microsoft Defender for Endpoint イベントを監視することもできます。

4. 周辺機器からの脅威に対して、各周辺機器から報告されるプロパティに基づいてリアルタイムに対応します。

Note

これらの脅威軽減策は、マルウェアの環境侵入防止に役立ちます。 環境からの企業データの流出を防止するために、データ損失防止対策を構成できます。 たとえば、Windows 10 デバイスでは、BitLocker と Windows Information Protection を構成できます。この構成では、個人のデバイスに会社のデータが格納されている場合でも暗号化されます。また、Storage/RemovableDiskDenyWriteAccess CSP を使用してリムーバブル ディスクへの書き込みアクセスを拒否することもできます。 さらに、Microsoft Defender for Endpoint や Azure Information Protection を使用することで、Windows デバイス上のファイルを分類して保護できます (マウントされている USB デバイスを含む)。

デバイスのインストール設定 - MDM

組織がモバイル デバイス管理でデバイスを管理する場合は、次のデバイス インストール ポリシーを確認してください。

• デバイス ID の一致でインストールを許可する
• デバイス インスタンス ID の一致でインストールを許可する
• デバイス セットアップ クラスの一致でインストールを許可する
• ネットワークからのデバイス メタデータを禁止する
• 他のポリシー設定で記述されていないデバイスのインストールを禁止する
• デバイス ID の一致でインストールを禁止する
• デバイス インスタンス ID の一致でインストールを禁止する
• デバイス セットアップ クラスの一致でインストールを禁止する

デバイス ID の参照

デバイス マネージャーを使って、デバイス ID を調べることができます。

1. デバイス マネージャーを開きます。
2. [表示] を選び、[デバイス (接続別)] を選びます。
3. デバイスを右クリックし、[プロパティ] を選択します。
4. 選択したデバイスのダイアログ ボックスで、[詳細] タブを選びます。
5. [プロパティ] ドロップダウン リストを選び、[ハードウェア ID] を選びます。
6. 上部の ID 値を右クリックし、[コピー] を 選択します。

デバイス ID の形式については、標準 USB 識別子を参照してください。

ベンダーの ID については、USB メンバーを参照してください。

次の PowerShell スクリプトを使って、デバイス ベンダー ID または製品 ID (デバイス ID の一部) を検索します。

PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *

関連記事

• Policy CSP - DeviceInstallation
• Defender/AllowFullScanRemovableDriveScanning
• カスタム レポート用のデバイス コントロール Power BI テンプレート
• Windows 情報保護