Windows Defender アプリケーション制御とコード整合性の仮想化ベースの保護
適用対象
- Windows 10
- Windows 11
- Windows Server 2016以降
Windows には、一連のハードウェアと OS テクノロジが含まれており、一緒に構成すると、企業は Windows システムを "ロックダウン" して、モバイル デバイスのように動作させることができます。 この構成では、Windows Defender アプリケーション制御 (WDAC) を使用して、承認されたアプリのみを実行するようにデバイスを制限しますが、OS はメモリ整合性を使用してカーネル メモリ攻撃に対して強化されます。
注
メモリ整合性は、 ハイパーバイザーで保護されたコード整合性 (HVCI) または ハイパーバイザーによって適用されるコード整合性と呼ばれる場合があり、もともと Device Guard の一部としてリリースされました。 Device Guard は、グループ ポリシーまたは Windows レジストリでメモリの整合性と VBS 設定を見つける以外は使用されなくなりました。
WDAC ポリシーとメモリ整合性は、個別に使用できる強力な保護です。 ただし、これら 2 つのテクノロジが連携するように構成されている場合、Windows デバイスの強力な保護機能が提供されます。
WDAC を使用して、承認されたアプリのみにデバイスを制限すると、他のソリューションよりも次の利点があります。
- Windows カーネルは WDAC ポリシーの適用を処理し、他のサービスやエージェントは必要ありません。
- WDAC ポリシーは、ブート シーケンスの早い段階で、ほぼすべての他の OS コードが実行される前と、従来のウイルス対策ソリューションが実行される前に有効になります。
- WDAC を使用すると、カーネル モード ドライバーや Windows の一部として実行されるコードなど、Windows で実行されるすべてのコードに対してアプリケーション制御ポリシーを設定できます。
- お客様は、ポリシーにデジタル署名することで、ローカル管理者の改ざんからでも WDAC ポリシーを保護できます。 署名済みポリシーを変更するには、管理者権限と、organizationのデジタル署名プロセスへのアクセスの両方が必要です。 署名されたポリシーを使用すると、管理者特権を取得した攻撃者を含む攻撃者が WDAC ポリシーを改ざんすることが困難になります。
- WDAC 強制メカニズム全体をメモリ整合性で保護できます。 カーネル モード コードに脆弱性が存在する場合でも、メモリの整合性により、攻撃者がそれを悪用する可能性が大幅に低下します。 メモリの整合性がなければ、カーネルを侵害する攻撃者は、通常、WDAC またはその他のアプリケーション制御ソリューションによって適用されるアプリケーション制御ポリシーを含む、ほとんどのシステム防御を無効にすることができます。
WDAC とメモリの整合性の間に直接的な依存関係はありません。 個別にデプロイすることも、一緒にデプロイすることもでき、デプロイする必要がある順序はありません。
メモリの整合性は Windows 仮想化ベースのセキュリティに依存しており、一部の古いシステムでは満たされないハードウェア、ファームウェア、カーネル ドライバーの互換性要件があります。
WDAC には、特定のハードウェアまたはソフトウェアの要件はありません。