プロセス軽減策オプションを上書きして、アプリ関連のセキュリティ ポリシーを適用する
Windows には、メモリベースの攻撃 (マルウェアがメモリを操作してシステムを制御する攻撃) に対する高度な保護を追加する、グループ ポリシーで構成可能な "プロセス軽減オプション" が含まれています。 たとえば、マルウェアはバッファー オーバーランを使用して悪意のある実行可能コードをメモリに挿入しようとしますが、プロセス軽減オプションを使用すると、悪意のあるコードの実行を妨げる可能性があります。
重要
organizationにデプロイする前に、テスト ラボでこれらの軽減策を試して、organizationの必要なアプリに干渉するかどうかを判断することをお勧めします。
このトピックのグループ ポリシー設定は、3 種類のプロセス軽減策に関連しています。 64 ビット アプリケーションでは、3 種類すべてが既定でオンになっていますが、このトピックで説明するグループ ポリシー設定を使用すると、より多くの保護を構成できます。 プロセスの軽減策の種類は次のとおりです。
- データ実行防止 (DEP) は、オペレーティング システムがメモリの 1 つ以上のページを非実行可能としてマークし、そのメモリ領域からコードを実行できないようにして、バッファー オーバーランの悪用を防ぐシステム レベルのメモリ保護機能です。 DEP は、コードが、既定のヒープ、スタック、メモリ プールなどのデータ ページから実行されることを防ぎます。 詳細については、「 データ実行防止」を参照してください。
- 構造化例外処理上書き保護 (SEHOP) は、構造化例外ハンドラー (SEH) 上書き手法を使用する悪用をブロックするように設計されています。 この保護メカニズムは実行時に提供されるため、アプリが最新の機能強化でコンパイルされているかどうかに関係なく、アプリを保護するのに役立ちます。 詳細については、「 構造化例外処理の上書き保護」を参照してください。
- アドレス空間レイアウトランダム化 (ASLR) は、特定の DLL が読み込まれると予想される特定のメモリの場所を攻撃するように設計されたマルウェアに対して軽減するために、起動時にランダム メモリ アドレスに DLL を読み込みます。 詳細については、「 アドレス空間レイアウトのランダム化」を参照してください。 下の表で ASLR 保護の詳細を確認するには、 または を探
IMAGESしますASLR。
次の手順では、グループ ポリシーを使用して個々のプロセス軽減オプション設定をオーバーライドする方法について説明します。
プロセス軽減オプションを変更するには
グループ ポリシー エディターを開き、[管理用テンプレート]\[システム]、[軽減策オプション]、[プロセス軽減オプション] の設定に移動します。
![[グループ ポリシー エディター: 設定が有効になっている [プロセス軽減策オプション] と [表示] ボタンがアクティブになっているスクリーンショット。](images/gp-process-mitigation-options.png)
[ 有効] をクリックし、[ オプション ] 領域で [ 表示 ] をクリックして [ コンテンツの表示 ] ボックスを開きます。ここで、このトピックの「 ビット フィールドの設定 」セクションと 「例 」セクションに示すように、アプリと適切なビット フラグ値を追加できます。
重要
含めるアプリごとに、次を含める必要があります。
- 値名。 拡張機能を含むアプリ ファイル名。 たとえば、
iexplore.exeと記述します。 - 値。 特定の位置に一連のビット フラグがあるビット フィールド。 ビットは に
0設定できます (設定が強制オフされている場合)、1(設定が強制オンの場合)、または?(設定が前の既存の値を保持する場合)。 ここで指定されていない位置にビット フラグを設定すると、?未定義の動作が発生する可能性があります。
![[グループ ポリシー エディター: [コンテンツの表示] ボックスとテキストの例を含むプロセス軽減オプションのスクリーンショット。](images/gp-process-mitigation-options-show.png)
- 値名。 拡張機能を含むアプリ ファイル名。 たとえば、
ビット フィールドの設定
さまざまなプロセス軽減オプション設定のビット フラグの場所を視覚的に示します。
![[プロセス軽減オプション] 設定のビット フラグの場所を視覚的に表します。](images/gp-process-mitigation-options-bit-flag-image.png)
ビット フラグが右から左に読み取られ、次のように定義されます。
| Flag | ビット位置 | 設定 | 詳細 |
|---|---|---|---|
| A | 0 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) |
子プロセスのデータ実行防止 (DEP) を有効にします。 |
| B | 1 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) |
子プロセスの DEP-ATL サンク エミュレーションを有効にします。 DEP-ATL サンク エミュレーションを使用すると、システムは Active Template Library (ATL) サンク レイヤーから発生した非実行可能 (NX) エラーをインターセプトし、その命令をエミュレートして処理して、プロセスを引き続き実行できるようにします。 |
| C | 2 | PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) |
子プロセスの構造化例外ハンドラーの上書き保護 (SEHOP) を有効にします。 SEHOP は、構造化例外ハンドラー (SEH) 上書き手法を使用する悪用をブロックするのに役立ちます。 |
| D | 8 | PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) |
強制的なアドレス空間レイアウトランダム化 (ASLR) 設定を使用して、読み込み時にイメージ ベースの競合が発生したかのように動作し、動的ベースと互換性のないイメージを強制的にリベースします。 再配置が必要な場合、基本再配置セクションのないイメージは読み込まれません。 |
| E | 15 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) |
スタックランダム化オプションを含むボトムアップランダム化ポリシーをオンにし、ランダムな場所を最も低いユーザー アドレスとして使用します。 |
| F | 16 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) |
スタックランダム化オプションを含むボトムアップランダム化ポリシーをオフにし、ランダムな場所を最も低いユーザー アドレスとして使用します。 |
例
PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLEとPROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ONの設定を有効にする場合は、PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF設定をオフにし、それ以外はすべて既定値のままにして、 の???????????????0???????1???????1値を入力します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示