Windows 11/10 の Device Guardは、認証されていない、署名されていない、許可されていないプログラムやオペレーティング システムがロードされないようにするファームウェアです。これまでに、実行のために与えられたものや RAM にロードされたものをすべて自己チェックするオペレーティング システムが必要であることについて触れました。選択肢は多くありませんが、マルウェア対策ソフトウェアだけに頼るのは賢明ではありません。マルウェア対策は別個のアプリケーションであり、メモリにロードされたアプリケーションのスキャンを開始する前に、メモリにロードする必要があります。
Device Guard は、コンピューター システムをマルウェアから保護するために設計された主要機能のグループです。その主な目的は、既知の正当なコードのみを実行できるようにすることで、悪意のあるコードの実行を防ぐことです。
Windows がマルウェア対策オペレーティング システムであることについては以前にも触れました。インターフェイスをロードするずっと前に、コンピューターに必要な正当なアプリケーションであるかどうかをそれ自身や他のアプリケーションで判断し、実行されるコンピューターに一定レベルのセキュリティを追加します。つまり、マルウェアを遠ざけるための起動時のマルウェア対策サービスである信頼できるブートを提供します。しかし、マルウェアの作成者は賢く、特定の手法を使用してこの検査を回避することができます。したがって、Microsoft は起動中により厳格なマルウェア対策を約束する別の機能を導入しました。
Windows 11/10 の Device Guard
セキュリティ上の懸念が高まる中、Microsoft は、正しく署名されたアプリケーションとスクリプトのみをロードできるように、起動時および起動前にもハードウェア レベルで動作するファームウェアを導入しています。これはWindows Device Guardと呼ばれており、OEM は喜んで製造するコンピューターにインストールする準備ができています。
Device Guard は、Windows 11/10 における Microsoft の最上位のセキュリティ機能の 1 つです。Acer、Fujitsu、HP、NCR、Lenovo、PAR、Toshiba などの OEM もこれを支持しています。
Device Guard は、ハードウェアとソフトウェアのセキュリティ機能を組み合わせたもので、一緒に構成すると、信頼できるアプリケーションのみを実行できるようにデバイスをロックします。Windows の新しい仮想化ベースのセキュリティを使用して、コード整合性サービスを Windows カーネル自体から分離し、サービスが企業が制御するポリシーによって定義された署名を使用して、何が信頼できるかを判断できるようにします。
Windowsの Device Guard の基本的な機能は、起動前および起動中に実行のためにメモリにロードされる各プロセスをテストすることです。アプリケーションの適切な署名に基づいて真正性をチェックし、適切な署名がないプロセスがメモリにロードされるのを防ぎます。
Microsoft の Device Guard は、マルウェアの検出を逃す可能性があるソフトウェア レベルではなく、ハードウェア レベルに埋め込まれたテクノロジーを採用しています。また、仮想化を使用して適切な意思決定プロセスを採用し、コンピューターに何を許可し、メモリにロードされるのを防ぐかを伝えます。この分離により、攻撃者がガードがインストールされているシステムを完全に制御していても、マルウェアを防ぐことができます。攻撃者は試みるかもしれませんが、ガードにはマルウェアの実行をブロックする独自のアルゴリズムがあるため、コードを実行することはできません。
Microsoft は次のように述べています:
これにより、管理者またはマルウェアによって改ざんされる可能性のある AppLocker、Bit9、その他の従来のウイルス対策およびアプリ制御テクノロジーよりも大幅に優れています。
Device Guard とウイルス対策ソフトウェア
Windows ユーザーは、他のソースから発生するマルウェアに対して、デバイス上で実行するマルウェア対策ソフトウェアを引き続きインストールする必要があります。Windows Device Guard が保護するのは、ウイルス対策ソフトウェアが保護できるようになる前の、起動時にメモリにロードしようとするマルウェアだけです。
新しい Device Guard はドキュメントのマクロやスクリプトベースのマルウェアにアクセスできない可能性があるため、Guard に加えてマルウェア対策ソフトウェアを使用する必要があると Microsoft は述べています。Windows には、Windows Defender という組み込みのマルウェア対策があります。これを使用するか、サードパーティ製のマルウェア対策を使用して、より優れた保護を行うことができます。
Device Guard は他のオペレーティング システムを許可しますか
Windows Guard は、起動時に事前に承認されたアプリケーションのみを処理できるようにします。IT 開発者は、信頼できるベンダーによるすべてのアプリケーションを許可するか、承認のために各アプリケーションをチェックするように構成できます。構成に関係なく、Windows Guard は承認されたアプリケーションのみを実行できるようにします。ほとんどの場合、承認されたアプリケーションはアプリケーション開発者の署名によって決定されます。
これにより、起動オプションにひねりが加えられます。検証されたデジタル署名のないオペレーティング システムは、Windows Guard によってロードされることが許可されません。ただし、アプリケーションや OS を認証取得することは難しくありません。
Device Guard に必要なハードウェアとソフトウェア
Device Guard を使用するには、次のハードウェアとソフトウェアをインストールして構成する必要があります:
- Device Guard は、Windows 11/10 を実行しているデバイスでのみ動作します。
- UEFI。ファームウェア自体内のデバイスの整合性を保護するセキュア ブートと呼ばれる機能が含まれています。
- 信頼できるブート。ルートキット攻撃から保護するアーキテクチャの変更です。
- 仮想化ベースのセキュリティ。機密性の高い Windows 11/10 プロセスを分離する Hyper-V 保護コンテナー。
- パッケージ インスペクター ツール。クラシック Windows アプリケーションの署名が必要なファイルのカタログを作成するのに役立つツールです。
時間を取って、Windows のエンタープライズ データ保護について読んでください。
コメントする