Windows Defender アプリケーション制御とコード整合性の仮想化ベースの保護

Windows には、一連のハードウェアと OS テクノロジが含まれており、一緒に構成すると、企業は Windows システムを "ロックダウン" して、キオスク デバイスのように動作させることができます。 この構成では、Windows Defender アプリケーション制御 (WDAC) を使用して、承認されたアプリのみを実行するようにデバイスを制限しますが、OS はメモリ整合性を使用してカーネル メモリ攻撃に対して強化されます。

メモリ整合性は、 ハイパーバイザーで保護されたコード整合性 (HVCI) または ハイパーバイザーによって適用されるコード整合性と呼ばれる場合があり、もともと Device Guard の一部としてリリースされました。 Device Guard は、グループ ポリシーまたは Windows レジストリでメモリの整合性と VBS 設定を見つける以外は使用されなくなりました。

WDAC ポリシーとメモリ整合性は、個別に使用できる強力な保護です。 ただし、これら 2 つのテクノロジが連携するように構成されている場合、Windows デバイスの強力な保護機能が提供されます。 WDAC を使用して、承認されたアプリのみにデバイスを制限すると、他のソリューションよりも次の利点があります。

  1. Windows カーネルは WDAC ポリシーの適用を処理し、他のサービスやエージェントは必要ありません。
  2. WDAC ポリシーは、ブート シーケンスの早い段階で、ほぼすべての他の OS コードが実行される前と、従来のウイルス対策ソリューションが実行される前に有効になります。
  3. WDAC を使用すると、カーネル モード ドライバーや Windows の一部として実行されるコードなど、Windows で実行されるすべてのコードのアプリケーション制御ポリシーを設定できます。
  4. お客様は、ポリシーにデジタル署名することで、ローカル管理者の改ざんからでも WDAC ポリシーを保護できます。 署名済みポリシーを変更するには、管理者権限と、organizationのデジタル署名プロセスへのアクセスの両方が必要です。 署名されたポリシーを使用すると、管理者特権を取得する攻撃者を含む攻撃者が WDAC ポリシーを改ざんすることが困難になります。
  5. WDAC 強制メカニズム全体をメモリ整合性で保護できます。 カーネル モード コードに脆弱性が存在する場合でも、メモリの整合性により、攻撃者がそれを悪用する可能性が大幅に低下します。 メモリの整合性がなければ、カーネルを侵害する攻撃者は、通常、WDAC またはその他のアプリケーション制御ソリューションによって適用されるアプリケーション制御ポリシーを含む、ほとんどのシステム防御を無効にすることができます。

WDAC とメモリの整合性の間に直接的な依存関係はありません。 個別にデプロイすることも、一緒にデプロイすることもでき、デプロイする必要がある順序はありません。

メモリの整合性は Windows 仮想化ベースのセキュリティに依存しており、一部の古いシステムでは満たされないハードウェア、ファームウェア、カーネル ドライバーの互換性要件があります。

WDAC には、特定のハードウェアまたはソフトウェアの要件はありません。