Device Guard の概要

Device Guard は、企業に関連するハードウェアとソフトウェアのセキュリティ機能の組み合わせです。これらをまとめて構成した場合、デバイスがロックダウンされ、信頼されているアプリケーション以外は実行できなくなります。信頼されていないアプリは、いずれも実行できません。また、攻撃者が Windows カーネルの制御を取得できた場合でも、実行できるコードと実行時間が決定されるしくみが機能するため、コンピューターの再起動後に悪意のある実行可能コードを実行できる可能性がはるかに低くなります。

Device Guard は、Windows 10 Enterprise の新しい仮想化ベースのセキュリティを使用して、Microsoft Windows カーネル自体のコード整合性サービスを分離します。これにより、このサービスで、企業が管理するポリシーで定義された署名を使用できるため、信頼できるものを特定するのに役立ちます。 実際には、コード整合性サービスは、Windows ハイパーバイザーで保護されているコンテナーでカーネルと並行して動作します。

Device Guard を実装する方法について詳しくは、「Device Guard 展開ガイド」をご覧ください。

Device Guard を使用する理由

毎日、数千もの悪意のあるファイルが新しく作成されているため、署名ベースの検出のような従来の方法を使用したマルウェア対策では、新しい攻撃に対する十分な保護を提供できません。Windows 10 Enterprise の Device Guard は、ウイルス対策ソフトウェアやその他のセキュリティ ソリューションでブロックされない限り、アプリが信頼されるモードを、オペレーティング システムが、企業によって承認されたアプリのみを信頼するモードに変更します。

Device Guard は、ゼロ デイ攻撃からの保護に役立ち、多様な形式のウイルスという課題への取り組みに使用できます。

Device Guard を使用する利点

次に示すように、どのようなメリットを有効にして使用するかに基づいて、Device Guard を活用することができます。

  • 企業での管理が容易で強力なマルウェア対策の提供に役立つ
  • これまでに Windows プラットフォームで提供された最も高度なマルウェア対策の提供に役立つ
  • 改ざんに対する耐性の向上

Device Guard のしくみ

Device Guard は、Windows 10 Enterprise オペレーティング システムで、信頼できる署名者が署名したコードのみが実行されるよう制限します。これは、特定のハードウェアとセキュリティで構成された、次のようなコード整合性ポリシーで定義されています。

  • ユーザー モード コード整合性 (UMCI)

  • 新しいカーネル コード整合性規則 (新しい Windows Hardware Quality Labs (WHQL) の署名制約を含む)

  • データベースによるセキュア ブート (db/dbx) の制限

  • システム メモリ、およびカーネル モードのアプリやドライバーを、考えられる改ざんから保護するための仮想化ベースのセキュリティ

  • 省略可能: トラステッド プラットフォーム モジュール (TPM) 1.2 または 2.0

Device Guard はイメージ ビルド プロセスで動作するため、対応デバイスに対して仮想化ベースのセキュリティ機能を有効にし、コード整合性ポリシーを構成し、Windows 10 Enterprise に必要なその他のオペレーティング システム設定を指定することができます。その後、Device Guard が機能して、デバイスの保護に役立ちます。

  1. デバイスは、Universal Extensible Firmware Interface (UEFI) セキュア ブートを使って起動します。これにより、ブート キットが動作できなくなり、他のすべての項目の前に Windows 10 Enterprise が起動します。

  2. Windows ブート コンポーネントが安全を起動した後、Windows 10 Enterprise は、カーネル モード コード整合性などの Hyper-V 仮想化ベース セキュリティ サービスを開始できます。これらのサービスは、起動プロセスの初期段階、または起動後のカーネルでのマルウェアの動作を防ぐことによって、システムのコア (カーネル)、特権ドライバー、およびマルウェア対策ソリューションなどのシステム防御を保護するために役立ちます。

  3. Device Guard は、UMCI を使って、サービス、ユニバーサル Windows プラットフォーム (UWP) アプリ、または従来の Windows アプリケーションなど、ユーザー モードで実行されるものがすべて信頼できることを確認し、信頼されているバイナリだけが実行されるようにします。

  4. Windows 10 Enterprise の起動と同時に、トラステッド プラットフォーム モジュール (TPM) も起動します。TPM は、ユーザーの資格情報や証明書などの機密情報の保護に役立つ、分離されたハードウェア コンポーネントを提供します。

必要なハードウェアおよびソフトウェア

Device Guard を実装するためにインストールして構成する必要のあるハードウェアとソフトウェアを次の表に示します。

要件説明

Windows 10 Enterprise

PC では、Windows 10 Enterprise が実行されている必要があります。

UEFI ファームウェア バージョン 2.3.1 以上とセキュア ブート

ファームウェアが UEFI バージョン 2.3.1 以上とセキュア ブートを使用していることを確認するには、Windows ハードウェア互換性プログラムの要件 System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby を使って検証します。

仮想化拡張機能

仮想化ベースのセキュリティをサポートするには、次の仮想化拡張機能が必要です。

  • Intel VT-x または AMD-V
  • Second Level Address Translation

ファームウェアのロック

ファームウェアのセットアップは、他のオペレーティング システムが起動しないように、また、UEFI の設定が変更されないようにするために、ロックする必要があります。また、ハード ドライブからの起動以外の起動方法を無効にする必要があります。

x64 アーキテクチャ

Windows ハイパーバイザー上で仮想化ベースのセキュリティが使用する機能は、64 ビット PC でのみ実行できます。

VT-d または AMD-Vi IOMMU (入出力メモリ管理ユニット)

Windows 10 では、IOMMU によって、メモリ攻撃からのシステムの回復性を強化します。¹

安全なファームウェア更新プロセス

ファームウェアが安全なファームウェア更新プロセスに準拠していることを確認するには、Windows ハードウェア互換性プログラムの要件 System.Fundamentals.Firmware.UEFISecureBoot を使って検証します。

 

社内で Device Guard を使用する前に

Device Guard を効果的に使用する前に、環境とポリシーをセットアップする必要があります。

アプリの署名

Device Guard モードは、UWP アプリと従来の Windows アプリケーションの両方をサポートしています。Device Guard とアプリの間の信頼は、ユーザーが信頼できると判断した署名を使ってアプリが署名されている場合に生まれます。すべての署名が機能するわけではありません。

この署名は、次のようにして実行できます。

  • Windows ストアの発行プロセスを使用する。Microsoft ストアから取得されるすべてのアプリは自動的に、証明機関 (CA) やユーザー自身にロールアップできる特別な署名で署名されます。

  • ユーザー自身のデジタル証明書または公開キー基盤 (PKI) を使用する。ISV や企業は、信頼されている署名者一覧に自身を追加して、自社製の従来の Windows アプリケーションに自身で署名できます。

  • Microsoft 以外の署名機関を使用する。ISV と企業は、Microsoft 以外の信頼されている署名機関を使って、自社製の従来の Windows アプリケーションすべてに署名できます。

  • Microsoft が提供する Web サービス (今年の後半に開始予定) を使用する。ISV や企業は、Microsoft によって提供される、より安全な Web サービスを使って、従来の Windows アプリケーションに署名できるようになります。

コード整合性ポリシー

Device Guard に含まれるアプリの保護を使う前に、Microsoft が提供するツールを使用してコード整合性ポリシーを作成する必要があります。ただし、このツールは、グループ ポリシーなど、現在の管理ツールを使って展開されます。コード整合性ポリシーは、Windows 10 Enterprise のユーザー モードとカーネル モードの両方の構成設定と共に、Windows 10 スクリプト ホストの制限を含む、バイナリ形式でエンコードされた XML ドキュメントです。このポリシーで、デバイスで実行できるコードが制限されます。

Device Guard 機能では、顧客が提供するイメージ用に顧客が設定を提供する場合は、デバイスが、あらかじめ構成されたコード整合性のみを備えている必要があります。

  この XML ドキュメントは Windows 10 Enterprise で署名できるため、このポリシーの変更や削除を行う管理ユーザーに対する詳細な保護が追加されます。
 

Windows 10 Enterprise ハイパーバイザーを使った仮想化ベース セキュリティ

Windows 10 Enterprise ハイパーバイザーで、仮想信頼レベル関連の新機能が導入されます。これにより、Windows 10 Enterprise サービスが、実行中のオペレーティング システムから分離された状態で、保護された環境で動作できます。 Windows 10 Enterprise 仮想化ベース セキュリティは、カーネル コードの整合性を保護し、ローカル セキュリティ機関 (LSA) の資格情報の分離を提供するために役立ちます。カーネル コードの整合性サービスが、ハイパーバイザーでホストされたサービスとして動作できるようにすると、ルート オペレーティング システム関連の保護レベルが向上し、カーネル レイヤーを脅かすあらゆるマルウェアに対する保護が追加されます。

重要  仮想化ベース セキュリティでカーネル コードの整合性を実行する Device Guard デバイスは、互換性のあるドライバー (レガシ ドライバーは更新可能) を備えており、すべての仮想化機能が有効である必要があります。これには、仮想化拡張機能と入出力メモリ管理ユニット (IOMMU) のサポートが含まれます。
 

 

 

表示: