ゼロトラストの原則を核として構築され、データを保護し、どこからでもアクセスできるようにして、保護と生産性を維持します。
はじめに
デジタルトランスフォーメーションの加速とリモートワークプレイスとハイブリッドワークプレイスの両方の拡大は、組織、コミュニティ、および個人に新しい機会をもたらします。私たちの働き方は一変しました。そして今、従業員は、どこで仕事をしていても、コラボレーションして生産性を維持するために、シンプルで直感的なユーザーエクスペリエンスを必要としています。しかし、アクセスとどこでも作業できる能力の拡大は、新たな脅威とリスクももたらしました。マイクロソフトが委託したSecuritySignalsレポートの新しいデータによると、副社長レベル以上のセキュリティ意思決定者の75%が、ハイブリッド作業への移行により組織がセキュリティの脅威に対してより脆弱になると感じています。
マイクロソフトでは、地球上のすべての人とすべての組織がより多くのことを達成できるようにするために懸命に取り組んでいます。私たちは、お客様が安全になり、安全を維持できるよう支援することをお約束します。 毎年10億ドルがセキュリティに投資し、3,500人を超える専任のセキュリティ専門家がおり、世界中で約13億台のWindows 10デバイスが使用されており、お客様が直面する脅威について深い洞察を持っています。
お客様は、どこでもエンドツーエンドの保護を提供する最新のセキュリティソリューションを必要としています。 Windows 11は、ハイブリッド作業の新時代に向けたゼロトラストの原則を備えたビルドです。ゼロトラストは、安全性と整合性が証明されるまで、どこのユーザーやデバイスもアクセスできないという前提に基づいたセキュリティモデルです。 Windows 11は、チップからクラウドまでの高度な保護のために、ハードウェアとソフトウェアの両方に組み込まれた新しい要件でセキュリティベースラインを引き上げます。 Windows 11を使用すると、お客様はセキュリティを損なうことなく、ハイブリッドの生産性と新しいエクスペリエンスを実現できます。
セキュリティの意思決定者の約80%が、ソフトウェアだけでは新たな脅威からの保護が不十分であると述べています。1
Windows 11では、ハードウェアとソフトウェアが連携して、CPUからクラウドまでの保護を実現します。この簡単な図で保護の層を参照し、以下のセキュリティの優先順位の概要を確認してください。
Windows11がゼロトラスト保護を有効にする方法
ゼロトラストの原則は3つあります。まず、明示的に確認します。つまり、ユーザーID、場所、デバイスの状態、サービスまたはワークロード、データ分類、異常など、利用可能なすべてのデータポイントに基づいて、常に認証と承認を行います。 2つ目は、最も特権の少ないアクセスを使用します。これは、ジャストインタイムおよびジャストインタイムアクセス、リスクベースの適応ポリシー、およびデータ保護によってユーザーアクセスを制限し、データと生産性の両方を保護します。そして最後に、違反を想定します。爆発の半径とセグメントへのアクセスを最小限に抑える方法で違反が発生するとします。エンドツーエンドの暗号化を検証し、分析を使用して可視性を取得し、脅威の検出と防御を改善します。
Windows 11の場合、検証のゼロトラストの原則は、デバイスとユーザーの両方によってもたらされるリスクに明示的に適用されます。 Windows 11は、チップからクラウドへのセキュリティを提供し、IT管理者に、デバイスが要件を満たし、信頼できるかどうかを判断するための認証と測定を提供します。また、Windows11はMicrosoftIntuneとAzureActive Directoryですぐに機能するため、アクセスの決定と実施はシームレスです。さらに、IT管理者は、Windows 11を簡単にカスタマイズして、アクセス、プライバシー、コンプライアンスなどの特定のユーザーおよびポリシー要件を満たすことができます。
個々のユーザーは、ハードウェアベースのセキュリティとパスワードなしの保護のための新しい標準を含む強力な保護手段からも恩恵を受けます。現在、すべてのユーザーは、Microsoft Authenticatorアプリで安全な身元証明を提供し、顔または指紋でサインインすることで、潜在的に危険なパスワードを置き換えることができます。2セキュリティキーまたは確認コード電話または電子メールに送信されます。
Windows11のセキュリティの優先事項の概要
デフォルトのセキュリティ
調査対象のセキュリティ意思決定者のほぼ90%が、古いハードウェアは組織を攻撃に対してよりオープンにし、より新しいハードウェアは将来の脅威からの保護に役立つと述べています。 Windows 10のイノベーションに基づいて、メーカーやシリコンパートナーと協力して、進化する脅威の状況に対応し、よりハイブリッドな作業と学習を可能にする追加のハードウェアセキュリティ機能を提供してきました。 Windows 11に付属する新しい一連のハードウェアセキュリティ要件は、攻撃に対してさらに強力で回復力のある基盤を構築するように設計されています。
強化されたハードウェアとオペレーティングシステムのセキュリティ
チップから始まるハードウェアベースの分離セキュリティにより、Windows 11は、オペレーティングシステムから分離された、追加のセキュリティバリアの背後に機密データを格納します。その結果、暗号化キーやユーザークレデンシャルなどの情報は、不正アクセスや改ざんから保護されます。 Windows 11では、ハードウェアとソフトウェアが連携してオペレーティングシステムを保護し、仮想化ベースのセキュリティ(VBS)とセキュアブートが組み込まれており、新しいCPUではデフォルトで有効になっています。悪役が入ったとしても、遠くには行かない。 VBSは、ハードウェア仮想化機能を使用して、メモリの安全な領域を作成し、オペレーティングシステムから分離します。この隔離された環境は、複数のセキュリティソリューションをホストし、オペレーティングシステムの脆弱性からの保護を大幅に強化し、悪意のあるエクスプロイトの使用を防ぎます。クラウドサービスを使用したデバイスヘルスアテステーションと組み合わせて、Windows11はゼロトラスト対応です。
堅牢なアプリケーションセキュリティとプライバシー管理
個人情報とビジネス情報を保護してプライベートに保つために、Windows 11には、重要なデータとコードの整合性を保護するためのアプリケーションセキュリティの複数のレイヤーがあります。アプリケーションの分離と制御、コードの整合性、プライバシー制御、および最小特権の原則により、開発者はセキュリティとプライバシーをゼロから組み込むことができます。この統合されたセキュリティは、侵害やマルウェアから保護し、データを非公開に保つのに役立ち、IT管理者に必要な制御を提供します。
Windows 11では、 Microsoft Defender Application Guard 3 は Hyper-V 仮想化テクノロジにより、信頼できないWebサイトとMicrosoft Officeファイルをコンテナに分離し、ホストオペレーティングシステムとエンタープライズデータから分離してアクセスできなくなります。プライバシーを保護するために、Windows 11には、デバイスの場所などのデータを収集して使用したり、カメラやマイクなどのリソースにアクセスしたりできるアプリや機能をさらに制御する機能もあります。
保護されたID
パスワードは使い勝手が悪く、サイバー犯罪者の標的になります。パスワードは何年もの間、デジタルセキュリティの重要な部分を占めてきました。これは、Windows 11で利用できるパスワードなしの保護によって変わります。安全な承認プロセスの後、資格情報はハードウェアとソフトウェアのセキュリティのレイヤーの背後で保護され、ユーザーはアプリとクラウドサービスに安全でパスワードなしでアクセスできます。
個々のユーザーは、Microsoftアカウントからパスワードを削除して、Microsoftを使用できます。
Authenticatorアプリ、4 Windows Hello、5 FIDO2セキュリティキー、スマートカード、または電話やメールに送信される確認コード。 IT管理者と消費者は、Fast Identity Online(FIDO)標準に準拠したWindows Helloなどのテクノロジを利用して、Windows11デバイスをパスワードなしですぐにセットアップできます。 Windows 11は、VBSおよびMicrosoft CredentialGuardと組み合わせたTPM2.0を含むチップレベルのハードウェアセキュリティで資格情報を保護します。
クラウドサービスへの接続
Windows 11のセキュリティは、ゼロトラストをクラウドにまで拡張し、ポリシー、制御、手順、およびテクノロジを連携させて、デバイス、データ、アプリケーション、およびIDをどこからでも保護できるようにします。マイクロソフトは、ネットワークに接続しているWindowsデバイスが信頼できることを証明するツールに加えて、ID、ストレージ、およびアクセス管理のための包括的なクラウドサービスを提供しています。また、Azure ActiveDirectoryと連携してクラウドを介したアプリケーションとデータへのアクセスを制御するMicrosoftIntuneなどの最新のデバイス管理(MDM)サービスを使用して、コンプライアンスと条件付きアクセスを適用することもできます。6
ハードウェアセキュリティ
最新の脅威には、ユーザー、データ、およびデバイスを保護するために、ハードウェアセキュリティとソフトウェアセキュリティ技術を強力に連携させた最新のセキュリティが必要です。オペレーティングシステムだけでは、サイバー犯罪者がコンピューターを危険にさらすために使用するさまざまなツールや手法から保護することはできません。侵入者は、重要なデータやクレデンシャルを盗むことから、識別や削除が困難になる低レベルのデバイスファームウェアにマルウェアを埋め込むことまで、複数の不正な活動を行っている間、侵入者を検出するのが難しい場合があります。これらの新しい脅威は、機密性の高いビジネス情報を格納するハードウェアチップやプロセッサなど、コアまで安全なコンピューティングハードウェアを必要とします。ハードウェアにセキュリティ機能を構築することで、以前はソフトウェアだけに存在していた脆弱性のクラス全体を取り除くことができます。これにより、ソフトウェアに同じセキュリティ機能を実装する場合と比較して、パフォーマンスが大幅に向上することがよくあります。これにより、システムパフォーマンスに測定可能な影響を与えることなく、システム全体のセキュリティが向上します。
Windows 11では、Microsoftはハードウェアセキュリティバーを引き上げて、これまでで最も安全なバージョンのWindowsを設計しました。脅威インテリジェンスと、DoD、NSA、英国のNCSC、および独自のMicrosoftセキュリティチームを含む世界中の主要な専門家からの入力に基づいて、ハードウェア要件とデフォルトのセキュリティ機能を慎重に選択しました。チップおよびデバイスの製造パートナーと協力して、ソフトウェア、ファームウェア、およびハードウェア全体で高度なセキュリティ機能を統合し、チップからクラウドまで保護する緊密な統合を作成しました。
Windows 11は、ハードウェアの信頼のルートとシリコン支援のセキュリティの強力な組み合わせですが、組み込みのハードウェア保護をすぐに利用できます。
ハードウェアの信頼のルート
ハードウェアの信頼のルートは、ハードウェアがオンになり、ファームウェアをロードしてからオペレーティングシステムを起動するときに、システムの整合性を保護および維持するのに役立ちます。ハードウェアのrootof-trustは、システムの2つの重要なセキュリティ目標を満たしています。マルウェアがブートコードに感染してその存在を隠すことができないように、システムを起動するファームウェアとオペレーティングシステムコードを安全に測定します。ハードウェアの信頼のルートは、暗号化キー、データ、およびコードを格納するためのオペレーティングシステムおよびアプリケーションから分離された安全性の高い領域も提供します。この保護により、Windows認証スタック、シングルサインオントークン、Windows Hello生体認証スタック、BitLockerボリューム暗号化キーなどの重要なリソースが保護されます。
トラステッドプラットフォームモジュール(TPM
TPMは、ハードウェアベースのセキュリティ関連機能を提供し、不要な改ざんを防ぐように設計されています。 TPMは、システムハードウェア、プラットフォームの所有者、およびユーザーにセキュリティとプライバシーの利点を提供します。 Windows Hello、BitLocker、Windows Defender System Guard、およびその他の多数のWindows機能は、キーの生成、安全なストレージ、暗号化、ブート整合性の測定、証明、およびその他の多数の機能をTPMに依存しています。これらの機能は、顧客がIDとデータの保護を強化するのに役立ちます。
TPM仕様の2.0バージョンには、より強力な暗号化アルゴリズムを可能にする暗号化アルゴリズムの柔軟性や、顧客が優先する代替アルゴリズムを使用できる機能などの重要な拡張機能が含まれています。 Windows 10以降、Microsoftのハードウェア認定では、すべての新しいWindows PCにTPM2.0が組み込まれ、デフォルトで有効になっている必要がありました。 Windows 11では、新しいデバイスとアップグレードされたデバイスの両方にTPM2.0が必要です。この要件は、すべてのWindows 11デバイスのセキュリティ体制を強化し、これらのデバイスがハードウェアの信頼のルートに依存する将来のセキュリティ機能の恩恵を受けることができるようにするのに役立ちます。
Windows 11TPM仕様およびPCでTPM2.0を有効にする。
Plutonセキュリティプロセッサ
Microsoft Plutonセキュリティプロセッサは、チップでセキュリティを提供します。 Plutonは、マイクロソフトがシリコンパートナーと提携して設計したハードウェアの信頼の根源であり、進化する脅威の状況に対処するために最新のPCに必要な堅牢性と柔軟性を提供することを目的としています。 Plutonの設計では、ハードウェアの信頼のルートがCPUと同じシリコン基板に直接埋め込まれています。この重要な設計原理により、信頼のルートがCPUとは別のマザーボード上の別のディスクリートチップにある場合の一般的な弱点が排除されます。弱点は、ルートオブトラストチップ自体は非常に安全である可能性がありますが、ディスクリートルートオブトラストとCPUの間の通信パスには、物理的な攻撃によって悪用される可能性のある弱いリンクがあることです。
PlutonはTPM2.0業界標準をサポートしているため、BitLocker、Windows Hello、Windows Defender SystemGuardなどのTPMに依存するWindows機能の強化されたセキュリティをすぐに利用できます。 Plutonは、TPM 2.0であることに加えて、TPM 2.0仕様で可能なものを超える他のセキュリティ機能もサポートします。この拡張性により、追加のPlutonファームウェアおよびOS機能をWindowsUpdateを介して長期にわたって提供できます。
他のTPMと同様に、攻撃者がマルウェアをインストールしたり、PCを完全に物理的に所有していても、クレデンシャル、暗号化キー、およびその他の機密情報をPlutonから抽出することはできません。システムの他の部分から分離されたPlutonプロセッサ内に暗号化キーなどの機密データを安全に保存することで、投機的実行などの新たな攻撃手法がキーマテリアルにアクセスできないようにすることができます。 Plutonには、独自のSecure Hardware Cryptography Key(SHACK)テクノロジも含まれています。 SHACKは、Plutonファームウェア自体であっても、保護されたハードウェアの外部にキーが公開されないようにするのに役立ち、Windowsのお客様に前例のないレベルのセキュリティを提供します。
Plutonは、PCエコシステム全体でシステムファームウェアを最新の状態に保つという主要なセキュリティの課題も解決します。現在、お客様は、管理が困難なさまざまなソースからセキュリティファームウェアのアップデートを受け取っているため、アップデートの問題が広範囲に及んでいます。 Plutonは、マイクロソフトによって作成、維持、および更新されるエンドツーエンドのセキュリティ機能を実装するファームウェアを実行するための柔軟で更新可能なプラットフォームを提供します。 PlutonはWindowsUpdateサービスと統合されており、10年以上の運用経験から、10億を超えるエンドポイントシステムに更新を確実に配信できます。
Microsoft Plutonセキュリティプロセッサは、2022年から一部の新しいWindows PCに同梱されます。7
シリコン支援セキュリティ
最新のハードウェアの信頼のルートに加えて、最新のCPUには、ブートプロセスの保護、メモリの整合性の保護、セキュリティに敏感なコンピューティングロジックの分離など、脅威からオペレーティングシステムを強化する他の多くの機能があります。
保護されたカーネル
仮想化ベースのセキュリティ(VBS)は、コア分離とも呼ばれ、安全なシステムの重要な構成要素です。 VBSは、CPUのハードウェア仮想化命令を使用して、通常のオペレーティングシステムから分離されたメモリの安全な領域を作成します。 Windowsは、この分離されたVBS環境を使用して、セキュアカーネルなどのセキュリティに敏感なオペレーティングシステム機能と、認証されたユーザー資格情報などのセキュリティ資産を保護します。マルウェアがメインOSカーネルにアクセスした場合でも、ハイパーバイザーと仮想化ハードウェアがマルウェアによるコードの実行やVBSの安全な環境内で実行されているプラットフォームシークレットへのアクセスを防ぐのに役立つため、VBSはエクスプロイトを大幅に制限して封じ込めます。
ハイパーバイザーで保護されたコード整合性(HVCI)は、メモリ整合性とも呼ばれ、VBSを使用して、メインのWindowsカーネルではなく安全なVBS環境内でカーネルモードコード整合性(KMCI)を実行します。これは、ドライバーなどのカーネルモードコードを変更しようとする攻撃を防ぐのに役立ちます。 KMCIの役割は、すべてのカーネルコードが適切に署名されており、実行が許可される前に改ざんされていないことを確認することです。
HVCIは、検証されたコードのみがカーネルモードで実行できることを保証します。ハイパーバイザーは、プロセッサー仮想化拡張機能を活用して、カーネルモードソフトウェアがコード整合性サブシステムによって最初に検証されていないコードを実行するのを防ぐメモリ保護を実施します。 HVCIは、悪意のあるコードをカーネルに挿入する機能に依存するWannaCryのような一般的な攻撃から保護します。 HVCIは、ドライバーやその他のカーネルモードソフトウェアにバグがある場合でも、悪意のあるカーネルモードコードの挿入を防ぐことができます。
すべてのWindows11デバイスはHVCIをサポートし、ほとんどの新しいデバイスには、デフォルトでVBSおよびHVCI保護がオンになっています。
Windows11セキュアコアPC
2021年3月のセキュリティ信号レポートは、80%以上の企業が少なくとも1回のファームウェア攻撃を経験したことを示しています。過去2年間。金融サービス、政府、ヘルスケアなどのデータに敏感な業界のお客様向けに、マイクロソフトはOEMパートナーと協力して、セキュアコアPC 。デバイスには、Windowsを支えるファームウェアレイヤーまたはデバイスコアで有効になっている追加のセキュリティ対策が付属しています。
セキュアコアPCは、ランサムウェアからのカーネル攻撃などの高度な脅威に対する保護を強化します。セキュアコアPCは、起動時にクリーンで信頼できる状態で起動し、ハードウェアで強化された信頼のルートを使用してマルウェアの攻撃を防ぎ、ファームウェアの脆弱性を最小限に抑え、感染を阻止します。仮想化ベースのセキュリティはデフォルトで有効になっています。また、システムメモリを保護するハイパーバイザーで保護されたコードの整合性が組み込まれているため、セキュアコアPCは、すべてのオペレーティングシステムコードが信頼できるものであり、実行可能ファイルは既知の承認された機関によってのみ署名されます。
セキュアコアWindows11PCの利点は次のとおりです。
- ソフトウェア、ハードウェア、ファームウェア、およびID保護全体に統合された強力なセキュリティ機能
- Microsoft、デバイスメーカー、およびチップメーカー間の緊密な統合により、ソフトウェア、ファームウェア、およびハードウェア全体の感染を防ぐのに役立つ強力なセキュリティ機能を提供します
- スタック全体のセキュリティ機能は、デバイスメーカーによってデフォルトで有効になっており、顧客が最初から安全であることを保証します
セキュアコアPCのメモリ保護
Thunderbolt、USB4、CFexpressなどのPCIeホットプラグデバイスを使用すると、ユーザーは、USBと同じエクスペリエンスで、グラフィックカードやその他のPCIデバイスなどの新しいクラスの外部周辺機器をPCに接続できます。 PCIホットプラグポートは外部にあり、簡単にアクセスできるため、PCはドライブバイダイレクトメモリアクセス(DMA)攻撃の影響を受けやすくなっています。メモリアクセス保護(
ドライブバイDMA攻撃は通常、システム所有者がいないときにすぐに発生します。攻撃は、PCの分解を必要としない、手頃な価格の既製のハードウェアとソフトウェアで作成された単純から中程度の攻撃ツールを使用して実行されます。たとえば、PCの所有者は、コーヒーを飲みながらデバイスを離れる場合があります。一方、攻撃者はUSBのようなデバイスを接続し、マシン上のすべての秘密を持ち去るか、マルウェアを注入して、ロック画面をバイパスする機能など、PCを完全にリモートコントロールできるようにします。
お使いのPCがカーネルDMA保護をサポートしているかどうかとカーネルDMA保護の要件。
セキュアコアPCのファームウェア保護
セキュアコアPCは、複数の保護レイヤーを有効にしてファームウェアレベルで防御し、デバイスがハードウェア制御の状態で安全に起動できるようにします。
高度なマルウェア攻撃は、通常、システムに「ブートキット」または「ルートキット」をインストールして、検出を回避し、永続性を実現しようとする場合があります。この悪意のあるソフトウェアは、Windowsがロードされる前、またはWindowsの起動プロセス自体の間にファームウェアレベルで実行され、システムを最高レベルの特権で起動できるようにする可能性があります。 Windowsの重要なサブシステムは仮想化ベースのセキュリティを活用しているため、ハイパーバイザーの保護はますます重要になっています。許可されていないファームウェアまたはソフトウェアがWindowsブートローダーの前に起動できないようにするために、WindowsPCはUnifiedExtensible Firmware Interface(UEFI)セキュアブート標準に依存しています。セキュアブートは、信頼できるデジタル署名を持つ許可されたファームウェアとソフトウェアのみが実行できるようにするのに役立ちます。さらに、すべてのブートコンポーネントの測定値は、TPMに安全に保存され、静的測定信頼ルート(SRTM)と呼ばれるブートの否認できない監査ログを確立するのに役立ちます。
何千ものPCベンダーが多様なUEFIファームウェアコンポーネントを備えた多数のPCモデルを製造しているため、起動時に非常に多くのSRTM署名と測定値があり、これらは本質的にセキュアブートによって信頼されており、特定のデバイスの信頼を特定のデバイスのみに制限することがより困難になっています。そのデバイスを起動するために必要です。信頼を制約するには、2つの手法があります。ブロックリストとも呼ばれる既知の「不良」SRTM測定値のリストを維持することです。これは、本質的に脆弱であるという欠点があります。または、既知の「良好な」SRTM測定値のリスト、または大規模に最新の状態に保つことが難しい許可リストを維持します。
セキュアコアPCでは、Windows Defender System Guard Secure Launchは、動的測定信頼ルート(DRTM)と呼ばれるテクノロジを使用してこれらの問題に対処します。 DRTMを使用すると、システムは最初は通常のUEFIセキュアブートプロセスに従うことができますが、Windowsが起動する前に、システムはハードウェア制御の信頼できる状態になり、CPUをハードウェアで保護されたコードパスに強制的にダウンさせます。マルウェアのルートキット/ブートキットがUEFIセキュアブートをバイパスし、メモリに常駐していた場合、DRTMは、仮想化ベースのセキュリティ環境によって保護されているシークレットや重要なコードにアクセスできないようにします。システム管理モード(SMM)の分離は、ハイパーバイザーよりも高い実効特権で実行されるx86ベースのプロセッサーの実行モードであるSMMからの攻撃対象領域を減らすのに役立つことにより、DRTMによって提供される保護を補完します。 IntelやAMDなどのシリコンプロバイダーが提供する機能に依存して、SMM分離は、SMMコードがOSメモリにアクセスできないようにするなどの制限を適用するポリシーを適用します。システムで有効なSMM分離ポリシーは、リモート認証サービスに確実に提供することもできます。8
オペレーティングシステムのセキュリティ
ハードウェアベースの保護は、チップからクラウドセキュリティへのチェーンの1つのリンクにすぎません。セキュリティとプライバシーは、情報とPCを起動した瞬間から保護するOSにも依存します。
Windows 11は、これまでで最も安全なWindowsであり、安全を確保するために設計されたOSの広範なセキュリティ対策を備えています。これらの対策には、組み込みの高度な暗号化とデータ保護、堅牢なネットワークとシステムのセキュリティ、進化し続けるウイルスと脅威に対するインテリジェントな保護手段が含まれます。 Windows 11は、OSセキュリティをすぐに使用できる組み込みのハードウェア保護を強化して、システム、ID、および情報を安全に保つのに役立ちます。
システムセキュリティ
信頼できるブート(UEFIセキュアブート+測定されたブート)
オペレーティングシステムを保護するための最初のステップは、最初のハードウェアとファームウェアのブートシーケンスが初期のブートシーケンスを安全に終了した後、オペレーティングシステムが安全にブートすることを確認することです。セキュアブートは、Unified Extensible Firmware Interface(UEFI)からWindowsカーネルのトラステッドブートシーケンスを介して、安全で信頼できるパスを作成します。 Windowsブートシーケンスに対するマルウェア攻撃は、UEFI、ブートローダー、カーネル、およびアプリケーション環境間のブートシーケンス全体での署名強制ハンドシェイクによってブロックされます。
PCが起動プロセスを開始すると、最初にファームウェアがデジタル署名されていることを確認し、ファームウェアルートキットのリスクを軽減します。次に、セキュアブートは、オペレーティングシステムの前に実行されるすべてのコードをチェックし、OSブートローダーのデジタル署名をチェックして、セキュアブートポリシーによって信頼され、改ざんされていないことを確認します。
信頼できるブートは、セキュアブートが中断したところを引き継ぎます。 Windowsブートローダーは、ロードする前にWindowsカーネルのデジタル署名を検証します。次に、Windowsカーネルは、ブートドライバー、起動ファイル、ウイルス対策製品の早期起動型ウイルス対策(ELAM)ドライバーなど、Windows起動プロセスの他のすべてのコンポーネントを検証します。これらのファイルのいずれかが改ざんされている場合、ブートローダーは問題を検出し、破損したコンポーネントのロードを拒否します。 Windowsブートシーケンスに対する改ざんまたはマルウェア攻撃は、UEFI、ブートローダー、カーネル、およびアプリケーション環境間の署名強制ハンドシェイクによってブロックされます。
多くの場合、Windowsは破損したコンポーネントを自動的に修復し、Windowsの整合性を復元して、PCを正常に起動できるようにします。
これらの機能の詳細と、起動プロセス中にルートキットとブートキットが読み込まれないようにする方法については、 Windowsブートプロセスを保護します。
Windows 11では、すべてのPCでUnified Extensible Firmware Interface(UEFI)のセキュアブート機能を使用する必要があります。
暗号化
暗号化は、ユーザーとシステムのデータを保護するための数学的プロセスです。たとえば、データを暗号化して、特定の受信者だけが所有するキーを使用してデータを読み取ることができるようにします。暗号化は、意図された受信者以外の人がデータを読み取れないようにするプライバシーの基盤であり、データが改ざんされていないことを確認する整合性チェックと、通信が安全であることを確認するためにIDを検証する認証を提供します。 Windowsの暗号化スタックは、チップからクラウドまで拡張され、Windows、アプリケーション、およびサービスがシステムとユーザーの秘密を保護できるようにします。
Windows 11での暗号化は、連邦情報処理標準(FIPS)140認定の対象となります。 FIPS 140認定は、米国政府が承認したアルゴリズム(署名用のRSA、鍵共有用のNIST曲線を使用したECDH、対称暗号化用のAES、ハッシュ用のSHA2を含む)が正しく実装されていることを確認し、モジュールの整合性をテストして、改ざんが発生していないことを証明します。エントロピーソースのランダム性。
Windows暗号化モジュールは、次のような低レベルのプリミティブを提供します。
- 乱数ジェネレーター(RNG)
- XTS、ECB、CBC、CFB、CCM、GCMの動作モードでのAES128 / 256のサポート。 RSAおよびDSA2048、3072、および4096のキーサイズ。曲線P-256、P-384、P-521上のECDSA
- ハッシュ(SHA1、SHA-256、SHA-384、およびSHA-512のサポート)
- 署名と検証(OAEP、PSS、PKCS1のパディングサポート)
- 鍵共有と鍵導出(NIST標準プライムカーブP-256、P-384、P-521、およびHKDFでのECDHのサポート)
これらは、Microsoftのオープンソース暗号化ライブラリSymCryptを利用したCrypto API(CAPI)およびCryptography Next Generation API(CNG)を介してWindows上でネイティブに公開されます。アプリケーション開発者は、これらのAPIを利用して、低レベルの暗号化操作(BCrypt)、キーストレージ操作(NCrypt)、静的データの保護(DPAPI)、およびシークレットの安全な共有(DPAPI-NG)を実行できます。
証明書
Windowsは、証明書を操作および管理するためのいくつかのAPIを提供します。証明書は、情報を保護および認証する手段を提供するため、公開鍵インフラストラクチャ(PKI)にとって非常に重要です。証明書は、公開鍵の所有権を主張するために使用されるX.509v3フォーマット標準に準拠する電子文書です。公開鍵は、サーバーとクライアントのIDを証明し、コードの整合性を検証し、安全な電子メールで使用されます。 Windowsは、グループポリシーを使用してActive Directoryに証明書を自動登録および更新する機能をユーザーに提供し、証明書の有効期限や構成の誤りによる潜在的な停止のリスクを軽減します。 Windowsは、証明書信頼リスト(CTL)を毎週ダウンロードする自動更新メカニズムを通じて証明書を検証します。信頼できるルート証明書は、信頼できるPKI階層とデジタル証明書の参照としてアプリケーションによって使用されます。信頼できる証明書と信頼できない証明書のリストはCTLに保存され、Microsoftサードパーティルートプログラムで更新できます。マイクロソフトサードパーティルートプログラムのルートは、業界標準への準拠を確認するために、年次監査を通じて管理されます。証明書失効の場合、証明書は信頼できない証明書として許可されていないCTLに追加され、毎日ダウンロードされるため、信頼できない証明書はユーザーデバイス間で即座にグローバルに取り消されます。
Windowsは、ユーザーが内部ドメイン名を不要な証明書への連鎖から保護できるようにすることで、man-in-the-middle攻撃を減らすのに役立つエンタープライズ証明書ピンニングも提供します。 Webアプリケーションのサーバー認証証明書チェーンは、制限された証明書のセットと一致することを確認するためにチェックされます。名前の不一致をトリガーするWebアプリケーションは、イベントログを開始し、MicrosoftEdgeまたはInternetExplorerからのユーザーアクセスを防ぎます。
コード署名と整合性
コード署名は、それ自体はセキュリティ機能ではありませんが、Windowsプラットフォーム全体でファームウェア、ドライバー、およびソフトウェアの整合性を確立するために不可欠です。コード署名は、ファイルのハッシュをコード署名証明書の秘密鍵部分で暗号化し、署名をファイルに埋め込むことによって、デジタル署名を作成します。これにより、ファイルが改ざんされていないことが保証されます。Windowsコード整合性プロセスは、署名を復号化してファイルの整合性をチェックし、信頼できる発行元からのものであることを確認することで、署名済みファイルを検証します。
Microsoftによって作成および公開されたすべてのソフトウェアは、WindowsおよびMicrosoftコードが整合性、信頼性、および肯定的な評判を持っていることを確立するためにコード署名されています。コード署名は、Windowsが独自のコードを外部の作成者のコードと区別する方法であり、コードがユーザーデバイスに配信されるときに改ざんされるのを防ぎます。
デジタル署名は、Windowsブートコード、Windowsカーネルコード、およびWindowsユーザーモードアプリケーションのWindows環境全体で評価されます。セキュアブートとコードの整合性は、ブートローダー、オプションROM、およびその他のブートコンポーネントの署名を検証して、信頼され、信頼できる発行元からのものであることを確認します。 Microsoftによって作成されていないドライバーの場合、外部カーネルコード整合性はカーネルドライバーの署名を検証し、ドライバーがWindowsによって署名されているか、 Windowsハードウェア互換性プログラム(WHCP)。このプログラムは、外部で作成されたドライバーのハードウェアとWindowsの互換性をテストし、マルウェアがないことを確認します。最後に、ユーザーモードコード、アプリケーション、Appx / MSIXパッケージアプリ、Windows OSコンポーネントの更新、ドライバーインストールパッケージ、およびそれらの署名は、CryptoAPIに依存するWinVerifyTrustによって評価されます。これらの署名は、MicrosoftサードパーティルートプログラムCTLに含まれていることを確認することで検証されるため、認証局によって信頼され、取り消されません。
デバイスの正常性の証明
デバイスの正常性の証明と条件付きアクセスは、企業リソースへのアクセスを許可するために使用されます。これは、企業の防御を静的なネットワークベースの境界からユーザー、資産、およびリソースに集中させるゼロトラストパラダイムを強化するのに役立ちます。
条件付きアクセスは、IDシグナルを評価して、企業リソースへのアクセスが許可される前に、ユーザーが本人であることを確認します。 Windows 11は、デバイスが良好な状態にあり、改ざんされていないことを確認するのに役立つリモート認証をサポートしています。これにより、ユーザーはオフィス、自宅、または旅行中に企業リソースにアクセスできます。
セキュリティコプロセッサ(TPM)に暗号で格納されているファームウェア、ブートプロセス、およびソフトウェアに関する情報は、デバイスのセキュリティ状態を検証するために使用されます。アテステーションは、重要なコンポーネントのIDとステータスを確認でき、デバイス、ファームウェア、およびブートプロセスが変更されていないことを確認できるため、信頼性が保証されます。この機能は、組織が自信を持ってアクセスを管理するのに役立ちます。デバイスが認証されると、リソースへのアクセスを許可できます。
デバイスの正常性の証明によって決定されるもの:
- デバイスが信頼できるかどうか。これは、安全な信頼ルート(TPM)を使用して決定されます。デバイスは、TPMが有効になっていて、アテステーションフローにあることを証明できます。
- OSが正しく起動したかどうか。これはシステム全体の中で最も特権的なコンポーネントである可能性があるため、ブートプロセス中に多くのセキュリティリスクが発生する可能性があります。
- OSで適切なセキュリティ機能のセットが有効になっている場合。
Windowsには、マルウェアや攻撃からユーザーを保護するのに役立つ多くのセキュリティ機能が含まれています。ただし、セキュリティコンポーネントは、プラットフォームが期待どおりに起動し、改ざんされていない場合にのみ信頼できます。上記のように、Windowsは、Unified Extensible Firmware Interface(UEFI)セキュアブート、ELAM、DRTM、トラステッドブート、およびその他の低レベルのハードウェアとファームウェアのセキュリティ機能に依存して、PCを攻撃から保護します。 PCの電源を入れた瞬間からマルウェア対策が開始されるまで、Windowsは、安全を確保するのに役立つ適切なハードウェア構成を備えています。ブートローダーとBIOSによって実装された、測定された信頼できるブートは、ブートの各ステップを連鎖的に検証し、暗号化して記録します。これらのイベントは、ハードウェアのルートオブトラストとして機能するTPMにバインドされます。リモートアテステーションは、これらのイベントがサービスによって読み取られて検証され、検証可能で偏りのない、改ざんされにくいレポートを提供するメカニズムです。リモートアテステーションは、システムブートの信頼できる監査人であり、信頼できる当事者がデバイスとそのセキュリティに信頼をバインドできるようにします。例として、MicrosoftIntuneはMicrosoftAzure Attestationと統合して、Windowsデバイスの状態を包括的に確認し、この情報をAAD条件付きアクセスに接続します。この統合は、信頼を信頼されていないデバイスにバインドするのに役立つゼロトラストソリューションの鍵です。
Windowsデバイスでの認証とゼロトラストに関連する手順の概要は次のとおりです。
- ファイルのロード、特別な変数の更新など、ブートプロセスの各ステップで、ファイルのハッシュや署名などの情報がTPMプラットフォーム構成レジスタ(PCR)で測定されます。測定値は、
トラステッドコンピューティンググループの仕様によって制限されます。記録され、各イベントの形式。 - Windowsが起動すると、アテスター(または検証者)はTPMに、測定されたブートログと一緒にPCRに保存された測定値を取得するように要求します。これらが一緒になって、MicrosoftAzureアテステーションサービスに送信されるアテステーション証拠を形成します。
- TPMは、Azure CertificateServiceのチップセットで利用可能なキー/暗号化マテリアルを使用して検証されます。
- 上記の情報は、デバイスが安全であることを確認するためにAzure認証サービスに送信されます。
MicrosoftIntuneはMicrosoftAzure Attestationと統合して、Windowsデバイスの状態を包括的に確認し、この情報をAAD条件付きアクセスに接続します。 MicrosoftAzureアテステーションサービスセクション。この統合は、信頼を信頼されていないデバイスにバインドするのに役立つゼロトラストソリューションの鍵です。
Windowsのセキュリティポリシーの設定と監査
セキュリティポリシーの設定は、全体的なセキュリティ戦略の重要な部分です。 Windowsは、IT管理者が組織内のWindowsデバイスやその他のリソースを保護するために使用できる強力なセキュリティ設定ポリシーのセットを提供します。セキュリティ設定ポリシーは、1つまたは複数のデバイスで構成して以下を制御できるルールです。
- ネットワークまたはデバイスへのユーザー認証。
- ユーザーがアクセスを許可されているリソース。
- ユーザーまたはグループのアクションをイベントログに記録するかどうか。
- グループのメンバーシップ。
セキュリティ監査 はネットワークと資産の整合性を維持するために使用できる最も強力なツールの1つ。監査は、攻撃、ネットワークの脆弱性、および価値が高いと思われるターゲットに対する攻撃を特定するのに役立ちます。監査は、攻撃、ネットワークの脆弱性、および価値が高いと思われるターゲットに対する攻撃を特定するのに役立ちます。セキュリティ関連のイベントのカテゴリを指定して、組織のニーズに合わせた監査ポリシーを作成できます。
Windowsを最初にインストールすると、すべての監査カテゴリが無効になります。それらを有効にする前に、次の手順に従って効果的なセキュリティ監査ポリシーを作成します。
- 最も重要なリソースとアクティビティを特定します。
- 追跡する必要のある監査設定を特定します。
- 各リソースまたは設定に関連する利点と潜在的なコストを評価します。
- これらの設定をテストして、選択を検証します。
- 監査ポリシーを展開および管理するための計画を作成します。
Windowsセキュリティアプリ
デバイスのセキュリティとヘルスの可視性と認識は、実行するアクションの鍵です。設定にあるWindowsの組み込みセキュリティアプリケーションは、デバイスのセキュリティステータスと状態を一目で確認できます。これらの洞察は、問題を特定し、確実に保護されるように行動を起こすのに役立ちます。ウイルスと脅威の保護、ファイアウォールとネットワークのセキュリティ、デバイスのセキュリティ制御などのステータスをすばやく確認できます。
暗号化とデータ保護
人々がPCを持って旅行するとき、彼らの機密情報は彼らと一緒に旅行します。機密データが保存されている場合は常に、物理的なデバイスの盗難によるものであれ、悪意のあるアプリケーションによるものであれ、不正アクセスから保護する必要があります。
BitLocker
BitLockerドライブ暗号化は、オペレーティングシステムを使用して、紛失、盗難、または不適切に廃止されたコンピューターからのデータの盗難または公開の脅威に対処します。 BitLockerは、XTSまたはCBCモードの操作で128ビットまたは256ビットのキー長のAESアルゴリズムを使用して、ボリューム上のデータを暗号化します。 Microsoft OneDriveまたはAzure6のクラウドストレージを使用して、回復キーのコンテンツを保存できます。 BitLockerは、を使用して、MicrosoftIntune6などの任意のMDMソリューションで管理できます。構成サービスプロバイダー(CSP)。
BitLockerは、ハードウェアセキュリティテストインターフェイス(HSTI)、モダンスタンバイ、UEFIセキュアブート、TPMなどのテクノロジを活用して、OS、固定データ、およびリムーバブルデータドライブの暗号化を提供します。 Windowsは、既存のオプションを改善し、新しい戦略を提供することにより、データ保護を一貫して改善します。
暗号化されたハードドライブ
暗号化されたハードドライブは、BitLockerドライブ暗号化によって提供される高速暗号化を使用して、データのセキュリティと管理を強化します。
暗号化操作をハードウェアにオフロードすることにより、暗号化されたハードドライブはBitLockerのパフォーマンスを向上させ、CPU使用率と消費電力を削減します。暗号化されたハードドライブはデータをすばやく暗号化するため、BitLockerの展開は、生産性にほとんどまたはまったく影響を与えることなく、エンタープライズデバイス全体に拡張できます。
暗号化されたハードドライブは以下を提供します:
- パフォーマンスの向上:ドライブコントローラーに統合された暗号化ハードウェアにより、パフォーマンスを低下させることなく、ドライブをフルデータレートで動作させることができます。
- ハードウェアに基づく強力なセキュリティ:暗号化は常に「オン」であり、暗号化のキーがハードドライブから離れることはありません。ユーザー認証は、オペレーティングシステムとは関係なく、ロックが解除される前にドライブによって実行されます。
- 使いやすさ:暗号化はユーザーに対して透過的であり、ユーザーはそれを有効にする必要はありません。暗号化されたハードドライブは、オンボードの暗号化キーを使用して簡単に消去できます。ドライブ上のデータを再暗号化する必要はありません。
- 所有コストの削減:BitLockerは既存のインフラストラクチャを利用して回復情報を格納するため、暗号化キーを管理するための新しいインフラストラクチャは必要ありません。暗号化プロセスにプロセッササイクルを使用する必要がないため、デバイスはより効率的に動作します。
暗号化されたハードドライブは、ハードウェアレベルで自己暗号化され、フルディスクハードウェア暗号化を可能にする新しいクラスのハードドライブです。
メールの暗号化
電子メールの暗号化(Windows S / MIMEとも呼ばれる)を使用すると、ユーザーは送信電子メールメッセージと添付ファイルを暗号化できるため、証明書とも呼ばれるデジタルID(ID)を持つ目的の受信者のみがそれらを読み取ることができます。ユーザーはメッセージにデジタル署名できます。これにより、送信者の身元が確認され、メッセージが改ざんされていないことが確認されます。これらの暗号化されたメッセージは、ユーザーが組織内のユーザーや、暗号化証明書を持っている場合は外部の連絡先に送信できます。ただし、Windows 10メールアプリを使用している受信者は、メッセージがExchangeアカウントで受信され、対応する復号化キーを持っている場合にのみ、暗号化されたメッセージを読み取ることができます。
暗号化されたメッセージは、証明書を持っている受信者だけが読み取ることができます。暗号化されたメッセージが暗号化証明書を利用できない受信者に送信された場合、アプリは電子メールを送信する前にこれらの受信者を削除するように求めます。
Windows用のS / MIMEの構成の詳細をご覧ください。
ネットワークセキュリティ
Windows 11は、さまざまな改善をもたらし、人々がほぼどこからでも自信を持って作業、学習、およびプレイできるようにすることで、ネットワークセキュリティの水準を引き上げます。新しいDNSおよびTLSプロトコルバージョンは、アプリケーション、Webサービス、およびゼロトラストネットワーキングに必要なエンドツーエンドの保護を強化します。ファイルアクセスは、SMB over QUICと、新しい暗号化および署名機能を備えた信頼できないネットワークシナリオを追加します。 Wi-FiとBluetoothの進歩により、他のデバイスへの接続の信頼性が高まります。 VPNおよびWindowsDefenderファイアウォールプラットフォームは、簡単に構成して迅速にデバッグするための新しい方法をもたらし、IT管理者とサードパーティソフトウェアがより効果的になることを保証します。
トランスポート層セキュリティ(TLS)
トランスポート層セキュリティ(TLS)は、インターネットで最も展開されているセキュリティプロトコルであり、データを暗号化して2つのエンドポイント間に安全な通信チャネルを提供します。 Windowsは、デフォルトで最新のプロトコルバージョンと強力な暗号スイートを優先し、サーバーセキュリティを強化するためのクライアント認証やアプリケーションパフォーマンスを向上させるためのセッション再開など、拡張アプリケーションの完全なスイートを提供します。
TLS 1.3はプロトコルの最新バージョンであり、Windows 11ではデフォルトで有効になっています。このバージョンは、廃止された暗号化アルゴリズムを排除し、古いバージョンよりもセキュリティを強化し、可能な限り多くのハンドシェイクを暗号化することを目的としています。ハンドシェイクは、接続ごとのラウンドトリップが平均で1つ少なく、パフォーマンスが高く、完全転送秘密と運用リスクの少ない5つの強力な暗号スイートのみをサポートします。 Windows11でTLS1.3(またはHTTP.SYS、WinInet、.NET、MsQUICなどを含むそれをサポートするWindowsコンポーネント)を使用しているお客様は、暗号化されたオンライン接続のプライバシーを強化し、待ち時間を短縮できます。接続のいずれかの側のクライアントまたはサーバーアプリケーションがTLS1.3をサポートしていない場合、WindowsはTLS1.2にフォールバックすることに注意してください。
DNSセキュリティ
Windows 11では、WindowsDNSクライアントは暗号化されたDNSプロトコルであるDNSoverHTTPSをサポートします。これにより、管理者は、ブラウジング動作をログに記録するパッシブオブザーバーであろうと、悪意のあるサイトにクライアントをリダイレクトしようとするアクティブアタッカーであろうと、デバイスがパス上の攻撃者から名前クエリを保護することを保証できます。ネットワーク境界に信頼が設定されていないゼロトラストモデルでは、信頼できる名前リゾルバーへの安全な接続が必要です。
Windows 11は、グループポリシーと、DNS overHTTPの動作を構成するためのプログラムによる制御を提供します。その結果、IT管理者は、既存のセキュリティモデルを拡張して、ゼロトラストなどの新しいセキュリティモデルを採用できます。 DNS over HTTPプロトコルを義務付けることができ、安全でないDNSを使用するデバイスがネットワークリソースへの接続に失敗することを保証します。 IT管理者は、ネットワークエッジアプライアンスがプレーンテキストのDNSトラフィックを検査することを信頼されているレガシー展開にDNS overHTTPを使用しないオプションもあります。既定では、Windows 11は、リゾルバーがDNS overHTTPを使用する必要があるローカル管理者に任せます。
DNS暗号化のサポートは、名前解決ポリシーテーブル(NRPT)、システムHOSTSファイル、ネットワークアダプターまたはネットワークプロファイルごとに指定されたリゾルバーなどの既存のWindowsDNS構成と統合されます。この統合により、Windows 11は、DNSセキュリティの強化によるメリットが既存のDNS制御メカニズムを低下させないようにすることができます。
Bluetooth保護
Windowsに接続されているBluetoothデバイスの数は増え続けています。 Windowsユーザーは、Bluetoothヘッドセット、マウス、キーボード、およびその他のアクセサリを接続し、ストリーミング、生産性、およびゲームを楽しむことで、日常のPCエクスペリエンスを向上させます。 Windowsは、クラシック接続とLEセキュア接続、セキュアシンプルペアリング、クラシックとLEレガシーペアリングなど、すべての標準Bluetoothペアリングプロトコルをサポートしています。 Windowsは、ホストベースのLEプライバシーも実装しています。 Windows Updateは、Bluetooth Special Interest Group(SIG)標準の脆弱性レポートに準拠したOSおよびドライバーのセキュリティ機能、およびBluetoothコア業界標準で必要とされるものを超える問題をユーザーが最新の状態に保つのに役立ちます。マイクロソフトでは、Bluetoothアクセサリのファームウェアやソフトウェアも最新の状態に保つことを強くお勧めします。
IT管理環境には、Microsoft IntuneなどのMDMツールを介して管理できる多数のBluetoothポリシー(MDM、グループポリシー、およびPowerShell)があります。組織のセキュリティニーズをサポートしながら、Bluetoothテクノロジを使用するようにWindowsを構成できます。たとえば、ファイル転送をブロックしながら入力と音声を許可したり、暗号化標準を強制したり、Windowsの検出可能性を制限したり、最も機密性の高い環境でBluetoothを完全に無効にしたりすることができます。
Wi-Fi接続の保護
Windows Wi-Fiは、Wi-Fiネットワークに接続するときに、業界標準の認証および暗号化方式をサポートします。 WPA(Wi-Fi Protected Access)は、高度なデータ暗号化とより優れたユーザー認証を提供するためにWi-FiAllianceによって開発されたセキュリティ標準です。 Wi-Fi認証の現在のセキュリティ標準はWPA3です。これは、より安全で信頼性の高い接続方法を提供し、WPA2および古いセキュリティプロトコルに取って代わります。 Opportunistic Wireless Encryption(OWE)は、ワイヤレスデバイスがパブリックWi-Fiホットスポットへの暗号化された接続を確立できるようにするテクノロジです。
WPA3は、Windows 11(WPA3パーソナルおよびWPA3エンタープライズ192ビットスイートB)でサポートされているほか、Wi-Fiホットスポットへの接続時のセキュリティを強化するためのOWE実装でもサポートされています。
Windows 11は、新しいH2Eプロトコルや強化されたサーバー証明書検証やEAP-TLS認証を使用した認証用のTLS1.3を含むWPA3エンタープライズサポートなど、WPA3セキュリティの追加要素を有効にすることでWi-Fiセキュリティを強化します。 Windows 11は、マイクロソフトパートナーに、新しいデバイスに最高のプラットフォームセキュリティをもたらす機能を提供します。
WPA3は、Wi-Fi認証のWFAによる必須要件になりました。
Windowsディフェンダーファイアウォール
高度なセキュリティを備えたWindowsDefenderファイアウォールは、階層型セキュリティモデルの重要な部分です。ホストベースの双方向ネットワークトラフィックフィルタリングを提供し、デバイスが接続されているネットワークのタイプに基づいて、ローカルデバイスに出入りする不正なトラフィックをブロックします。
Windows11のWindowsDefender Firewallには、次の利点があります。
- ネットワークセキュリティの脅威のリスクを軽減:Windows Defender Firewallは、IPアドレス、ポート、プログラムパスなどの多くのプロパティによるトラフィックを制限または許可するルールを使用して、デバイスの攻撃対象領域を軽減します。デバイスの攻撃対象領域を減らすと、管理性が向上し、攻撃が成功する可能性が低くなります。
- 機密データと知的財産を保護する:インターネットプロトコルセキュリティ(IPsec)との統合により、Windows Defender Firewallは、認証されたエンドツーエンドのネットワーク通信を実施する簡単な方法を提供します。信頼できるネットワークリソースへのスケーラブルな階層型アクセスを提供し、データの整合性を強化し、オプションでデータの機密性を保護します。
- 既存の投資の価値を拡張します。WindowsDefenderファイアウォールはオペレーティングシステムに含まれているホストベースのファイアウォールであるため、追加のハードウェアやソフトウェアは必要ありません。 Windows Defender Firewallは、文書化されたアプリケーションプログラミングインターフェイス(API)を通じて、既存のMicrosoft以外のネットワークセキュリティソリューションを補完するようにも設計されています。
Windows 11を使用すると、WindowsDefenderファイアウォールの分析とデバッグが容易になります。 IPsecの動作は、インボックスクロスコンポーネントであるパケットモニター(pktmon)と統合されています
Windows用のネットワーク診断ツール。さらに、Windows Defender Firewallのイベントログが拡張され、特定のイベントの原因となった特定のフィルターを監査で識別できるようになりました。これにより、サードパーティのツールに依存することなく、ファイアウォールの動作と豊富なパケットキャプチャの分析が可能になります。
仮想プライベートネットワーク(VPN)
組織は、信頼性が高く、安全で、管理しやすい仮想プライベートネットワーク(VPN)ソリューションを提供するために、長い間Windowsに依存してきました。 Windows VPNクライアントプラットフォームには、組み込みVPNプロトコル、構成サポート、共通VPNユーザーインターフェイス、およびカスタムVPNプロトコルのプログラミングサポートが含まれています。 VPNアプリは、最も人気のあるエンタープライズVPNゲートウェイ用のアプリを含め、エンタープライズVPNとコンシューマーVPNの両方のMicrosoftStoreで入手できます。
Windows 11では、最も一般的に使用されるVPNコントロールをWindows11のクイックアクションペインに統合しました。クイックアクションペインから、ユーザーはのステータスを確認できます。
彼らのVPNは、VPNトンネルを開始および停止し、ワンクリックで最新の設定アプリに移動して、より詳細に制御できます。
Windows VPNプラットフォームは、Azure Active Directory(Azure AD)および条件付きアクセスに接続して、Azure ADを介した多要素認証(MFA)を含むシングルサインオンを実現します。 VPNプラットフォームは、従来のドメイン結合認証もサポートしています。 Microsoft Intuneおよびその他のモバイルデバイス管理(MDM)プロバイダーによってサポートされています。柔軟なVPNプロファイルは、組み込みプロトコルとカスタムプロトコルの両方をサポートし、複数の認証方法を構成でき、必要に応じて自動的に開始することも、エンドユーザーが手動で開始することもできます。また、信頼できる外部サイトを除いて、スプリットトンネルVPNと排他的VPNをサポートします。 。
ユニバーサルWindowsプラットフォーム(UWP)VPNアプリを使用すると、エンドユーザーが古いバージョンのVPNクライアントにとらわれることはありません。ストアのVPNアプリは、必要に応じて自動的に更新されます。当然、更新はIT管理者の管理下にあります。
Windows VPNプラットフォームは、AzureVPNなどのクラウドベースのVPNプロバイダー向けに調整および強化されています。 AAD認証、Windowsユーザーインターフェイス統合、配管IKEトラフィックセレクター、サーバーサポートなどの機能はすべてWindowsVPNプラットフォームに組み込まれています。 NS Windows VPNプラットフォームへの統合により、IT管理者のエクスペリエンスが簡素化されます。ユーザー認証はより一貫性があり、ユーザーはVPNを簡単に見つけて制御できます。
SMBファイルサービス
SMBおよびファイルサービスは、商業および公共部門のエコシステムで最も一般的なWindowsワークロードです。ユーザーとアプリケーションは、大小の組織を運営するファイルにアクセスするためにSMBに依存しています。 Windows 11では、SMBプロトコルに、AES-256ビット暗号化、高速SMB署名、リモートディレクトリメモリアクセス(RDMA)ネットワーク暗号化、まったく新しいシナリオである信頼できないネットワーク用のSMB over QUICなど、今日の脅威に対応するための重要なセキュリティ更新プログラムがあります。
SMB暗号化は、SMBデータのエンドツーエンド暗号化を提供し、内部ネットワークでの盗聴の発生からデータを保護します。 Windows11ではAES-256-GCMと SMB3.1.1暗号化用のAES-256-CCM暗号化スイート。 Windowsは、このより高度な暗号化方式を必要とする別のコンピューターに接続するときに、この暗号化方式を自動的にネゴシエートします。また、クライアントで必須にすることもできます。
Windows 11 Enterprise、Education、およびPro Workstation SMB Directは、暗号化をサポートするようになりました。ビデオレンダリング、データサイエンス、非常に大きなファイルなどの要求の厳しいワークロードの場合、従来のTCPと同じ安全性とRDMAのパフォーマンスで操作できるようになりました。以前は、SMB暗号化を有効にすると、直接データ配置が無効になり、RDMAがTCPと同じくらい遅くなりました。現在、データは配置前に暗号化されているため、AES-128およびAES-256で保護されたパケットプライバシーを追加する一方で、パフォーマンスの低下は比較的小さくなります。
Windows 11では、SMB署名用のAES-128-GMACが導入されています。 Windowsは、別のコンピューターに接続するときに、このパフォーマンスの高い暗号方式を自動的にネゴシエートします。
それをサポートします。署名は、リレー、スプーフィングなどの一般的な攻撃を防ぎ、クライアントがActiveDirectoryドメインコントローラーと通信するときにデフォルトで必要になります。
最後に、Windows 11は、TCPネットワークトランスポートの代替手段であるSMB over QUIC(プレビュー)を導入し、インターネットなどの信頼できないネットワークを介したエッジファイルサーバーへの安全で信頼性の高い接続と、内部ネットワークでの安全性の高い通信を提供します。 QUICはIETFで標準化されたプロトコルであり、TCPと比較すると多くの利点がありますが、最も重要なことは、常にTLS1.3と暗号化が必要です。 SMB over QUICは、在宅勤務者、モバイルデバイスユーザー、および高度なセキュリティ組織向けに「SMBVPN」を提供します。トンネル内の認証と承認を含むすべてのSMBトラフィックが、基盤となるネットワークに公開されることはありません。 SMBはQUICトンネル内で正常に動作します。つまり、ユーザーエクスペリエンスは変わりません。 SMB over QUICは、Windows 11がWindowsファイルサーバーにアクセスし、最終的にはAzureFilesとサードパーティにアクセスするためのゲームを変える機能になります。
ウイルスと脅威の保護
今日のサイバー脅威の状況はかつてないほど複雑になっています。この新しい世界には、脅威の防止、検出、および対応に対する新しいアプローチが必要です。 Microsoft Defender Antivirusは、Windows 11に組み込まれている他の多くの機能とともに、現在および新たに発生する脅威から顧客を保護するための最前線にあります。
Microsoft Defender Antivirus
Microsoft Defender Antivirusは、Windows10およびWindows11のすべてのバージョンに含まれている次世代の保護ソリューションです。Windowsを起動した瞬間から、Microsoft Defender Antivirusはマルウェア、ウイルス、およびセキュリティの脅威を継続的に監視します。このリアルタイムの保護に加えて、更新が自動的にダウンロードされ、デバイスを安全に保ち、脅威から保護します。別のウイルス対策アプリをインストールしてオンにすると、Microsoft DefenderAntivirusは自動的にオフになります。他のアプリをアンインストールすると、Microsoft DefenderAntivirusが再びオンになります。
Microsoft Defender Antivirusには、リアルタイムの動作ベースのヒューリスティックなウイルス対策保護が含まれています。常時オンのコンテンツスキャン、ファイルとプロセスの動作の監視、およびその他のヒューリスティックのこの組み合わせは、セキュリティの脅威を効果的に防止します。 Microsoft Defender Antivirusは、マルウェアと脅威を継続的にスキャンし、デバイスに悪影響を与えると見なされるがマルウェアとは見なされないアプリケーションである潜在的に不要なアプリケーション(PUA)を検出してブロックします。 Microsoft Defender Antivirusの常時接続デバイス防止は、クラウドが提供する保護と統合されており、新たに出現する脅威をほぼ瞬時に検出してブロックするのに役立ちます。 9
攻撃対象領域の削減
WindowsとWindowsServerの両方で利用可能な攻撃対象領域削減ルールは、デバイスまたはネットワークを危険にさらすために悪用されることが多いソフトウェアの動作を防ぐのに役立ちます。攻撃対象領域の数を減らすことで、組織の全体的な脆弱性を減らすことができます。管理者は、次のような特定の動作をブロックするのに役立つ特定の攻撃対象領域削減ルールを構成できます。
- ファイルのダウンロードまたは実行を試みる実行可能ファイルおよびスクリプトの起動
- 難読化された、またはその他の疑わしいスクリプトの実行
- 通常の日常業務ではアプリが通常開始しない動作を実行する
たとえば、攻撃者はUSBドライブから署名されていないスクリプトを実行しようとしたり、Officeドキュメント内のマクロにWin32APIを直接呼び出しさせたりする可能性があります。攻撃対象領域の削減ルールは、これらの種類の危険な動作を抑制し、デバイスの防御姿勢を改善することができます。
包括的な保護を行うには、Microsoft Edgeのハードウェアベースの分離を有効にし、アプリケーション、フォルダー、デバイス、ネットワーク、およびファイアウォール全体の攻撃対象領域を減らすための手順に従います。
改ざん防止
ランサムウェアなどの攻撃は、標的となるデバイスでウイルス対策保護などのセキュリティ機能を無効にしようとします。悪意のある人物は、セキュリティ機能を無効にして、ユーザーのデータに簡単にアクセスしたり、マルウェアをインストールしたり、ブロックされることを恐れずにユーザーのデータ、ID、デバイスを悪用したりすることを好みます。改ざん防止は、この種の活動を防ぐのに役立ちます。
改ざん防止機能により、マルウェアは次のようなアクションを実行できなくなります。
- ウイルスと脅威の保護を無効にする
- リアルタイム保護を無効にする
- 行動監視をオフにする
- ウイルス対策(IOfficeAntivirus(IOAV)など)を無効にする
- クラウドが提供する保護を無効にする
- セキュリティインテリジェンスの更新の削除
改ざん防止の詳細。
ネットワーク保護
Windowsのネットワーク保護は、インターネット上のフィッシング詐欺、エクスプロイト、およびその他の悪意のあるコンテンツをホストする可能性のある危険なIPアドレスおよびドメインにユーザーがアクセスするのを防ぐのに役立ちます。ネットワーク保護は攻撃対象領域の削減の一部であり、ユーザーに追加の保護層を提供するのに役立ちます。ネットワーク保護は、レピュテーションベースのサービスを使用して、潜在的に有害でレピュテーションの低いドメインおよびIPアドレスへのアクセスをブロックします。エンタープライズ環境では、ネットワーク保護はMicrosoft Defender for Endpointで最適に機能します。これは、より大規模な調査シナリオの一部として保護イベントの詳細なレポートを提供します。
ネットワークを保護する方法の詳細をご覧ください。
制御されたフォルダアクセス
特定のフォルダーへのアプリのアクセスを管理することで、特定のフォルダー内の貴重な情報を保護できます。信頼できるアプリのみが保護されたフォルダーにアクセスできます。保護されたフォルダーは、制御されたフォルダーアクセスが構成されているときに指定されます。通常、ドキュメント、画像、ダウンロードに使用されるフォルダなど、一般的に使用されるフォルダは、管理対象フォルダのリストに含まれています。
制御されたフォルダーアクセスは、信頼できるアプリのリストで機能します。信頼できるソフトウェアのリストに含まれているアプリは、期待どおりに機能します。信頼できるリストに含まれていないアプリは、保護されたフォルダー内のファイルに変更を加えることができません。
制御されたフォルダアクセスは、ランサムウェアなどの悪意のあるアプリや脅威からユーザーの貴重なデータを保護するのに役立ちます。 制御されたフォルダーアクセスの詳細をご覧ください。
エクスプロイト保護
エクスプロイト保護は、オペレーティングシステムのプロセスとアプリにいくつかのエクスプロイト軽減技術を自動的に適用します。エクスプロイト保護は、Microsoft Defender for Endpointで最適に機能します。これにより、組織は、一般的なアラート調査シナリオの一部として、エクスプロイト保護イベントとブロックに関する詳細なレポートを取得できます。個々のデバイスでエクスプロイト保護を有効にしてから、グループポリシーを使用して、XMLファイルを複数のデバイスに同時に配布できます。
デバイスで緩和策が検出されると、アクションセンターから通知が表示されます。会社の詳細と連絡先情報を使用して通知をカスタマイズできます。ルールを個別に有効にして、機能が監視する手法をカスタマイズすることもできます。
監査モードを使用して、エクスプロイト保護が有効になっている場合に組織に与える影響を評価できます。
Windows 11には、エクスプロイト保護のための構成オプションが用意されています。グループポリシーを使用して、ユーザーがこれらの特定のオプションを変更できないようにすることができます。
エクスプロイトからデバイスを保護するの詳細をご覧ください。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreenは、フィッシング、マルウェアのWebサイトとアプリケーション、および潜在的に悪意のあるファイルのダウンロードから保護します。
SmartScreenは、次の方法でサイトが悪意のある可能性があるかどうかを判断します。
- 訪問したWebページを分析して、疑わしい動作の兆候を探します。ページが疑わしいと判断した場合は、注意を促す警告ページが表示されます。
- 訪問したサイトを、報告されたフィッシングサイトおよび悪意のあるソフトウェアサイトの動的リストと照合します。一致するものが見つかると、Microsoft Defender SmartScreenは、サイトが悪意のある可能性があることをユーザーに知らせる警告を表示します。
SmartScreenは、ダウンロードしたアプリまたはアプリインストーラーが悪意のある可能性があるかどうかも判断します。
- ダウンロードしたファイルを、安全でないことがわかっている悪意のあるソフトウェアサイトおよびプログラムのリストと照合します。一致するものが見つかると、SmartScreenはサイトが悪意のある可能性があることをユーザーに警告します。
- ダウンロードしたファイルを、多くのWindowsユーザーによく知られダウンロードされているファイルのリストと照合します。ファイルがそのリストにない場合は、注意を促す警告が表示されます。
アプリとブラウザーの制御セクションには、Windows DefenderSmartScreenの情報と設定が含まれています。 IT管理者とITプロフェッショナルは、Windows Defender SmartScreen documentation libraryドキュメントライブラリで構成ガイダンスを入手できます
エンドポイント用のMicrosoftDefender
Windows E5のお客様は、エンタープライズセキュリティチームが高度な脅威を検出、調査、および対応するのに役立つエンタープライズエンドポイント検出および応答機能であるMicrosoft Defender forEndpointの恩恵を受けています。専任のセキュリティ運用チームを持つ組織は、Defender forEndpointが提供する豊富なイベントデータと攻撃の洞察を使用してインシデントを調査できます。 Defender for Endpointは、次の要素をまとめて、セキュリティインシデントのより完全な全体像を提供します。
- エンドポイント動作センサー:Windowsに組み込まれているこれらのセンサーは、オペレーティングシステムから動作信号を収集して処理し、このセンサーデータをMicrosoft Defender forEndpointのプライベートな分離されたクラウドインスタンスに送信します。
- クラウドセキュリティ分析:Windowsエコシステム全体でビッグデータ、デバイス学習、独自のMicrosoftオプティクス、Microsoft 365やオンラインアセットなどのエンタープライズクラウド製品を活用して、行動信号を洞察、検出、高度な対応への推奨応答に変換します脅威。
- 脅威インテリジェンス:マイクロソフトの脅威インテリジェンスは、毎日何兆ものセキュリティ信号によって通知されます。セキュリティの専門家からなるグローバルチーム、最先端の人工知能と機械学習を組み合わせることで、他の人が見逃している脅威を見ることができます。当社の脅威インテリジェンスは、お客様に比類のない保護を提供するのに役立ちます。
Defender for Endpointは、Microsoft 365 Defenderの一部でもあります。これは、エンドポイント、ID、電子メール、およびアプリケーション全体の検出、防止、調査、および応答をネイティブに調整して、高度な攻撃に対する統合された保護を提供する、侵害の前後の統合されたエンタープライズ防御スイートです。
エンドポイント用のMicrosoftDefender および Microsoft 365 Defender 。
©2021 MicrosoftCorporation。無断複写・転載を禁じます。
User Review
( votes)References
- Microsoft Security Signals、2021年9月。
- 生体認証センサーと互換性のあるハードウェアが必要です。
- Windows 10 Pro以降は、MicrosoftEdgeのApplicationGuard保護をサポートしています。 Microsoft Defender Application Guard forOfficeにはWindows10 Enterpriseが必要であり、Microsoft 365E5またはMicrosoft365E5セキュリティ
- AndroidまたはiOS用の無料のMicrosoftAuthenticatorアプリを入手しますhttps://www.microsoft.com/en-us/security/mobile-authenticator-app
- Windows Helloは、顔認識、指紋、PINなどの多要素認証をサポートしています。指紋リーダー、照光式ITセンサー、その他の生体認証センサー、対応デバイスなどの専用ハードウェアが必要です。
- サブスクリプションは別売りです。
- 詳細:Microsoft Plutonプロセッサに会う– WindowsPCの将来のために設計されたセキュリティチップ
- 動的ルートオブトラスト測定とSMM分離
- Microsoft DefenderAntivirusによる次世代の保護の詳細.