封鎖!最大限のセキュリティのためにWindows10を強化する

マイクロソフトがWindows10をその前身のどれよりも安全にし、セキュリティグッズを詰め込んだと聞いたことがあるかもしれません。あなたが知らないかもしれないことは、これらの自慢のセキュリティ機能のいくつかが箱から出して利用できないか、追加のハードウェアを必要とするということです-あなたはあなたが交渉したレベルのセキュリティを得ていないかもしれません。

Credential Guardなどの機能は、Windows 10の特定のエディションでのみ使用できますが、Windows Helloによって約束された高度な生体認証には、サードパーティのハードウェアへの多額の投資が必要です。 Windows 10はこれまでで最も安全なWindowsオペレーティングシステムかもしれませんが、セキュリティに精通した組織(および個々のユーザー)は、最適なセキュリティを実現するために必要な機能のロックを解除するために、次のハードウェアとWindows10エディションの要件を念頭に置く必要があります。

注:現在、Windows 10には4つのデスクトップエディション(Home、Pro、Enterprise、Education)があり、それぞれに複数のバージョンがあり、さまざまなレベルのベータ版とプレビューソフトウェアを提供しています。のWoodyLeonardは、使用するWindows10のバージョンを分析しています。次のWindows10セキュリティガイドは、InsiderPreviewsやLongTerm ServicingBranchではなく標準のWindows10インストールに焦点を当てており、必要に応じて記念日更新プログラムが含まれています。

適切なハードウェア

Windows 10は、要求の厳しい最小ハードウェア要件で、幅広いネットをキャストします。次のものがあれば、Win7 / 8.1からWin10にアップグレードできます:1GHz以上のプロセッサ、2GBのメモリ(Anniversary Updateの場合)、16GB(32ビットOSの場合)または20GB(64ビットOSの場合) )ディスク容量、WDDM1.0ドライバーを搭載したDirectX9グラフィックカード以降、および800 x 600解像度(7インチ以上の画面)のディスプレイ。これは、過去10年間のほとんどすべてのコンピューターを表しています。

ただし、上記の最小要件ではWindows 10の暗号化ベースの機能の多くがサポートされないため、ベースラインマシンが完全に安全であるとは期待しないでください。Win10の暗号化機能には、暗号化用の安全なストレージ領域を提供するトラステッドプラットフォームモジュール2.0が必要です。キーを使用し、パスワードの暗号化、スマートカードの認証、不正行為を防止するためのメディア再生の保護、VMの保護、ハードウェアとソフトウェアの更新の改ざんからの保護などの機能に使用されます。

最新のAMDおよびIntelプロセッサ(Intel Management Engine、Intel Converged Security Engine、AMD Security Processor)はすでにTPM 2.0をサポートしているため、過去数年間に購入したほとんどのマシンに必要なチップが搭載されています。たとえば、IntelのvProリモート管理サービスは、TPMを使用してリモートPCの修理を承認します。ただし、アップグレードするシステムにTPM 2.0が存在するかどうかを確認することは価値があります。特に、AnniversaryUpdateではファームウェアまたは個別の物理チップとしてTPM2.0のサポートが必要です。新しいPC、またはWindows 10を最初からインストールするシステムには、最初からTPM 2.0が必要です。つまり、出荷時にハードウェアベンダーによって事前にプロビジョニングされた承認キー(EK)証明書が必要です。または、デバイスを構成して、証明書を取得し、最初の起動時にTPMに保存することもできます。

TPM 2.0をサポートしていない古いシステム(チップがインストールされていないか、TPM 1.2しかないほど古いため)では、TPM2.0対応のチップをインストールする必要があります。そうしないと、アニバーサリーアップデートにアップグレードできなくなります。

一部のセキュリティ機能はTPM1.2で機能しますが、可能な限りTPM2.0を入手することをお勧めします。TPM 1.2ではRSAおよびSHA-1ハッシュアルゴリズムのみが許可されており、SHA-1からSHA-2への移行が順調に進んでいることを考えると、TPM1.2に固執することには問題があります。TPM 2.0は、SHA-256と楕円曲線暗号をサポートしているため、はるかに柔軟性があります。

Unified Extensible Firmware Interface(UEFI)BIOSは、最も安全なWindows10エクスペリエンスを実現するための次の必須ハードウェアです。セキュアブートを許可するには、デバイスをUEFI BIOSを有効にして出荷する必要があります。これにより、既知のキーで署名されたオペレーティングシステムソフトウェア、カーネル、およびカーネルモジュールのみをブート時に実行できます。セキュアブートは、ルートキットとBIOSマルウェアが悪意のあるコードを実行するのをブロックします。セキュアブートには、UEFI v2.3.1エラッタBをサポートし、UEFI署名データベースにMicrosoftWindows認証局があるファームウェアが必要です。セキュリティの観点からは恩恵がありますが、Windows10対応のハードウェアで署名されていないLinuxディストリビューション(Linux Mintなど)を実行することが難しくなるため、MicrosoftがWindows10にセキュアブートを必須に指定することは論争の的になっています。

デバイスがUEFI2.31以降に準拠していない限り、アニバーサリーアップデートはインストールされません。

Windows10の機能とハードウェア要件の短いリスト
Windows10の機能 TPM 入出力メモリ管理ユニット 仮想化拡張機能 スラット UEFI 2.3.1 x64アーキテクチャの場合のみ
クレデンシャルガード 推奨 使用されていない 必須 必須 必須 必須
デバイスガード 使用されていない 必須 必須 必須 必須 必須
BitLocker 推奨 不要 不要 不要 不要 不要
構成可能なコードの整合性 不要 不要 不要 不要 推奨 推奨
Microsoft Hello 推奨 不要 不要 不要 不要 不要
VBS 不要 必須 必須 必須 不要 必須
UEFIセキュアブート 推奨 不要 不要 不要 必須 不要
測定されたブートによるデバイスの正常性の証明 TPM2.0が必要 不要 不要 不要 必須 必須

認証、アイデンティティの強化

パスワードのセキュリティは過去数年間で重要な問題でした。WindowsHelloは、生体認証ログインと2要素認証を統合および拡張して、パスワードなしでユーザーを「認識する」ため、パスワードのない世界に近づきました。Windows Helloは、Windows 10の最もアクセスしやすいセキュリティ機能とアクセスできないセキュリティ機能を同時に管理します。はい、すべてのWin10エディションで利用できますが、提供する機能を最大限に活用するには、かなりのハードウェア投資が必要です。

資格情報とキーを保護するために、HelloにはTPM1.2以降が必要です。ただし、TPMがインストールまたは構成されていないデバイスの場合、Helloはソフトウェアベースの保護を使用して資格情報とキーを保護できるため、ほとんどすべてのWindows10デバイスからWindowsHelloにアクセスできます。

ただし、Helloを使用する最善の方法は、生体認証データやその他の認証情報をオンボードTPMチップに保存することです。これは、ハードウェア保護により、攻撃者がそれらを盗むことがより困難になるためです。さらに、生体認証を最大限に活用するには、専用の照明付き赤外線カメラや専用の虹彩または指紋リーダーなどの追加のハードウェアが必要です。ほとんどのビジネスクラスのラップトップといくつかの消費者向けラップトップには指紋スキャナーが付属しているため、企業はWindows 10のどのエディションでもHelloを使い始めることができます。ただし、顔認識と網膜用の深度検知3Dカメラに関しては市場はまだ限られています。アイリススキャン用のスキャナーであるため、Windows Helloのより高度なバイオメトリクスは、日常の現実ではなく、ほとんどの人にとって将来の可能性です。

すべてのWindows10エディションで利用可能なWindowsHello Companion Devicesは、ユーザーが電話、アクセスカード、ウェアラブルなどの外部デバイスをHelloの1つ以上の認証要素として使用できるようにするためのフレームワークです。 Windows Hello CompanionDeviceを使用して複数のWindows10システム間でWindowsHello資格情報をローミングすることに関心のあるユーザーは、それぞれにProまたはEnterpriseがインストールされている必要があります。

Windows10には以前はMicrosoftPassportがあり、ユーザーはHello資格情報を介して信頼できるアプリケーションにログインできました。アニバーサリーアップデートにより、Passportは別個の機能として存在しなくなりましたが、Helloに組み込まれています。Fast Identity Online(FIDO)仕様を使用するサードパーティアプリケーションは、Helloを介したシングルサインオンをサポートできるようになります。たとえば、DropboxアプリはHelloを介して直接認証でき、MicrosoftのEdgeブラウザーでは、Helloとの統合をWebに拡張できます。サードパーティのモバイルデバイス管理プラットフォームでもこの機能をオンにすることができます。パスワードなしの未来が来ていますが、まだ完全ではありません。

マルウェアの侵入を防ぐ

Windows 10には、従来のウイルス対策を一変させるテクノロジーであるDeviceGuardも導入されています。 Device Guardは、信頼できるアプリケーションのみをインストールできるようにホワイトリストに依存して、Windows10デバイスをロックダウンします。プログラムは、ファイルの暗号化署名をチェックして安全であると判断されない限り、実行できません。これにより、署名されていないすべてのアプリケーションとマルウェアが実行できなくなります。 Device Guardは、Microsoft独自のHyper-V仮想化テクノロジに依存して、システム管理者がアクセスしたり改ざんしたりできないシールドされた仮想マシンにホワイトリストを保存します。 Device Guardを利用するには、マシンでWindows 10 EnterpriseまたはEducationを実行し、TPM、ハードウェアCPU仮想化、およびI / O仮想化をサポートする必要があります。 Device Guardは、セキュアブートなどのWindows強化に依存しています。

EnterpriseとEducationでのみ使用可能なAppLockerは、DeviceGuardとともに使用してコード整合性ポリシーを設定できます。たとえば、管理者は、Windowsストアのどのユニバーサルアプリケーションをデバイスにインストールできるかを制限することを決定できます。 

構成可能なコードの整合性は、実行中のコードが信頼され、賢明であることを確認するもう1つのWindowsコンポーネントです。カーネルモードコード整合性(KMCI)は、カーネルが署名されていないドライバーを実行するのを防ぎます。管理者は、認証局または発行者レベルでポリシーを管理できるほか、各バイナリ実行可能ファイルの個々のハッシュ値を管理できます。コモディティマルウェアの多くは署名されていない傾向があるため、コード整合性ポリシーを展開すると、組織は署名されていないマルウェアから即座に保護できます。

WindowsXP用のスタンドアロンソフトウェアとして最初にリリースされたWindowsDefenderは、Windows 8で、スパイウェア対策とウイルス対策を備えたMicrosoftのデフォルトのマルウェア保護スイートになりました。サードパーティのマルウェア対策スイートがインストールされると、Defenderは自動的に無効になります。競合するウイルス対策製品またはセキュリティ製品がインストールされていない場合は、すべてのエディションで利用可能で、特定のハードウェア要件がないWindowsDefenderがオンになっていることを確認してください。Windows 10 Enterpriseユーザー向けに、オンライン攻撃を検出するためのリアルタイムの行動脅威分析を提供するWindows Defender Advanced ThreatProtectionがあります。

データの保護

暗号化されたコンテナー内のファイルを保護するBitLockerは、Windows Vistaから登場しており、Windows 10ではこれまでになく優れています。AnniversaryUpdateを使用すると、暗号化ツールをPro、Enterprise、およびEducationエディションで使用できます。 Windows Helloと同様に、BitLockerは、TPMを使用して暗号化キーを保護する場合に最適に機能しますが、TPMが存在しないか構成されていない場合は、ソフトウェアベースのキー保護を使用することもできます。 BitLockerをパスワードで保護することは最も基本的な防御を提供しますが、より良い方法は、スマートカードまたは暗号化ファイルシステムを使用してファイル暗号化証明書を作成し、関連するファイルとフォルダーを保護することです。

システムドライブでBitLockerが有効になっていて、ブルートフォース保護が有効になっている場合、Windows 10は、指定された回数の不正なパスワードの試行後にPCを再起動し、ハードドライブへのアクセスをロックできます。ユーザーは、デバイスを起動してディスクにアクセスするために、48文字のBitLocker回復キーを入力する必要があります。この機能を有効にするには、システムにUEFIファームウェアバージョン2.3.1以降が必要です。

Windows Information Protection(以前のEnterprise Data Protection(EDP))は、Windows 10 Pro、Enterprise、またはEducationエディションでのみ使用できます。永続的なファイルレベルの暗号化と基本的な権利管理を提供すると同時に、Azure ActiveDirectoryおよび権利管理サービスとも統合します。情報保護には、設定を管理するために、何らかのモバイルデバイス管理(Microsoft IntuneまたはVMwareのAirWatchなどのサードパーティプラットフォーム)またはSystem Center Configuration Manager(SCCM)が必要です。管理者は、作業データにアクセスできるWindowsストアまたはデスクトップアプリケーションのリストを定義したり、それらを完全にブロックしたりできます。 Windows Information Protectionは、データにアクセスできるユーザーを制御して、偶発的な情報漏えいを防ぐのに役立ちます。 Active Directoryは管理を容易にするのに役立ちますが、情報保護を使用する必要はありません。マイクロソフトによると。

セキュリティ防御の仮想化

Credential Guardは、Windows 10 EnterpriseおよびEducationでのみ使用可能であり、仮想化ベースのセキュリティ(VBS)を使用して「秘密」を分離し、特権システムソフトウェアへのアクセスを制限できます。セキュリティ研究者は最近、保護を回避する方法を発見しましたが、これはパスザハッシュ攻撃をブロックするのに役立ちます。それでも、Credential Guardを使用する方が、まったく使用しないよりも優れています。x64システムでのみ実行され、UEFI2.3.1以降が必要です。Intel VT-x、AMD-V、SLATなどの仮想化拡張機能、およびIntel VT-d、AMD-Vi、BIOSロックダウンなどのIOMMUを有効にする必要があります。CredentialGuardのDeviceHealth Attestationを有効にするには、TPM 2.0をお勧めしますが、TPMが使用できない場合は、代わりにソフトウェアベースの保護を使用できます。

もう1つのWindows10 Enterprise and Education機能は、仮想セキュアモードです。これは、Windowsに保存されているドメイン資格情報を保護するHyper-Vコンテナーです。