Windows 11/10のデバイスガードは、認証されていない、署名されていない、無許可のプログラムやオペレーティング システムを読み込ませないファームウェアです。何が供給され、実行のために RAM にロードされるかについて自己チェックを実行するオペレーティング システムがどのように必要かについてはすでに説明しました。多くの選択肢はありませんが、最近ではマルウェア対策ソフトウェアだけに依存するのは賢明とは言えません。マルウェア対策は別個のアプリケーションであり、メモリにロードされているアプリケーションのスキャンを開始する前に、メモリにロードする必要があります。
Device Guard は、コンピュータ システムをマルウェアに対して強化するために設計された主要な機能のグループです。その焦点は、既知の適切なコードのみが実行できるようにすることで、悪意のあるコードを防止することです。
以前にその方法について話しましたWindows はマルウェア対策オペレーティング システムです。これは、インターフェイスをロードするずっと前に、それ自体と他のアプリケーションに作用して、それらがコンピュータに必要な本物のアプリケーションであるかどうかを確認するため、それが実行されているコンピュータに一定レベルのセキュリティが追加されます。要するに、それは提供しますトラステッドブート、マルウェアを寄せ付けない起動時のマルウェア保護サービス。しかし、マルウェア作成者は賢く、特定のテクニックを使用してこの検査を回避できます。そこで Microsoft は、起動時のマルウェア対策の強化を約束する別の機能を導入しました。
Windows 11/10のDevice Guardとは何ですか
セキュリティ上の懸念が高まる中、マイクロソフトは現在、適切に署名されたアプリケーションとスクリプトのみをロードできるように、起動中および起動前でもハードウェア レベルで動作するファームウェアを導入します。これは呼ばれていますWindows デバイス ガード、OEM は喜んで自社の製造するコンピュータにそれをインストールする準備ができています。
Device Guard は、Windows 11/10 における Microsoft のトップセキュリティ機能の 1 つです。 Acer、富士通、HP、NCR、Lenovo、PAR、東芝などの OEM もこれを支持しています。
Device Guard は、ハードウェアとソフトウェアのセキュリティ機能を組み合わせたもので、一緒に構成すると、信頼されたアプリケーションのみを実行できるようにデバイスをロックダウンします。 Windows の新しい仮想化ベースのセキュリティを使用して、コード整合性サービスを Windows カーネル自体から分離し、企業が管理するポリシーによって定義された署名をサービスが使用して、何が信頼できるかを判断できるようにします。
Device Guard の基本機能窓ブート プロセス前およびブート プロセス中に、実行のためにメモリにロードされる各プロセスをテストすることになります。アプリケーションの適切な署名に基づいて本物かどうかをチェックし、適切な署名のないプロセスがメモリに読み込まれるのを防ぎます。
Microsoft の Device Guard は、ソフトウェア レベルではなく、ハードウェア レベルで組み込まれたテクノロジーを採用しているため、マルウェアの検出を見逃してしまう可能性があります。また、仮想化を利用して、メモリへのロードを何を許可し、何を禁止するかをコンピュータに指示する適切な意思決定プロセスを実現します。この分離により、たとえ攻撃者がガードがインストールされているシステムを完全に制御できたとしても、マルウェアを防ぐことができます。 Guard にはマルウェアの実行をブロックする独自のアルゴリズムがあるため、コードを実行しようとしても実行できません。
マイクロソフトは次のように述べています。
これにより、AppLocker、Bit9 など、管理者やマルウェアによる改ざんの影響を受ける従来のウイルス対策テクノロジーやアプリ制御テクノロジーに比べて、大きな利点が得られます。
Device Guard とウイルス対策ソフトウェアの比較
Windows ユーザーは引き続きインストールする必要がありますマルウェア対策ソフトウェア他のソースから発生したマルウェアをデバイス上で実行します。 Windows Device Guard がユーザーを保護するのは、ウイルス対策ソフトウェアがユーザーを保護する前に、起動時にメモリに読み込まれようとするマルウェアだけです。
新しい Device Guard はドキュメント内のマクロやスクリプトベースのマルウェアにアクセスできない可能性があるため、ユーザーは Guard に加えてマルウェア対策ソフトウェアを使用する必要があると Microsoft は述べています。 Windows には Windows Defender と呼ばれるマルウェア対策が組み込まれています。自分自身をより良く保護するために、これに依存したり、サードパーティのマルウェア対策ソフトウェアを使用したりすることもできます。
Device Guard は他のオペレーティング システムを許可しますか
Windows Guard は、起動時に事前に承認されたアプリケーションのみを処理します。 IT 開発者は、信頼できるベンダーによるすべてのアプリケーションを許可するか、各アプリケーションの承認を確認するように構成するかを選択できます。構成に関係なく、Windows Guard は承認されたアプリケーションのみを実行します。ほとんどの場合、承認されたアプリケーションはアプリケーション開発者の署名によって決まります。
Windows Guard では、デジタル署名が検証されていないオペレーティング システムのロードは許可されません。ただし、アプリケーションや OS の認定を取得するのにそれほど時間はかかりません。
読む:Windows 11 の Credential Guard とは何ですか
Device Guard に必要なハードウェアとソフトウェア
Device Guard を使用するには、次のハードウェアとソフトウェアをインストールして構成する必要があります。
- Device Guard は、Windows 11/10 を実行しているデバイスでのみ機能します。
- UEFI。これには、ファームウェア自体内でデバイスの整合性を保護するのに役立つセキュア ブートと呼ばれる機能が含まれています。
- トラステッドブート。これは、ルートキット攻撃からの保護に役立つアーキテクチャの変更です。
- 仮想化ベースのセキュリティ。機密性の高い Windows 11/10 プロセスを隔離する Hyper-V で保護されたコンテナー。
- パッケージインスペクターツール。クラシック Windows アプリケーションの署名が必要なファイルのカタログを作成するのに役立つツール。
読む:Device Guard および Credential Guard ハードウェア準備ツール
時間を割いて読んでくださいWindows におけるエンタープライズ データ保護。
![Realtek Audio Console がヘッドフォンを検出しない [修正]](https://rele.work/tech/hayato/wp-content/uploads/2024/07/realtek-headphone-not-detected.png)
