状態の分離と分離
状態の分離と分離により、オペレーティング システムが信頼された状態に起動するために必要なものなど、HoloLens 2 オペレーティング システムの重要な部分が変更されないように保護します。 分離テクノロジを使用すると、信頼されていないアプリは、システムのセキュリティに影響を与えないように、分離されたサンドボックス環境に移動されます。
状態の分離
HoloLens 2の状態分離により、セキュリティと保守性 (更新) が大幅に向上し、アプリケーション データの保護に役立ちます。 状態の分離は次のように機能します。
- コア オペレーティング システムは、コア オペレーティング システム ボリューム (オペレーティング システムを更新する信頼済みまたは検証済みの Microsoft OS) に格納されます。
- 実行時に変更できるオペレーティング システムの部分 (ダウンロード可能なドライバーや構成など) では、さらに状態の分離を使用してデータをパーティション分割し、セキュリティで保護された別のストレージの場所に格納します。
- セキュリティで保護された各ストレージの場所には個別のセキュリティ ポリシーが関連付けられています。次のセクションで詳しく説明するように、さまざまなセキュリティ上の利点が提供されます。
状態分離の利点
- セキュリティ: HoloLens 2で取り上げられた状態分離により、プラットフォームの整合性、マルウェアの耐性、ユーザー データ保護が大幅に向上します。 オペレーティング システムの変更不可能な部分を分離し、読み取り専用または整合性を保護することで、状態の分離により、マルウェアがコールド 再起動中に永続化しにくくなります。
- Updates: HoloLens 2では、コア オペレーティング システムが変更不可能になり、デバイス上の残りのデータからクリーンに分離されると、更新プログラムはシンプルで信頼性が高くなります。 さらに、状態分離は、オペレーティング システムを 1 つのステップ (原子単位) で置き換えることができる、劇的に高速な更新のための重要な基礎を築きます。
- デバイスのリセット: HoloLens 2リセットすると、デバイス上のユーザー生成データとユーザー アプリ データ (内部ストレージと外部ストレージの場所を含む) がクリアされます。 現在の OS アプリとセキュリティ クリティカルなアプリと、現在の Microsoft と OEM でカスタマイズされたアプリ (プレインストール済み) が保持されます。 これらのプレインストールされたアプリは、リセットが完了した後にデバイスでリハイドレートできます
状態の分離状態
状態の分離により、オペレーティング システムは Microsoft の信頼されたデバイス コンポーネントによってのみ変更でき、再起動後も高い値の状態のみを保持できます。その他のシステム状態はブート セッション中にのみ存在し、再起動後に破棄されます。 状態を分離すると、デバイスが工場出荷時の状態にすばやく戻ります。 Windows Holographic for Business状態は、次の個別のカテゴリに分割できます。
- コア オペレーティング システム – 変更不可能な状態
- オペレーティング システム データ – 変更可能な状態
- ユーザー データ – 変更可能な状態
これらの各HoloLens 2動作状態については、次のセクションで説明します。
コア オペレーティング システム
変更できない状態には、変更不可能な実行可能ファイルとデータが含まれており、更新プログラムのインストール中にのみ Microsoft によって変更できます。 このようなコア オペレーティング システムの更新中に、最新の目的の動作状態を含む新しいイメージが有効になります。 変更できない状態は、読み取り専用としてマークされます (または、整合性で保護されています)、管理者特権を持つマルウェアの永続化を防ぎます。 次の実行可能ファイルとデータは、変更できない状態で保護されます。
- Windows Holographic 受信トレイ ドライバー
- オペレーティング システム バイナリ
- Windows 受信トレイ ドライバー
- Windows レジストリ ハイブ (HKLM) に格納されている Windows Holographic の静的設定
- 例: HKLM は、マシンにインストールされているアプリの構成情報を格納します。 また、ハードウェアと対応するドライバーを検出するための情報も格納されます。 これらを不変 (整合性と読み取り専用で保護された) 状態で保護することで、コア オペレーティング システムが常に信頼された状態に起動します。 さらに、デバイスがリセットされると、この変更できないセクションにあるコンポーネントにのみデバイスが起動するようにすることができます。
オペレーティング システム データ
実行時に変更可能な実行可能ファイルとデータ (オペレーティング システム機能にとって重要ではない) は、データが破損または侵害されたときに破棄して再作成できることに注意してください。 価値の高い変更可能な状態は、オペレーティング システムによって保持するために機能的に必要であるか、オペレーティング システムのシャットダウン、またはサポートされている Windows オペレーティング システムとデバイスのシナリオによる再起動間で保持されることが予想されます。 高い値の変更可能な状態の例を次に示します。
- IT 管理構成されたグローバル デバイス設定 (すべてのユーザーの場所を無効にするなど)。
- Wi-Fi ネットワーク接続は、データ デバイスで記憶されたネットワークと関連する接続パスワードにアクセスします。
- 設定、ログを含むクラッシュ ダンプ。
- 新しく検出されたデバイスのオンデマンドでダウンロードされたドライバー。 HoloLens 2の高価値の変更可能な状態は、オペレーティング システムのデータ セキュリティの場所 (ディスク上の保存されたファイルとして、または永続化されたレジストリ ハイブ) に存在します。
ユーザー データ
状態の最後のカテゴリは、UWP アプリケーションまたはオペレーティング システムによって生成または永続化されるユーザー データを表します。 ダウンロード、ドキュメント、ビデオ、ユーザー プロファイル、HKEY_CURRENT_USER hive などの既知のすべてのユーザー フォルダーも、この場所に格納されます。 このデータは、適切な資格情報がないと抽出できません。データの保護方法の詳細については、「 暗号化とデータ保護」を参照してください。
隔離
このバランスを実現するために、HoloLens 2には、起動、ハードウェア制御、ログインなどの主要な機能に使用されるコア オペレーティング システムがあります。コア オペレーティング システム上で実行されるアプリケーションのセットは、プレインストールされているアプリケーションと UWP アプリの 2 つだけです。
コード署名
デジタル署名コードを使用すると、実行可能ファイルとスクリプトが信頼できるソースによって署名された後に変更されていないという実証が可能になり、信頼性と整合性が提供されます。 既定で信頼HoloLens 2機関は Microsoft と Microsoft Store です。 IT 管理者は、 ClientCertificateInstall と RootCATrustedCertificates CSP を使用して、デバイスに新しい証明書を追加できます。 また、 AllowAllTrustedApps ポリシー を使用して、他のサイドロードされた アプリまたは基幹業務アプリを信頼することもできます。 証明書は、"Device" を使用している場合は HKLM/Root に格納されるローカル コンピューター証明書ストアに存在し、"User" を使用している場合は HKCU に格納されます。
Defender 保護
HoloLens 2は、Microsoft サービスを使用して、ユーザーに高度なレベルのセキュリティを提供します。
Defender SmartScreen は、OS によって Windows Holographic で自動的に有効になり、フィッシングやマルウェア、および悪意のある可能性のあるファイルのダウンロードから Edge で保護されます。 ユーザーがオフにすることはできませんが、ポリシーを使用して無効にできます。
Defender Firewall は 、承認されていないネットワーク トラフィックがデバイスとの間で送受信されるのをブロックします。 これは既定で有効になっており、ローカル アクションまたはポリシーを使用して顧客が構成することはできません。
Windows Defender アプリケーション制御: HoloLens 2では、IT 管理者がアプリケーション制御ポリシーをデバイスにプッシュできるようにする WDAC がサポートされています。 詳細については、「MSFT Intune を使用した HoloLens 2 デバイスでの WDAC の使用」を参照してください。
IT 管理者は、これらのポリシーを使用して 、AllowSmartScreen とブラウザーの動作を通じて SmartScreen の動作 を管理できます。