アプリケーションとドライバーの制御

• 適用対象:

  Windows 11

スマート アプリ コントロール

スマート アプリ制御は、信頼されていないアプリケーションまたは署名されていないアプリケーションをブロックすることで、ユーザーが悪意のあるアプリケーションを実行できないようにします。 Smart App Control は、プロセス レベルで OS のコアに直接織り込まれたセキュリティの別のレイヤーを追加することで、以前の組み込みのブラウザー保護を超えています。 AI を使用すると、Smart App Control では、毎日更新された既存および新しいインテリジェンスに基づいて、プロセスが安全であると予測された場合にのみ、プロセスを実行できます。

スマート アプリ コントロールは、アプリケーションの安全性を予測するために App Control for Business で使用されるのと同じクラウドベースの AI に基づいて構築されているため、ユーザーはアプリケーションが安全で信頼性が高いという確信を持つことができます。 さらに、Smart App Control では、不明なスクリプト ファイルとマクロが Web からブロックされ、日常的なユーザーのセキュリティが大幅に向上します。

Microsoft では、Windows エコシステム内のアプリのセキュリティ、使いやすさ、クラウド インテリジェンスの対応を向上させるために、Smart App Control を大幅に改善してきました。 ユーザーは、毎月Windows Updateを介してデバイスを最新の状態に保つことで、Smart App Control の最新かつ最高のエクスペリエンスを得ることができます。

ユーザーが Smart App Control を有効にしてシームレスなエクスペリエンスを実現できるように、Microsoft の信頼されたルート プログラムのコード署名証明書を使用してアプリケーションに署名するよう開発者に依頼します。 開発者は、exe、dll、一時インストーラー ファイル、アンインストーラーなど、すべてのバイナリを含める必要があります。 信頼された署名は、信頼された証明書を使用して取得、保守、署名を行うプロセスを簡単かつ安全にします。

スマート アプリ制御は、エンタープライズ管理に登録されているデバイスで無効になります。 基幹業務アプリケーションを実行している企業は、引き続き App Control for Business を使用することをお勧めします。

詳細情報

• スマート アプリ コントロール

ビジネス向けアプリ コントロール

organizationは、デバイスで実行されるアプリケーションと同じくらい安全です。 アプリケーション制御では、すべてのコードが信頼できると見なされるアプリケーション信頼モデルとは対照的に、アプリは実行するために信頼を獲得する必要があります。 不要なコードや悪意のあるコードの実行を防ぐことで、アプリケーション制御は効果的なセキュリティ戦略の重要な部分です。 多くの組織では、実行可能ファイル ベースのマルウェアから保護するための最も効果的な手段の 1 つとしてアプリケーション制御が挙がっています。

App Control for Business (以前 は Windows Defender アプリケーション コントロールと呼ばれる) と AppLocker はどちらも Windows に含まれています。 App Control for Business は、Windows 向けの次世代のアプリ制御ソリューションであり、環境内で実行される内容を強力に制御できます。 以前のバージョンの Windows で AppLocker を使用していた組織は、より強力な保護のために App Control for Business に切り替えるかどうかを検討しながら、引き続きこの機能を使用できます。

Microsoft Intune^[4] 管理コンソールで App Control for Business を構成できます。これには、管理インストーラーとしてのIntuneの設定も含まれます。 Intuneには、App Control for Business の組み込みオプションと、Intuneがパッケージ化および展開するための XML ファイルとしてポリシーをアップロードする機能が含まれています。

詳細情報

• Windows のアプリケーション制御
• App Control for Business を使用してマネージド インストーラーによってデプロイされたアプリを自動的に許可する

管理者保護

ユーザーが Windows の管理者権限でサインインすると、システムに大きな変更を加えることができるため、全体的なセキュリティに影響を与える可能性があります。 これらの権限は、悪意のあるソフトウェアのターゲットになる可能性があります。

管理者保護は、これらの管理者権限を保護するために設計されたWindows 11の新しいセキュリティ機能です。 これにより、管理者は、ほとんどのタスクを管理特権なしで実行しながら、 Just-In-Time 管理者権限で必要なすべての機能を実行できます。 管理者保護の目的は、セキュリティで保護されたシームレスなエクスペリエンスを提供し、ユーザーが最低限必要な特権で動作できるようにすることです。

管理者保護が有効になっている場合、アプリに管理者権限などの特別なアクセス許可が必要な場合、ユーザーは承認を求められます。 承認が必要な場合、Windows Helloは、これらの要求を承認または拒否するための安全で簡単な方法を提供します。

注

管理者保護は現在プレビュー段階です。 以前のバージョンの Windows を実行しているデバイスについては、「 ユーザー アカウント制御 (UAC)」を参照してください。

Microsoft の脆弱なドライバー ブロックリスト

Windows カーネルは最も特権のあるソフトウェアであるため、マルウェアの作成者にとって魅力的なターゲットです。 Windows にはカーネルで実行されるコードに関する厳格な要件があるため、サイバー犯罪者は通常、カーネル ドライバーの脆弱性を悪用してアクセスを取得します。 Microsoft は、エコシステム パートナーと協力して、潜在的に脆弱なカーネル ドライバーを常に特定し、対応しています。 脆弱なバージョンのドライバーが実行されないようにするために、Windows には既定で ブロック ポリシー が有効になっています。 ユーザーは、Windows セキュリティ アプリからポリシーを構成できます。

詳細情報

• Microsoft が推奨するドライバー ブロックの規則

信頼された署名

信頼された署名は、Microsoft のフル マネージドのエンドツーエンドの署名ソリューションであり、署名プロセスを簡素化し、サードパーティの開発者がアプリケーションを簡単に構築および配布できるようにします。

詳細情報

• 信頼された署名とは