ネットワークのセキュリティ
Windows 11は、ネットワーク セキュリティの機能を強化し、ユーザーがどこからでも安心して作業できるように包括的な保護を提供します。 organizationの攻撃対象を減らすために、Windows のネットワーク保護により、フィッシング詐欺、悪用、その他の悪意のあるコンテンツをホストする可能性のある危険な IP アドレスやドメインにアクセスできなくなります。 評判ベースのサービスを使用すると、ネットワーク保護によって、有害な可能性のある低評判ドメインと IP アドレスへのアクセスがブロックされます。
新しい DNS および TLS プロトコル バージョンは、アプリケーション、Web サービス、およびゼロ トラスト ネットワークに必要なエンドツーエンドの保護を強化します。 ファイル アクセスにより、QUIC 経由のサーバー メッセージ ブロックと、新しい暗号化と署名機能を備えた信頼されていないネットワーク シナリオが追加されます。 Wi-Fi とBluetoothの進歩により、他のデバイスへの接続に対する信頼も高くなります。 さらに、VPN および Windows ファイアウォール プラットフォームでは、ソフトウェアを簡単に構成およびデバッグするための新しい方法が提供されます。
エンタープライズ環境では、ネットワーク保護はMicrosoft Defender for Endpointで最適に機能します。これにより、大規模な調査シナリオの一部として保護イベントに関する詳細なレポートが提供されます。
詳細情報
トランスポート層セキュリティ (TLS)
トランスポート層セキュリティ (TLS) は一般的なセキュリティ プロトコルであり、転送中のデータを暗号化して、2 つのエンドポイント間でより安全な通信チャネルを提供します。 Windows では、既定で最新のプロトコル バージョンと強力な暗号スイートが有効になり、強化されたサーバー セキュリティのためのクライアント認証や、アプリケーションのパフォーマンス向上のためのセッション再開などの完全な拡張機能スイートが提供されます。 TLS 1.3 はプロトコルの最新バージョンであり、Windows では既定で有効になっています。 このバージョンは、古い暗号化アルゴリズムを排除し、古いバージョンよりもセキュリティを強化し、できるだけ多くの TLS ハンドシェイクを暗号化することを目的とします。 ハンドシェイクは、接続ごとに平均 1 回のラウンド トリップでパフォーマンスが向上し、完全な前方秘密と運用リスクを軽減する強力な暗号スイートのみをサポートします。 TLS 1.3 を使用すると、暗号化されたオンライン接続のプライバシーと待機時間が短縮されます。 接続の両側のクライアントまたはサーバー アプリケーションが TLS 1.3 をサポートしていない場合、接続は TLS 1.2 にフォールバックします。 Windows では、UDP 通信に最新のデータグラム トランスポート層セキュリティ (DTLS) 1.2 が使用されます。
詳細情報
ドメイン ネーム システム (DNS) のセキュリティ
Windows 11では、Windows DNS クライアントは HTTPS 経由の DNS と TLS 経由の DNS、2 つの暗号化された DNS プロトコルをサポートします。 これにより、管理者は、パッシブ オブザーバーによる閲覧動作のログ記録や、悪意のあるサイトへのクライアントのリダイレクトを試みるアクティブな攻撃者など、パス上の攻撃者から名前クエリをデバイスで保護できます。 ネットワーク境界に信頼が配置されていないゼロ トラスト モデルでは、信頼された名前リゾルバーへのセキュリティで保護された接続が必要です。
Windows 11は、HTTPS 動作経由で DNS を構成するためのグループ ポリシーとプログラムによる制御を提供します。 その結果、IT 管理者は既存のセキュリティを拡張して、ゼロ トラストなどの新しいモデルを採用できます。 IT 管理者は、HTTPS プロトコル経由で DNS を要求し、安全でない DNS を使用するデバイスがネットワーク リソースへの接続に失敗するようにすることができます。 また、IT 管理者は、ネットワーク エッジ アプライアンスがプレーンテキスト DNS トラフィックを検査するために信頼されているレガシデプロイに対して、HTTPS 経由の DNS または TLS 経由の DNS を使用しないオプションもあります。 既定では、Windows 11は、リゾルバーが暗号化された DNS を使用する必要があるローカル管理者に延期されます。
DNS 暗号化のサポートは、名前解決ポリシー テーブル (NRPT)、システム ホスト ファイル、ネットワーク アダプターまたはネットワーク プロファイルごとに指定されたリゾルバーなどの既存の Windows DNS 構成と統合されます。 この統合は、DNS セキュリティ強化の利点が既存の DNS 制御メカニズムを後退さないことをWindows 11に役立ちます。
Bluetooth保護
Windows 11に接続されているBluetoothデバイスの数は増え続けます。 Windows ユーザーは、Bluetooth ヘッドセット、マウス、キーボード、その他のアクセサリを接続し、ストリーミング、生産性、ゲームを楽しむことで、日常の PC エクスペリエンスを向上させます。 Windows では、クラシックおよび LE セキュア接続、セキュリティで保護された簡単なペアリング、クラシックと LE のレガシ ペアリングなど、すべての標準のBluetoothペアリング プロトコルがサポートされています。 Windows では、ホスト ベースの LE プライバシーも実装されます。 Windows 更新プログラムを使用すると、ユーザーは、Bluetooth特殊関心グループ (SIG) とStandard脆弱性レポートに従って OS とドライバーのセキュリティ機能を最新の状態に保つだけでなく、Bluetoothコア業界標準で必要な問題を超える問題を維持できます。 Microsoft では、Bluetoothアクセサリのファームウェアとソフトウェアを最新の状態に保つよう強くお勧めします。
IT 管理環境には、構成サービス プロバイダー、グループ ポリシー、PowerShell を介して使用できる多数のポリシー設定があります。 これらの設定は、Microsoft Intune[4]のようなデバイス管理ソリューションを通じて管理できます。 organizationのセキュリティ ニーズをサポートしながら、Bluetooth テクノロジを使用するように Windows を構成できます。 たとえば、ファイル転送のブロック中に入力とオーディオを許可したり、暗号化標準を強制したり、Windows の検出可能性を制限したり、最も機密性の高い環境でBluetoothを完全に無効にしたりできます。
詳細情報
Wi-Fi 接続
Windows Wi-Fi では、Wi-Fi ネットワークに接続するときの業界標準の認証と暗号化方法がサポートされます。 WPA (Wi-Fi 保護アクセス) は、高度なデータ暗号化とより優れたユーザー認証を提供するために、Wi-Fi Alliance (WFA) によって定義されたセキュリティ標準です。
Wi-Fi 認証の現在のセキュリティ標準は WPA3 であり、WPA2 以前のセキュリティ プロトコルと比較して、より安全で信頼性の高い接続方法を提供します。 Windows では、WPA3 Personal、WPA3 Enterprise、WPA3 Enterprise 192 ビット スイート B の 3 つの WPA3 モードがサポートされています。
Windows 11には、新しい H2E プロトコルを使用した WPA3 Personal と WPA3 Enterprise 192 ビット スイート B が含まれています。Windows 11では、EAP-TLS 認証を使用した認証のための強化されたサーバー証明書検証と TLS 1.3 を含む WPA3 Enterprise もサポートされています。
また、ワイヤレス デバイスがパブリック Wi-Fi ホットスポットへの暗号化された接続を確立できるようにする技術である Opportunistic Wireless Encryption (OWE) も含まれています。
5G と eSIM
5G ネットワークでは、以前の世代の携帯ネットワーク プロトコルと比較して、より強力な暗号化と優れたネットワーク セグメント化が使用されます。 Wi-Fi とは異なり、5G アクセスは常に相互に認証されます。 アクセス資格情報は、デバイスに物理的に埋め込まれた EAL4 認定 eSIM に格納されるため、攻撃者が改ざんするのがはるかに困難になります。 5G と eSIM を組み合わせることで、セキュリティの強力な基盤が提供されます。
詳細情報
Windows ファイアウォール
Windows ファイアウォールは、階層化されたセキュリティ モデルの重要な部分です。 これは、ホストベースの双方向ネットワーク トラフィック フィルタリングを提供し、デバイスが接続されているネットワークの種類に基づいて、ローカル デバイスに送受信される未承認のトラフィックをブロックします。
Windows ファイアウォールには、次の利点があります。
- ネットワーク セキュリティの脅威のリスクを軽減します。Windows ファイアウォールは、IP アドレス、ポート、プログラム パスなど、多くのプロパティによってトラフィックを制限または許可するルールを使用して、デバイスの攻撃対象領域を減らします。 この機能により、管理が容易になり、攻撃が成功する可能性が低下します
- 機密データと知的財産を保護する: インターネット プロトコル セキュリティ (IPSec) と統合することで、Windows ファイアウォールは、認証されたエンドツーエンドのネットワーク通信を簡単に適用する方法を提供します。 信頼されたネットワーク リソースへのスケーラブルで階層化されたアクセスを提供し、データの整合性を強制し、必要に応じてデータの機密性を保護するのに役立ちます
- 既存の投資の価値を拡張する: Windows ファイアウォールはオペレーティング システムに含まれるホスト ベースのファイアウォールであるため、追加のハードウェアやソフトウェアは必要ありません。 Windows ファイアウォールは、ドキュメント化されたアプリケーション プログラミング インターフェイス (API) を通じて、既存の Microsoft 以外のネットワーク セキュリティ ソリューションを補完するように設計されています
Windows 11により、Windows ファイアウォールの分析とデバッグが容易になります。 IPSec 動作は、Windows 用のインボックスのクロスコンポーネント ネットワーク診断ツールである Packet Monitor と統合されています。 さらに、Windows ファイアウォール のイベント ログが強化され、監査によって、特定のイベントの原因となった特定のフィルターを確実に識別できます。 これにより、サードパーティのツールに依存することなく、ファイアウォールの動作とリッチ パケット キャプチャの分析が可能になります。
管理者は、ファイアウォール構成サービス プロバイダー (CSP) のプラットフォーム サポートを使用し、これらの設定を Windows エンドポイントに適用することで、Microsoft Intune[4]の [エンドポイント セキュリティ] ノードのファイアウォールおよびファイアウォール規則ポリシー テンプレートを使用して、より多くの設定を構成できます。
Windows 11 バージョン 24H2 の新機能
Windows のファイアウォール構成サービス プロバイダー (CSP) では、各アトミック ブロック内にファイアウォール規則を適用するための、すべてまたは何もないアプローチが適用されるようになりました。 以前は、CSP でブロック内のルールに問題が発生した場合、そのルールの処理を停止するだけでなく、後続のルールの処理も停止し、部分的にデプロイされたルール ブロックでセキュリティ ギャップが残る可能性があります。 ブロック内のルールが正常に適用できない場合、CSP は後続のルールの処理を停止し、そのアトミック ブロックからすべてのルールをロールバックし、部分的にデプロイされたルール ブロックのあいまいさを排除します。
詳細情報
仮想プライベート ネットワーク (VPN)
組織は、信頼性が高く、セキュリティで保護され、管理しやすい仮想プライベート ネットワーク (VPN) ソリューションを提供するために、長い間 Windows に依存してきました。 Windows VPN クライアント プラットフォームには、組み込みの VPN プロトコル、構成サポート、共通の VPN ユーザー インターフェイス、およびカスタム VPN プロトコルのプログラミング サポートが含まれています。 VPN アプリは、最も一般的なエンタープライズ VPN ゲートウェイ用のアプリを含め、エンタープライズ VPN とコンシューマー VPN の両方で Microsoft Store で利用できます。
Windows 11では、最も一般的に使用される VPN コントロールをWindows 11クイック アクション ウィンドウに統合しました。 [クイック アクション] ウィンドウから、ユーザーは VPN の状態を確認し、接続を開始および停止し、さらに多くのコントロールの [設定] を簡単に開くことができます。
Windows VPN プラットフォームは、Microsoft Entra ID [4] と条件付きアクセスに接続してシングル サインオンします。これには、Microsoft Entra IDを介した多要素認証 (MFA) が含まれます。 VPN プラットフォームでは、従来のドメイン参加認証もサポートされています。 Microsoft Intune[4] やその他のデバイス管理ソリューションでサポートされています。 柔軟な VPN プロファイルは、組み込みのプロトコルとカスタム プロトコルの両方をサポートします。 複数の認証方法を構成でき、必要に応じて自動的に開始することも、エンド ユーザーが手動で開始することもできます。 また、信頼された外部サイトの例外を含むスプリットトンネル VPN と排他的 VPN もサポートしています。
ユニバーサル Windows プラットフォーム (UWP) VPN アプリでは、エンド ユーザーが古いバージョンの VPN クライアントでスタックすることはありません。 ストアからの VPN アプリは、必要に応じて自動的に更新されます。 当然、更新プログラムは IT 管理者の管理下にあります。
Windows VPN プラットフォームは、Azure VPN などのクラウドベースの VPN プロバイダー向けに調整および強化されています。 Microsoft Entra ID認証、Windows ユーザー インターフェイス統合、プラミング IKE トラフィック セレクター、サーバーサポートなどの機能はすべて、Windows VPN プラットフォームに組み込まれています。 Windows VPN プラットフォームへの統合により、IT 管理者エクスペリエンスが簡単になります。 ユーザー認証の一貫性が高く、ユーザーは自分の VPN を簡単に見つけて制御できます。
詳細情報
サーバー メッセージ ファイル サービスをブロックする
サーバー メッセージ ブロック (SMB) とファイル サービスは、商用およびパブリック セクターのエコシステムで最も一般的な Windows ワークロードです。 ユーザーとアプリケーションは、すべてのサイズの組織を実行するファイルにアクセスするために SMB に依存しています。
Windows 11、AES-256 SMB 暗号化、高速 SMB 署名、リモート ディレクトリ メモリ アクセス (RDMA) ネットワーク暗号化、信頼されていないネットワークの QUIC 経由の SMB など、今日の脅威を満たす重要なセキュリティ更新プログラムが導入されました。
Windows 11 バージョン 24H2 の新機能
新しいセキュリティ オプションには、既定で必須の SMB 署名、NTLM ブロック、認証レート制限、その他のいくつかの機能強化が含まれます。
詳細情報