Windows 10の2018年4月の更新により、「コアすべてのユーザーに「分離」および「メモリ整合性」セキュリティ機能を提供します。これらは仮想化ベースのセキュリティを使用して、コアオペレーティングシステムプロセスを改ざんから保護しますが、アップグレードするユーザーに対してはメモリ保護がデフォルトでオフになっています。
コア分離とは何ですか?
Windows 10のオリジナルリリースでは、仮想化ベースのセキュリティ(VBS)機能は、「Device Guard」の一部としてWindows 10のEnterpriseエディションでのみ利用できました。2018年4月の更新により、Core IsolationはWindows 10のすべてのエディションに仮想化ベースのセキュリティ機能をもたらします。
一部のコア分離機能は、64ビットCPUやTPM 2.0チップの搭載など、特定のハードウェアおよびファームウェアの要件を満たすWindows 10 PCのデフォルト。また、PCがIntel VT-xまたはAMD-V仮想化テクノロジーをサポートし、PCのUEFI設定で有効になっている必要があります。
これらの機能が有効になっている場合、Windowsは通常のオペレーティングシステムから隔離されたシステムメモリの安全な領域を作成するハードウェア仮想化機能。 Windowsは、この安全な領域でシステムプロセスとセキュリティソフトウェアを実行できます。これにより、重要なオペレーティングシステムプロセスが、セキュリティで保護された領域外で実行されているものによって改ざんされるのを防ぎます。
マルウェアがPCで実行されていて、これらのWindowsプロセスをクラックできるエクスプロイトである仮想化ベースのセキュリティは、攻撃からそれらを分離する追加の保護層です。
関連する: Windows 10の2018年4月アップデートのすべてが新しくなりました
メモリの完全性とは
Windows 10のインターフェイスで「メモリの整合性」と呼ばれる機能は、Microsoftのドキュメントでは「ハイパーバイザー保護コード整合性」(HVCI)とも呼ばれます。
2018年4月の更新プログラムにアップグレードしたPCでは、メモリの整合性は既定で無効になっていますが、有効にすることができます。今後のWindows 10の新規インストールでは、デフォルトで有効になります。
この機能は、コア分離のサブセットです。 Windowsは通常、デバイスドライバーおよび低レベルのWindowsカーネルモードで実行されるその他のコードのデジタル署名を必要とします。これにより、マルウェアによって改ざんされていないことが保証されます。 「メモリ整合性」が有効な場合、Windowsの「コード整合性サービス」は、コア分離によって作成されたハイパーバイザーで保護されたコンテナー内で実行されます。これにより、マルウェアがコードの整合性チェックを改ざんし、Windowsカーネルにアクセスすることがほぼ不可能になります。
仮想マシンの問題
メモリの整合性はシステムの仮想化ハードウェアを使用するため、VirtualBoxやVMwareなどの仮想マシンプログラムとは互換性がありません。一度にこのハードウェアを使用できるアプリケーションは1つだけです。
Intel VT-XまたはAMD-Vを示すメッセージが表示される場合がありますメモリ整合性が有効になっているシステムに仮想マシンプログラムをインストールした場合、有効または使用できません。 VirtualBoxでは、メモリ保護が有効になっている間、「Hyper-Vのおかげで生モードは使用できません」というエラーメッセージが表示される場合があります。
いずれにしても、仮想マシンソフトウェアで問題が発生した場合、それを使用するにはメモリの整合性を無効にする必要があります。
デフォルトで無効になっているのはなぜですか?
メインのコア分離機能は問題を引き起こさないはずです。サポート可能なすべてのWindows 10 PCで有効になっており、無効にするためのインターフェースはありません。
ただし、メモリ整合性保護により、一部のデバイスドライバーまたはその他の低レベルWindowsアプリケーションに関する問題。これが、アップグレード時にデフォルトで無効になっている理由です。マイクロソフトは、開発者とデバイスメーカーにドライバーとソフトウェアの互換性を引き続き求めています。そのため、Windows 10の新しいPCと新しいインストールで既定で有効になっています。
PCの起動に必要なドライバーの1つがメモリ保護と互換性がないため、Windows 10はメモリ保護を自動的にオフにして、PCが起動して正常に動作するようにします。そのため、それを有効にしてリブートするだけで、まだ無効になっていることがわかります。それが理由です。
他のデバイスで問題が発生した場合、またはメモリ保護を有効にした後、ソフトウェアが正常に動作しない場合、マイクロソフトは特定のアプリケーションまたはドライバーの更新を確認することをお勧めします。利用可能な更新がない場合は、メモリ保護をオフにします。
前述したように、メモリの整合性も仮想マシンプログラムなど、システムの仮想化ハードウェアへの排他的アクセスを必要とする一部のアプリケーションとの互換性がない。一部のデバッガを含む他のツールもこのハードウェアへの排他的アクセスを必要とし、メモリの整合性が有効になっていると機能しません。
コア分離メモリの整合性を有効にする方法
PCにコア分離があるかどうかを確認できます機能を有効にし、Windows Defender Security Centerアプリケーションからメモリ保護をオンまたはオフに切り替えます。 (このツールは、2018年10月のアップデートの一環として「Windowsセキュリティ」に名前が変更されます。)
開くには、[スタート]メニューで[Windows Defenderセキュリティセンター]を検索するか、[設定]> [更新とセキュリティ]> [Windowsセキュリティ]> [Windows Defenderセキュリティセンターを開く]に進みます。
セキュリティセンターの[デバイスセキュリティ]アイコンをクリックします。
PCのハードウェアでコア分離が有効になっている場合、ここに「デバイスのコア部分を保護するために仮想化ベースのセキュリティが実行されています」というメッセージが表示されます。
メモリ保護を有効(または無効)にするには、[コア分離の詳細]リンクをクリックします。
この画面には、メモリの整合性が有効かどうかが表示されます。現在のところ、これが唯一のオプションです。
メモリの整合性を有効にするには、スイッチを「オン」に切り替えます。アプリケーションまたはデバイスの問題が発生し、メモリの整合性を無効にする必要がある場合は、ここに戻ってスイッチを「オフ」に切り替えます。
コンピューターを再起動するように求められますが、変更が有効になるのは一度だけです。
Windows Defenderエクスプロイトガードのその他の機能
コアの分離とメモリの整合性はMicrosoftがWindows Defender Exploit Guardの一部として追加した多くの新しいセキュリティ機能。これは、Windowsを攻撃から保護するために設計された機能のコレクションです。
運用を保護するエクスプロイト保護多くの種類のエクスプロイトからのシステムとアプリケーションは、デフォルトで有効になっています。これは、Microsoftの古いEMETツールに代わるもので、以前にMalware Anti-Exploitのインストールを推奨していたアンチエクスプロイト機能が含まれています。すべてのWindows 10ユーザーがエクスプロイト保護を使用できるようになりました。
フォルダーアクセスの制御もあります。ランサムウェアからファイルを保護します。いくつかの設定が必要なため、デフォルトでは有効になっていません。この機能を有効にした場合、個人のファイルフォルダー内のファイルにアクセスするには、アプリケーションへのアクセスを許可する必要があります。
関連する: Windows Defenderの新しいエクスプロイト保護の仕組み(および構成方法)
今後、メモリの整合性が有効になりますデフォルトでは、すべての新しいPCで攻撃に対する追加の保護を提供します。システム仮想化ハードウェアへのアクセスを必要とする仮想マシンソフトウェアやその他のツールを使用する上級ユーザーのみが無効にする必要があります。
