Windows 11 のウイルスと脅威からの保護。新機能は?

Windows 11 では、パフォーマンスの向上やインターフェイスの変更など、膨大な数の更新が行われました。しかし、ソフトウェア開発ではよくあることですが、変更の大部分は口に出されず、目に見えないままです。今回は、Windows 11 のセキュリティ更新プログラムで発生しました。

Windows 11 のセキュリティ機能

Windows 11 の全体的なレビューで、更新された Microsoft Defender について触れました ¹ 。 .その記事で述べたように、脆弱性が少なくなり、電力効率が大幅に向上しました。ただし、これらの変更は、この更新で Defender に発生したすべてのことの 4 分の 1 にもなりません。

Microsoft Defender の新しい外観

Microsoft は、システム セキュリティ パラダイムを「ゼロ トラスト」に変更しました。以前のシステム セキュリティ メカニズムは、ユーザーがインストールしたプログラムが悪意を持っていないと仮定して、外部のマルウェアからシステムを保護しようとしていました。 Windows 11 (および Windows 10 21H2) では、Defender は以前に使用されていたものよりもはるかに困難なヒューリスティック分析と動作分析を提供します ² 。

攻撃面の縮小

Microsoft Defender の新しいメカニズムは、通常、企業ネットワークを対象としていますが、個々のシステムに実装できます。最初の注目すべき要素は攻撃面の減少です ³ .この機能により、潜在的に危険な要素をより厳密に制御できます。その場合、Defender は、未定義のサーバーに接続して何かをダウンロードしようとするプログラムにさらに注意を払います。非常に正確なマイクロソフトのウイルス対策チェックは、特定の企業ネットワークでこれまで使用されたことのないプログラムと、難読化されたスクリプトです。

これらの改善は、Microsoft による報復措置であり、脅威にまったくチャンスを与えないようにしています。個々の脆弱性を追跡する代わりに ⁴ 、彼らは悪意のあるコードの開始時に起動を防ぐことにしました。効果はありますが、脆弱性パッチの重要性がなくなるわけではありません。

ネットワーク セキュリティ

最新の攻撃の一部は、エクスプロイトを使用してマルウェアを挿入する悪意のあるランディング ページを通じて実行されます。以前、マイクロソフトのマルウェア対策ソリューションは、ネットワーク監視の標準的な方法を使用していました。既知の悪意のあるサイトやフィッシング サイトに対しては効果的でしたが、ゼロデイ攻撃を防ぐには役に立ちませんでした。

更新されたセキュリティ機能により、Defender はサンドボックスで Web サイトのアクティビティをチェックしてから、ユーザーが Web サイトを操作できるようになります。もちろん、このようなアクションは、信頼できないページ (侵害されたドメインや疑わしいドメインを使用するページ、安全でない接続を使用するページなど) でのみ実行されます.現在、詐欺師はサンドボックスと実際のシステムを区別できないため、このような保護は非常に効果的です。

制御されたフォルダの保護

ユーザーまたは定義されたプログラムのみがアクセスできる安全なスペースをシステム内に作成することは、過去数年間、サイバーセキュリティの世界で広まりました。一部のサイバーセキュリティ ベンダーは、幅広い市場向けにソリューションを提供していますが、それらの製品は企業を対象としており、コストがかかります。

Microsoft は、サポートされる CPU のリストを小さくするだけでなく、TPM 2.0 モジュールの必要性を明確にしました。まさに、ファイル システム内にセーフ ゾーンを作成するには、管理フォルダー機能が必要です。この領域は、それを作成したユーザーと許可されたプログラムのみがアクセスおよび編集できます。そのフォルダーには、あらゆる種類の重要なデータを保持でき、ランサムウェア、スパイウェア、スティーラーなどのマルウェアに対して無防備です。

Windows 11 のエンドポイントの新機能

グローバルな改善に加えて、Microsoft は Microsoft Defender for Endpoint (MDFE) も公開しました。この機能は、企業のセキュリティ チームが脅威を追跡、検出、および削除できるようにする特定の機能で構成されています。 Microsoft は、ログが保持されるあらゆるサイバーセキュリティ インシデントの全体像を提供するクラウド ストレージを提供しています。そのクラウドでは、さまざまな脅威の非常に大きなベースで研究されている AI ベースのメカニズムによってデータが分析されます。 MDFE は、企業のセキュリティにとって完璧なソリューションになることを約束します。もちろん、彼らが主張するように機能するのであれば.

エンドポイントの Windows Defender。

Windows 11 でのアプリケーション コントロール

さまざまなアプリケーションやプロトコルの脆弱性を悪用することは、マルウェア インジェクションの最も一般的な方法の 1 つです。 Defender の新しいサブモジュールである Windows Defender Application Control (WDAC) が呼び出されて、それを停止します。前述のとおり、Windows のセキュリティ システムは、ユーザーの PC で実行されるアプリケーションのコードが信頼できるものであると想定していました。これで、WDAC はアプリケーションをスキャンして、内部で循環している可能性のある悪意のあるコードを探します。そのステップは実際に悪用の能力を削減します。誰かが悪用によってマルウェアの注入に成功したとしても、攻撃は防御者によって阻止されます.

Windows Defender Applicaiton Controle (WDAC) からの通知

これらの手順は非常に過酷で、パフォーマンスを膨張させる可能性がありますが、かなり効果的です。それにもかかわらず、Microsoft はアプリケーションを制御するための別のツール、AppLocker も公開しました。そのことは、WDAC の代わりに使用することも、WDAC を補完することもできます。アプリの権限をエスカレートする必要がある場合など、不便な状況で非常に役立ちます。 WDAC は、悪意のあるコードの実行である可能性があると想定して、この試行をブロックする可能性があります。 AppLocker を使用すると、一部のアクションを除外する必要があるアプリをユーザーが選択できます。

Windows Defender アプリケーション ガード

更新された Defender のこの部分は、WDAC と同様の名前が付けられていますが、それらの機能には省略形よりもはるかに多くの違いがあります。 WDAG はプログラムの周囲にシェルを作成し、コード内の悪意のある要素の可能性をチェックできるようにします。これは一種のサンドボックスですが、別の目的があり、最大限の仮想化が行われています。多くのウイルスは、通常のサンドボックス (または他のテスト環境) と実際のシステムを区別できます。 WDAG は魅力的なシェルを作成するだけでなく、アプリが通常のシステムで起動していると考えるようにします。

現在、Application Guard は以下を保護しています:

Microsoft は、プログラム実行のための特定の環境である AppContainer も提供しています。サンドボックスのように機能します。これは、システムや他の PC コンポーネントと対話する機能を与えずに、プログラムのコードを実行できる領域です。これは、広く使用されているコンテナー化ツールである Docker が提供する機能と非常によく似ています。以前は、WSL、デュアル ブート、さらには仮想マシンを介して Docker を使用することを余儀なくされていたため、アプリ開発者にとって非常に便利です。