Windows Defenderの新しいエクスプロイト保護の仕組み(およびその構成方法)
MicrosoftのFall Creators UpdateはついにWindowsに統合的なエクスプロイト保護を追加しました。あなたは以前、マイクロソフトのEMETツールの形でこれを探さなければなりませんでした。現在はWindows Defenderの一部であり、デフォルトでアクティブになっています.
Windows Defenderのエクスプロイト保護の仕組み
マイクロソフトのEnhanced Mitigation Experience Toolkit(EMET)や、より使いやすいMalwarebytes Anti-Malwareなどの強力なアンチエクスプロイト機能を含むアンチエクスプロイトソフトウェアを使用することをお勧めします。 MicrosoftのEMETは、システム管理者が設定できる大規模ネットワークで広く使用されていますが、デフォルトではインストールされることはなく、設定が必要で、平均的なユーザーにはわかりにくいインターフェイスがあります。.
Windows Defender自体などの一般的なウイルス対策プログラムは、ウイルス定義とヒューリスティックを使用して、危険なプログラムをシステムで実行する前に検出します。悪用防止ツールは、実際には多くの一般的な攻撃手法がまったく機能しないようにするため、これらの危険なプログラムが最初の段階でシステムに侵入することはありません。特定のオペレーティングシステムの保護を有効にし、一般的なメモリの悪用手法をブロックします。そのため、悪用のような動作が検出された場合、問題が発生する前にプロセスを終了させます。つまり、パッチが適用される前に、ゼロデイ攻撃を防ぐことができます。.
しかし、それらは潜在的に互換性の問題を引き起こす可能性があり、そしてそれらの設定は異なるプログラムのために微調整されなければならないかもしれません。 EMETが家庭用PCではなくシステム管理者が設定を調整できる企業ネットワークで一般的に使用されていたのはそのためです。.
Windows Defenderには、MicrosoftのEMETにもともと見られたこれらの同じ保護機能が多数含まれています。それらはすべての人にとってデフォルトで有効になっており、オペレーティングシステムの一部です。 Windows Defenderは、システムで実行されているさまざまなプロセスに対して適切なルールを自動的に構成します。 (Malwarebytesは依然としてその悪用防止機能が優れていると主張しており、Malwarebytesの使用を推奨していますが、Windows Defenderにもこのような機能が組み込まれているのは良いことです。)
Windows 10のFall Creators Updateにアップグレードした場合、この機能は自動的に有効になり、EMETはサポートされなくなりました。 EMETは、Fall Creators Updateを実行しているPCにもインストールできません。 EMETがすでにインストールされている場合は、アップデートによって削除されます。.
Windows 10のFall Creators Updateには、Controlled Folder Accessという名前の関連セキュリティ機能も含まれています。それは信頼できるプログラムがあなたの個人データフォルダの中のファイルを修正することを許可するだけでマルウェアを阻止するように設計されています。どちらの機能も「Windows Defender Exploit Guard」の一部です。ただし、制御フォルダアクセスはデフォルトでは有効になっていません.
エクスプロイト保護が有効になっていることを確認する方法
この機能はすべてのWindows 10 PCで自動的に有効になります。ただし、「監査モード」に切り替えることもできます。システム管理者は、重要なPCで有効にする前に問題が発生しないことを確認するためにExploit Protectionが実行したことのログを監視できます。.
この機能が有効になっていることを確認するために、Windows Defenderセキュリティセンターを開くことができます。 [スタート]メニューを開き、[Windows Defender]を検索して、[Windows Defenderセキュリティセンター]ショートカットをクリックします。.
サイドバーのウィンドウの形をした「App&browser control」アイコンをクリックします。下にスクロールすると、「エクスプロイト保護」セクションが表示されます。この機能が有効になっていることがわかります。.
このセクションが表示されない場合は、お使いのPCがおそらくFall Creators Updateにまだアップデートされていません。.
Windows Defenderのエクスプロイト保護を構成する方法
警告:おそらくこの機能を設定したくないでしょう。 Windows Defenderには調整可能な多くの技術的オプションがあり、ほとんどの人はここで何をしているのかわかりません。この機能は、問題を回避するためのスマートなデフォルト設定で構成されています。Microsoftは時間の経過とともにルールを更新できます。ここでのオプションは、主にシステム管理者がソフトウェアのルールを作成し、それを企業ネットワーク上に展開するのを助けることを目的としているようです。.
エクスプロイト保護を設定する場合は、Windows Defenderセキュリティセンター>アプリとブラウザの制御に移動し、下にスクロールして[エクスプロイト保護]の下の[エクスプロイト保護設定]をクリックします。.
ここに2つのタブが表示されます:システム設定とプログラム設定。システム設定はすべてのアプリケーションに使用されるデフォルト設定を制御し、プログラム設定はさまざまなプログラムに使用される個々の設定を制御します。言い換えれば、プログラム設定は個々のプログラムのシステム設定を上書きすることができます。それらはより制限的またはより制限的でない可能性があります.
画面の下部にある[設定のエクスポート]をクリックして、他のシステムにインポートできる.xmlファイルとして設定をエクスポートできます。 Microsoftの公式ドキュメントには、グループポリシーとPowerShellを使用したルールの展開に関する詳細情報が記載されています。.
[システム設定]タブに、次のオプションが表示されます。制御フローガード(CFG)、データ実行防止(DEP)、画像の強制ランダム化(必須ASLR)、メモリ割り当てのランダム化(ボトムアップASLR)、例外チェーンの検証(SEHOP)、およびヒープの整合性を検証します。デフォルトでは、画像のランダム化を強制する(Mandatory ASLR)オプション以外はすべてオンになっています。これは、Mandatory ASLRによって一部のプログラムで問題が発生する可能性があるため、有効にすると、実行するプログラムによっては互換性の問題が発生する可能性があるためです。.
繰り返しますが、自分がしていることがわからない限り、実際にこれらのオプションに触れないでください。デフォルトは賢明であり、理由のために選ばれます.
インターフェースはそれぞれのオプションが何をするのかの非常に短い要約を提供します、しかしあなたがもっと知りたいならばあなたはいくらかの研究をしなければならないでしょう。ここでは、DEPとASLRが何をするのかを説明しました。.
[プログラム設定]タブをクリックすると、カスタム設定の異なるプログラムのリストが表示されます。ここでのオプションはシステム全体の設定を上書きすることを可能にします。たとえば、リストで「iexplore.exe」を選択して「編集」をクリックすると、デフォルトではシステム全体で有効になっていなくても、ここのルールでInternet Explorerプロセスの必須ASLRが強制的に有効になります。.
runtimebroker.exeやspoolsv.exeのようなプロセスに対するこれらの組み込みルールを改ざんしないでください。 Microsoftは理由でそれらを追加しました.
「プログラムを追加してカスタマイズする」をクリックすると、個々のプログラムにカスタムルールを追加できます。 「プログラム名で追加」または「正確なファイルパスを選択」のどちらかを選択できますが、正確なファイルパスを指定する方がはるかに正確です。.
一度追加すると、ほとんどの人にとって意味のない設定の長いリストを見つけることができます。ここで利用可能な設定の完全なリストは次のとおりです。任意のコードガード(ACG)、低整合性画像のブロック、信頼できないフォントのブロック、コード整合性ガード、制御フローガード(CFG)、データ実行防止(DEP)、拡張ポイントの無効化、Win32kシステムコールを無効にする、子プロセスを許可しない、アドレスフィルタリングのエクスポート(EAF)、画像のランダム化の強制(必須ASLR)、アドレスフィルタリングのインポート(IAF)、メモリ割り当てのランダム化(ボトムアップASLR)、実行のシミュレーション(SimExec) 、API呼び出しの検証(CallerCheck)、例外チェーンの検証(SEHOP)、ハンドルの使用状況の検証、ヒープの整合性の検証、イメージ依存性の整合性の検証、およびスタックの整合性の検証(StackPivot).
繰り返しになりますが、アプリケーションをロックダウンしたいシステム管理者で、自分が何をしているのか本当にわかっているのでない限り、これらのオプションに触れないでください。.
テストとして、iexplore.exeのすべてのオプションを有効にして起動しようとしました。 Internet Explorerはエラーメッセージを表示しただけで起動を拒否しました。 Windows Defenderからの通知で、設定が原因でInternet Explorerが機能していなかったことを説明することすらありませんでした。.
単に盲目的にアプリケーションを制限しようとしないでください。そうしないと、システムに同様の問題を引き起こすでしょう。オプションを変更したことを覚えていないと、トラブルシューティングが難しくなります。.
それでもWindows 7のように古いバージョンのWindowsを使用している場合は、マイクロソフトのEMETまたはMalwarebytesをインストールすることでエクスプロイト保護機能を利用できます。ただし、Microsoftが代わりにWindows 10とWindows DefenderのExploit Protectionにビジネスを推進したいと考えているため、EMETのサポートは2018年7月31日に終了します.