Windows 10の「コアの分離」と「メモリの整合性」とは何ですか?
Windows 10の2018年4月の更新では、 "コア分離"と "メモリの整合性"のセキュリティ機能がすべてのユーザーに提供されます。これらは仮想化ベースのセキュリティを使用してコアオペレーティングシステムのプロセスを改ざんから保護しますが、アップグレードするユーザーのためにメモリ保護はデフォルトでオフになっています。.
コア分離とは?
Windows 10の最初のリリースでは、仮想化ベースのセキュリティ(VBS)機能は「Device Guard」の一部としてWindows 10のEnterpriseエディションでのみ利用可能でした。2018年4月のアップデートで、コア分離はすべての仮想化ベースのセキュリティ機能をもたらします。 Windows 10の各エディション.
64ビットCPUおよびTPM 2.0チップの搭載など、特定のハードウェア要件およびファームウェア要件を満たすWindows 10 PCでは、一部のコア分離機能がデフォルトで有効になっています。また、お使いのPCがIntel VT-xまたはAMD-Vの仮想化テクノロジをサポートしており、PCのUEFI設定で有効になっている必要があります。.
これらの機能が有効になっていると、Windowsはハードウェア仮想化機能を使用して、通常のオペレーティングシステムから分離されたシステムメモリの安全な領域を作成します。 Windowsはこの安全な領域でシステムプロセスとセキュリティソフトウェアを実行できます。これにより、重要なオペレーティングシステムプロセスが、セキュリティ保護された領域外で実行されているものによって改ざんされることから保護されます。.
マルウェアがPC上で実行されていて、これらのWindowsプロセスをクラックする可能性のあるエクスプロイトを知っていても、仮想化ベースのセキュリティは攻撃からそれらを隔離する追加の保護層です。.
メモリの整合性とは?
Windows 10のインターフェースで「Memory Integrity」と呼ばれる機能は、Microsoftのマニュアルでは「Hypervisor Protected Code Integrity」(HVCI)とも呼ばれます。.
2018年4月のアップデートにアップグレードしたPCでは、Memory Integrityはデフォルトで無効になっていますが、有効にすることもできます。今後のWindows 10の新規インストールではデフォルトで有効になります。.
この機能は、コア分離のサブセットです。 Windowsは通常、低レベルのWindowsカーネルモードで実行されるデバイスドライバおよびその他のコード用のデジタル署名を必要とします。これにより、マルウェアに改ざんされていないことを確認できます。 「メモリの整合性」が有効になっていると、Windowsの「コードの整合性サービス」は、Core Isolationによって作成されたハイパーバイザで保護されたコンテナ内で実行されます。これにより、マルウェアがコードの整合性チェックを改ざんしてWindowsカーネルにアクセスすることはほぼ不可能になります。.
仮想マシンの問題
Memory Integrityはシステムの仮想化ハードウェアを使用するため、VirtualBoxやVMwareなどの仮想マシンプログラムとは互換性がありません。一度に1つのアプリケーションだけがこのハードウェアを使用できます.
Memory Integrityが有効になっているシステムに仮想マシンプログラムをインストールすると、Intel VT-XまたはAMD-Vが有効になっていないか使用できないというメッセージが表示されることがあります。 VirtualBoxで、メモリ保護が有効になっている間、「RawモードはHyper-Vのために使用できません」というエラーメッセージが表示されることがあります。.
いずれにしても、仮想マシンソフトウェアで問題が発生した場合は、Memory Integrityを無効にして使用する必要があります。.
なぜデフォルトで無効になっているのか?
主要なコア分離機能は問題を起こすべきではありません。それはそれをサポートすることができるすべてのWindows 10 PCで有効にされ、それを無効にするためのインターフェースはありません.
ただし、一部のデバイスドライバやその他の低レベルのWindowsアプリケーションでは、メモリ整合性保護によって問題が発生する可能性があるため、アップグレード時にデフォルトで無効になっています。マイクロソフトは、開発者やデバイス製造元に対して、ドライバとソフトウェアの互換性を維持するように引き続き求めています。そのため、新しいPCやWindows 10の新しいインストールでは、この機能がデフォルトで有効になっています。.
PCの起動に必要なドライバの1つがメモリ保護と互換性がない場合、Windows 10は自動的にメモリ保護をオフにして、PCが起動して正常に動作できるようにします。そのため、有効にして再起動してもまだ無効になっていることが判明したのであれば、それが理由です。.
メモリ保護を有効にした後に他のデバイスまたは誤動作するソフトウェアで問題が発生した場合、マイクロソフトは特定のアプリケーションまたはドライバでアップデートをチェックすることを推奨します。利用可能なアップデートがない場合は、メモリ保護をオフにします。.
前述したように、Memory Integrityは、仮想マシンプログラムなど、システムの仮想化ハードウェアへの排他的アクセスを必要とする一部のアプリケーションとも互換性がありません。一部のデバッガを含む他のツールもこのハードウェアへの排他的アクセスを必要とし、メモリインテグリティを有効にした状態では動作しません。.
コア分離メモリの整合性を有効にする方法
PCでコア分離機能が有効になっているかどうかを確認し、Windows Defender Security Centerアプリケーションからメモリ保護のオン/オフを切り替えることができます。 (このツールは、2018年10月の更新の一部として「Windowsセキュリティ」と名前が変更されます。)
それを開くには、スタートメニューで「Windows Defender Security Center」を検索するか、[設定]> [更新とセキュリティ]> [Windowsセキュリティ]> [Windows Defenderセキュリティセンターを開く]を選択します。.
セキュリティセンターの[デバイスセキュリティ]アイコンをクリックします.
PCのハードウェアでCore Isolationが有効になっている場合は、ここに「仮想化ベースのセキュリティが実行されています」というメッセージが表示されます。.
メモリ保護を有効(または無効)にするには、[Core Isolation Details]リンクをクリックします。.
この画面は、Memory Integrityが有効になっているかどうかを示します。これが今のところ唯一の選択肢です.
メモリの整合性を有効にするには、スイッチを「オン」に切り替えます。アプリケーションまたはデバイスの問題が発生し、メモリの整合性を無効にする必要がある場合は、ここに戻ってスイッチを「オフ」に切り替えます。
コンピュータを再起動するように促されますが、変更は有効になって初めて有効になります.
その他のWindows Defenderエクスプロイトガード機能
コア分離とメモリの整合性は、マイクロソフトがWindows Defender Exploit Guardの一部として追加した多数の新しいセキュリティ機能の一部です。これは、Windowsを攻撃から保護するために設計された機能の集まりです。.
オペレーティングシステムとアプリケーションをさまざまな種類のエクスプロイトから保護するエクスプロイト保護がデフォルトで有効になっています。これはマイクロソフトの古いEMETツールに代わるもので、以前にMalware Anti-Exploitのインストールを推奨したエクスプロイト機能が含まれています。すべてのWindows 10ユーザーがエクスプロイト保護を受けています.
ランサムウェアからあなたのファイルを保護するControlled Folder Accessもあります。何らかの設定が必要なため、デフォルトでは有効になっていません。この機能を有効にした場合、アプリケーションが個人用ファイルフォルダ内のファイルにアクセスする前にアプリケーションアクセスを許可する必要があります。.
今後、すべての新しいPCでMemory Integrityがデフォルトで有効になり、攻撃に対する保護が強化されます。システム仮想化ハードウェアへのアクセスを必要とする仮想マシンソフトウェアおよびその他のツールを使用する上級ユーザーのみがそれを無効にする必要があります。.