信頼できるコンピューティングプロジェクトに焦点を当てて以来、マイクロソフトはすべての新しいバージョンのWindowsに新しいセキュリティ機能を導入することを主張してきた。セキュリティ状況は大幅に改善されました。 Windows 8もこの点で例外ではないようです。一般の人々の焦点は新しいユーザインタフェースと偏光の非常に高い利用率にありますが、セキュリティアップデートはそれほど目立ちません。この記事では、各リリースで追加された新しいセキュリティー機能、それらの違い、そしてそれらが実際にどのように機能するのかを見ていきます。
Windows 8システムが提供する基本的なセキュリティ機能
これらの機能は、Windowsシステムのすべてのバージョンで使用されます。ホームユーザー向けのWin8であろうと、ビジネスユーザー向けのプロフェッショナル版およびエンタープライズ版であろうと、例外はありません。
UEFIセキュアブート機能がサポートされる予定です。潜在的な問題につながる欠陥は多くの批判を集めました、しかし安全なスタートはまだWindowsのこのバージョンによって提供される非常に重要なセキュリティ機能です。私たち全員が知っているように、Unified Extensible Firmware Interface(UEFI - 最新バージョンは2.3.1)の目標は、パーソナルコンピューター用の次世代ファームウェアインターフェースとして、従来のBasic Input Output System(BiOS)を置き換えることです。現在、システムがセキュアブート機能を使用することを選択した場合、Windows 8はルートキットなどのマルウェアの有効性を大幅に向上させることができます。セキュアブート機能のサポートにより、オペレーティングシステムはすべてのブートコンポーネントのデジタル署名を検証でき、マルウェア対策ドライバはすべての改ざん操作を監視できます。コンポーネントのシグネチャが正しくない(改ざんされている)と判明した場合、Windowsはリカバリモードを有効にして、それに応じてオペレーティングシステムを処理しようとします。ルートキットマルウェアの場合、通常のアプローチは、ほとんどのマルウェア対策ツールが起動されてブートプロセス中もアクティブな状態になる前に、重要なオペレーティングシステムファイルを改ざんすることです。最新のセキュアブート機能は、あらゆる種類の改ざんを検出し、ルートキットがロードされるのを防ぎます。企業ユーザーにとっては、Windows 8を展開するときにこの機能を直接有効にし、従業員がシャットダウンできないようにすることが現在の最善の解決策です。
スマートウィンドウフィルタの適用範囲がさらに拡大
スマートウィンドウテクノロジの場合、最も初期の場所はInternet Explorerブラウザです。現在、その適用範囲はオペレーティングシステムにも拡大されます。 NSS Labsが実施した関連テストでは、この機能が最近のブラウザにとってソーシャルエンジニアリングマルウェアを検出してブロックするための最良の選択であることが証明されています。スマートウィンドウ技術は、URLレピュテーション検証システムと、アプリケーションおよびファイルレピュテーション検証システムで構成されています。 URLレピュテーション検証システムは、ユーザーがフィッシングやソーシャルエンジニアリングなどの攻撃から防御するのに役立ちます。ファイルレピュテーション検証システムは、ファイルのダウンロードステータスを完全に追跡し、関連するレピュテーションを検証することができます。ダウンロードされたファイルが悪意のある種類のものであることが確認された場合、そのファイルはブロックされ、次のように警告メッセージが表示されます。
図A
それが新しいファイルに属する場合、またはシステムが有効でない場合ケースの識別は、次のような警告メッセージが表示されます。図B
それはファイルの未知のタイプに来るとき、このアプローチは、警告メッセージを回避するために選択するようにユーザーを引き起こす可能性があるため疑わしい状況を強制することを選択してください。そのため、システム管理者は、警告メッセージが無視されないように、タイムリーかつ効果的な介入を行う必要があります。
無料のマルウェア対策/ウイルス対策ツール:Windows Defender
Windows 8では、マイクロソフトは完全に機能するマルウェア対策ソリューションも提供します。取られたアプローチはマイクロソフトのセキュリティソリューションのためのアンチウィルス機能をウィンドウズディフェンダーに加えることです。これは、このバージョンのWindows Defenderがより高いパフォーマンスとより低いシステムメモリ/CPU使用率を持つことを意味します。エンタープライズユーザーの場合は、マルウェア対策製品を置き換える準備をしてください。したがって、現在の企業にとって正しい方法は、Windows 8の計画の互換性に対する解決策について、さまざまなマルウェア対策ベンダーに包括的なコンサルテーションを提供することです。結局、セキュアブート機能のサポートにより、企業は、潜在的な脆弱性が少なく、応答時間が短い、安全で信頼性の高いネットワーク環境を簡単に確立できるようになりました。
Image Password
安全なログインのために、画像パスワードはタッチモードを使用するための新しい方法です。これで、ユーザーは写真を選択して3つのタッチジェスチャをすることができます。システムはジェスチャシーケンスをユーザの「パスワード」として保存することができ、その後、ユーザは操作を繰り返すことによってログインすることができる。ジェスチャーシーケンスとグラフィックの関連性に基づいて、このモデルはログインセキュリティを向上させるという目的を達成できます。例えば、ユーザは、2つの文字を含む写真を選択し、一方の顔に笑顔を描き、そして他の2つの目に触れることができる。このモデルは非常に興味深いように思えますが、システムの信頼性は従来のモデルと比較してどのように見られるのでしょうか。
組み込みのPDFリーダー:Windowsリーダー
Windows 8用の新しい統合ドキュメントリーダーとして、マイクロソフトはWindows Readeに非常に興味深い新しいセキュリティ機能を追加します。読者は現在攻撃者の間で非常に人気があるPDFファイルフォーマットをサポートすることができます。システムの定期的なアップデートモデルを使用する単純なバージョンのリーダーを統合することによって、オペレーティングシステムは、プラットフォームのデフォルトセキュリティを向上させるという目標を達成するために、潜在的に危険なアプリケーションまたはプラグインの必要性を減らすことができます。確立された目標はメモリ内のコードとデータのランダムな移動を軽減することでしたが、悪名高い結果となる一方、ASLRと攻撃の軽減
アドレス空間レイアウトのランダム化(ASLR)はWindows Vistaで最初に導入されました。バッファは脆弱性によって引き起こされる害をあふれます。 Windows 8では、ASLRを回避するという技術的な試みを防ぐために、ランダム化の程度がさらに強化されています。その他の対策には、Windowsのカーネルとヒープの調整、新しい整合性チェックとランダム化のための同様のASLRベースのアプローチの使用が含まれます。また、Internet Explorer 10では、これらの変更による利点もあります。「拡張保護モード」サンドボックスに加えて、「ForceASLR」と呼ばれるIE10オプションもあります。保護されたASLRテクノロジを使用するかどうかにかかわらず、ブラウザのメモリにロードされているすべてのモジュールをランダム化できます(モジュールの作成にオプションの/DYNAMICBASEフラグを使用することで、開発者はASLRテクノロジの恩恵を受けることができます)。限界Windows 8 Professionalで利用可能なセキュリティ機能
ビジネスユーザー向けのWindows 8 ProfessionalおよびEnterpriseエディションでは、下記の機能がいくつか利用できます。
ディスク暗号化ツール:BitLockerおよびBitLocker To Windows Vistaでは、マイクロソフトはフルディスク暗号化ソリューションとしてBitlockerを提供しています。 Windows 7では、BitlockerはBitlocker To Goに置き換えられました。新バージョンでは、ツールはそれほど変わっていません。ただし、Bitlocker To Goの暗号化キーをSkyDriveアカウントにバックアップするための新しいオプションも追加されています。
暗号化ファイルシステム
Microsoftが提供する最初の暗号化ソリューションとして、EFSは個々のファイル、フォルダ、ドライブに対する操作をサポートできます。これは、20年以上前にWindows NT製品ファミリに初めて登場しました。ただし、基本的にはBitlocker、Bitlocker To Go、および多数の無料の暗号化ツールに置き換えられました。
ドメインメンバとグループポリシーオブジェクト
は、これまでの状況と変わらず、これら2つの機能はWindowsホーム版と商用版の主な違いです。集中管理が必要なネットワーク環境では、Active Directoryドメインに新しいメンバを追加することが重要な機能です。ユーザーが追加されると、管理者はグループポリシーオブジェクトを作成してドメインメンバに適用し、セキュリティを含む日常のタスクを完全に管理できるようになります。 Windowsの8では、Microsoftは新しいオペレーティングシステムのための新戦略を発表しました:
最後にC
のWindows 8 Enterprise Editionのセキュリティ機能を図
、契約は、ソフトウェアアシュアランスがします署名しましたWindows 8 Enterprise Editionを入手する機会には、以下のセキュリティ機能が含まれます。
Application Control Strategy Tool:Applocker
マイクロソフトのアプリケーション制御ソリューションとして、ブラックリストとホワイトリスト技術を採用したApplockerが最も早く登場しました。 Windows 7にあります。 AppLockerを使用すると、システム管理者はユーザーのインストールや特定のアプリケーションの実行などのアクティビティを完全に制御するためのポリシーを確立できます。 Windows 8では、AppLockerが従来のデスクトップアプリケーションと新しいMetroアプリケーションを管理します。
直接アクセス機能
VPNを使用して会社のイントラネットに安全に接続する外部コンピュータの代わりに、マイクロソフトは直接アクセスを導入しました。使用時には、直接アクセスは他のアプリケーションからのサポートを必要とせず、リモートモードまたはモバイルコンピュータとアプリケーションおよびパッチ適用ポリシーとの互換性の問題がないことを企業が保証するのに役立ちます。この機能はWin7で登場した初期バージョンと比べてそれほど変わっていません。
システムミラーリング:Windows To Go
"独自のデバイスの使用"ウェーブの開発に続き、マイクロソフトはWindows To Goシステムイメージ機能も発表しました。完全管理をサポートし、完全に接続に依存しないため、システム管理者は外付けUSBドライブを使用してWindows 8エンタープライズイメージを保存し、任意のx64システムで起動できます。エンタープライズシステムの完全なミラーとして、Windowsアップデート戦略、エンタープライズウイルス対策ソリューション、および暗号化ツールBitLockerを含むプロジェクトを管理できます。現時点では、Windows To Goの最小要件は少なくとも32 GBのスペースを持つUSBドライブです。これらの多くの制限にもかかわらず、それは多くの企業、特に自社のデバイスイニシアチブとディザスタリカバリソリューションによってもたらされるセキュリティリスクに焦点を当てている企業にとって、依然として非常に貴重な機能です。