アプリ制御と仮想化ベースのコード整合性の保護

Windows には、一連のハードウェアと OS テクノロジが含まれており、一緒に構成すると、企業は Windows システムを "ロックダウン" して、キオスク デバイスのように動作させることができます。 この構成では、 App Control for Business を使用して、承認されたアプリのみを実行するようにデバイスを制限しますが、OS は メモリ整合性を使用してカーネル メモリ攻撃に対して強化されます。

メモリ整合性は、 ハイパーバイザーで保護されたコード整合性 (HVCI) または ハイパーバイザーによって適用されるコード整合性と呼ばれる場合があり、もともと Device Guard の一部としてリリースされました。 Device Guard は、グループ ポリシーまたは Windows レジストリでメモリの整合性と VBS 設定を見つける以外は使用されなくなりました。

アプリ制御ポリシーとメモリ整合性は、個別に使用できる強力な保護です。 ただし、これら 2 つのテクノロジが連携するように構成されている場合、Windows デバイスの強力な保護機能が提供されます。 App Control を使用して、承認されたアプリのみにデバイスを制限すると、他のソリューションよりも次の利点があります。

  1. Windows カーネルは、アプリ制御ポリシーの適用を処理し、他のサービスやエージェントを必要としません。
  2. アプリ制御ポリシーは、ブート シーケンスの早い段階で、他のほぼすべての OS コードが実行される前と、従来のウイルス対策ソリューションが実行される前に有効になります。
  3. アプリ コントロールを使用すると、カーネル モード ドライバーや Windows の一部として実行されるコードなど、Windows で実行されるすべてのコードのアプリケーション制御ポリシーを設定できます。
  4. お客様は、ポリシーにデジタル署名することで、ローカル管理者の改ざんからでもアプリ制御ポリシーを保護できます。 署名済みポリシーを変更するには、管理者権限と、organizationのデジタル署名プロセスへのアクセスの両方が必要です。 署名されたポリシーを使用すると、管理者特権を取得する攻撃者を含む攻撃者が、アプリ制御ポリシーを改ざんすることが困難になります。
  5. メモリの整合性を使用して、アプリコントロールの適用メカニズム全体を保護できます。 カーネル モード コードに脆弱性が存在する場合でも、メモリの整合性により、攻撃者がそれを悪用する可能性が大幅に低下します。 メモリの整合性がなければ、カーネルを侵害する攻撃者は、通常、App Control またはその他のアプリケーション制御ソリューションによって適用されるアプリケーション制御ポリシーを含む、ほとんどのシステム防御を無効にすることができます。

アプリコントロールとメモリの整合性の間に直接的な依存関係はありません。 個別にデプロイすることも、一緒にデプロイすることもでき、デプロイする必要がある順序はありません。

メモリの整合性は Windows 仮想化ベースのセキュリティに依存しており、一部の古いシステムでは満たされないハードウェア、ファームウェア、カーネル ドライバーの互換性要件があります。

アプリ コントロールには、特定のハードウェアまたはソフトウェアの要件はありません。