高度な設定

Microsoftは米国時間11月15日、「Windows Server」次期機能アップデートの初のInsiderプレビュービルド「Build 17035」をリリースしたと発表した。

Windows Serverの次期機能アップデートは、PC向けとして提供されるアップデートでは「Redstone 4」という開発コード名で呼ばれるものに相当する。Microsoftのロードマップで言えば、Windows Serverの次期「半期チャネル」アップデートが「Windows Server 1803」ということになる。

今回のプレビュービルドでは、イメージのフォーマットをISO形式にするか、VHDX形式にするかを、Insiderプログラム参加者が選択できるようになっている。また、イメージにはあらかじめキーが設定されているため、セットアップ中にキーを入力する必要がなくなった。

またBuild 17035では、記憶域スペースダイレクト(Storage Spaces Direct:S2D)が復活している。S2Dは「Windows Server 1709」で姿を消していた(品質上の問題のためと言われている)機能だ。またS2Dはただ復活しただけではなく、Microsoftの表現によると「新たな、そして重要な複数のアップデート」が追加されており、それには「Data Deduplication」(データの重複排除)機能のサポートが含まれている。さらにBuild 17035では、ローカルホスト(localhost)やループバックアドレス(127.0.0.1)を使用して、ホスト上のコンテナ内で稼働しているサービスにアクセスできるようになっている。

今回の新ビルドでは、Windows Server向けの新たなGUI管理ツール(開発コード名:「Project Honolulu」)のプレビュービルド「Project Honolulu Technical Preview 1711 Build 01003」も利用可能になっている。Project Honoluluでは、「Remote Desktop」や、「Windows 10」クライアントの管理、「Switch Embedded Teaming」(SET)、データグリッドのパフォーマンスに対するアップデートや変更が実施されている。

なおMicrosoftは同日、「Windows 10 SDK Preview Build 17035」のリリースも発表している。

 

 

 

【関連記事】

ファイルにはアクセス権限の設定があり、指定されていないユーザーは操作できなくなることがある。とはいえ、自分しか使わないPCなのに、削除できないファイルが見つかることもある。ストレージを脱着したり、OSをアップグレードしたときに出やすい。そんな時は、管理者アカウントでサインインし、そのファイルのアクセス権を自分に付与すれば、削除できるようになる。手順は長いが、シンプルなので順を追って操作していこう。

今回、エラーを起こしているファイルを用意できなかったので、標準では削除できないフォントファイルを例に操作してみる。まずは、削除したいファイルの右クリックメニューから「プロパティ」から「セキュリティ」タブを開く。すると、「Administrators」をクリックしても、「フルコントロール」の許可が与えられていないことがわかる。そこで「詳細設定」をクリックする。

アクセス権限を管理できる設定画面が開くので、「所有者」のところを見てみよう。「Administrators」以外のユーザー名になっているなら、「変更」をクリックする。「ユーザーまたはグループの選択」画面が開くので、「検索」をクリック。ユーザー名の一覧が出るので、「Administrators」を選択して「OK」をクリックする。さらにOKを押すと、プロパティ画面に戻るので、「Administrators」を選択しよう。

すると、今度は「アクセス許可」を操作できるようになっている。ここで、「許可」の「フルコントロール」にチェックを入れ、「OK」をクリックすれば完了。削除できなかったファイルを削除できるようになっているはずだ。

これで解決!

管理者アカウントをファイルの所有者に設定してから、フルコントロールのアクセス権を付与すればいい。

 

 

【関連記事】

2017年10月17日にWindows 10 Fall Creators Updateがリリースされたが、2017年7月にはすでにその次のアップデートに向けたInsider Previewが公開されている。次の大型アップデートは、コードネーム「Redstone 4(RS4)」と呼ばれ、2018年春の公開が予定されている。

最新ビルドは、Windows 10 Insider Preview ビルド17017で、10月17日にリリースされた。まだそれほど大きな動きがあるわけではないが、2点新機能が追加されている。

「設定」の「アプリ」に「Startup」という項目が追加されたのだ。「スタートアップ」とはWindows 10の起動時に自動的に読み込まれるアプリのこと。プリンターやクラウドストレージなどの常駐アプリなど、いくつも登録されることもある。

ただし、あまりにもたくさんスタートアップに登録されるとWindows 10の起動が遅くなる。不要なアプリは起動しないようにすると、起動速度を改善できるのだ。従来、スタートアップの一覧はタスクマネージャーから表示していたのだが、これが「設定」の中から確認したりオンオフできるようになったのだ。これは地味に便利なので、ウェルカムな改善ポイントといえる。

もうひとつが、「Cortana Collections」。ユーザーが興味を持っている買い物やレシピ、書籍、映画などを集めて提示してくれる機能だ。クエストも公開されているのだが、残念ながらEN-USのInsider向けとなる。また、ユーザーに推奨されるアクションは、コルタナとアクションセンターの両方に表示されているが、混乱するというフィードバックがあったそう。そこで、基本的にはアクションセンターに集中させるとのことだ。

これで解決!

次期大型アップデートRedstone 4に向けたInsider Previewがリリースされている。最新はWindows 10 Insider Preview ビルド17017。「アプリ」の設定に「Startup」タブが追加されている。

 

 

 

【関連記事】

米Microsoft Corporationは10日(現地時間)、「Windows 10 November Update(バージョン 1511)」や「2007 Microsoft Office Suite(Office 2007)」のサポートを終了した。

2017年10月10日でサポートが打ち切られる主なMicrosoft製品は以下の通り。これ以後はセキュリティ更新プログラムを含めたアップデートが提供されなくなるため、後継バージョンへの移行が必要となる。

Windows 10 Version 1511Microsoft Excel for Mac 2011Microsoft Office for Mac 2011Microsoft Outlook for Mac 2011Microsoft PowerPoint for Mac 2011Microsoft Word for Mac 20112007 Microsoft Office Servers2007 Microsoft Office SuiteMicrosoft Customer Care Framework 2008Microsoft Dynamics GP 10.0Microsoft Dynamics SL 7.0Microsoft Expression Blend Microsoft Expression DesignMicrosoft Expression Media Microsoft Expression StudioMicrosoft Office Groove 2007Microsoft Office Groove Server 2007Microsoft Office Project 2007Microsoft Office Project Server 2007Microsoft Office Project Portfolio Server 2007Microsoft Office SharePoint Designer 2007Microsoft Office Visio 2007Microsoft SharePoint Server 2007Microsoft Visual J# Version 2.0 Redistributable Package Second EditionMicrosoft Windows SharePoint Services 3.0

なお、専用ビューワーの「Excel Viewer」「PowerPoint Viewer 2007」は「Office 2007」ベースとなっているため、「Office 2007」とともにサポート終了となるので注意。姉妹製品「Word Viewer」は「Office 2003」ベースであるためすでにサポートを終了しているが、11月にはダウンロードによる提供も終了することがすでに発表されている。

 

 

 

【関連記事】

The Document Foundationは5日、ワープロソフト「Writer」、表計算ソフト「Calc」、プレゼンテーションソフト「Impress」などからなる無償のオフィス統合環境「LibreOffice」の“最新版”v5.4.2を公開した。

本バージョンでは、クラッシュやメモリリークなどの不具合が約100件修正されている。

「LibreOffice」は、オープンソースのオフィス統合環境。Windows XP/Vista/7/8/10および64bit版のWindows Vista以降に対応する寄付歓迎のフリーソフトで、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできる。なお「LibreOffice」は、最新機能を積極的に盛り込んだ“最新版”と、企業などでの利用が推奨されている“安定版”の2種類が用意されている。

 

 

【関連記事】

Windows 10のセキュリティ対策について、今回は「脅威からの保護」の仕組みを解説する。

Windows 10では、セキュリティ上の脅威からの保護策は大きく3つに分かれる。1つ目は伝統的なセキュリティ機能であるWindows Defender(アンチマルウェア)、Windows Firewall(ホスト型ファイアウォール)、SmartScreen(Webサイトのリアルタイムの検証)だ。2つ目はWindows 10に新たに導入されたセキュリティ機構「Device Guard」、3つ目はWebブラウザで「Microsoft Edge(以下Edge)」の導入だ。

●正しいコードを正しい状態で動かすDevice Guard

以下ではDevice GuardとEdgeについて、どのようなセキュリティ機能を備えるのかを順に紹介する。

Device Guardは、第1回で紹介した仮想マシン「VBS」をベースに動作する。「正しいコード」が、悪意ある改変を受けていない「正しい状態」で稼働していることを担保する一連の機構だ。

Device Guardの概念は幅広い。そのため、Microsoftのドキュメント内でも内容や指し示す技術の範囲が微妙に異なっている。今回は、“Device Guard の概要:仮想化ベースのセキュリティとコードの整合性ポリシー”で述べられている内容を中心に取り上げる(*1)。

――
(*1) マイクロソフト TechNetにある該当ページの内容はこちら。
――

そもそも正しいコードとは何だろうか。適切な署名がされたコードという意味だ。つまり、コードの出荷元が明確であり、改版がされていないコードだ。Device Guardを一連の機構と呼ぶのは、PCのブートからユーザーによるアプリケーションの起動まで、複数の技術を利用して正しさを保証するからだ。

まずPCのブート時に、第1回で解説した「Windows Trusted Boot」を利用して正しさを保証する。

ブート後のコード実行は、「KMCI(Kernel Mode Code Integrity)」と、「UMCI(User Mode Code Integrity)」で保証する。

ドライバのコード署名やAppLockerなど、コード(プログラム)の整合性チェック自体は、Windows 10以前のシステムで実装済みだ。ところが、整合性チェック機能自体がWindows上で稼働し、整合性チェックに利用するデータもWindows上にあるため、どちらも改ざんされる可能性があった。

そこでWindows 10から導入されたVBSの機能を用いる。KMCIとUMCIは、VBS内で動作するVSM(Virtual Secure Mode)の「Hyper-Visor Code Integrity」を利用する。

検証機能と検証に必要なデータをVSMに移すことで、信頼性の高い整合性チェック機構を実装できた。なお、VBSを利用することで、DMAベースの攻撃(*2)からも情報とコードを保護できる。

――
(*2) Direct Memory Access(DMA)を利用することで、ファイルではなく、メモリ上に残った整合性チェックに利用するデータなどを読み出す攻撃をいう。
――

企業内でDevice Guardを利用する際には、稼働を許可する署名されたソフトウェアをまずリスト化する。標準PCで「コード整合性ポリシー」を作成し、これを組織内のPCに展開する。

コード署名のないソフトウェアも実行可能だ。Device Guardの一部として開発されたツール「Package Inspector」を使用して、実行を許可するアプリのカタログをまず作成する。その後、組織内のPCに展開すればよい。

●詐欺対策を施したEdge

「水飲み場型攻撃」という言葉があるように、Webブラウザは主要な攻撃ターゲットの1つだ。Windows 10には、PCのWebブラウザを経由した攻撃に向けた対策も強化した。そのために標準のWebブラウザをInternet Explorerから、セキュリティを強化したEdgeに変更した(*3)。

――
(*3) Edge のセキュリティの強化。
――

Webブラウザを悪用する攻撃は大きく2種類に分けることができる。フィッシングや架空請求などの”詐欺”と、Webブラウザの拡張機能や脆弱(ぜいじゃく)性を使ってデバイス上でコードの実行を試みる“ハッキング”だ。まずは詐欺対策について紹介する。

オンラインサービスの認証情報を狙ったフィッシングやリスト型攻撃などによる被害が後を絶たない。これらの被害が生じる本質的な問題は、オンラインサービスが、ユーザーIDとパスワードによる認証に頼っている点にある。

Windows 10では、より安全で簡単な認証方式を導入している。FIDOアライアンス(*4)のWeb認証に従った「Windows Hello」と「Microsoft Passport」だ。Windows Helloは、生体認証システムを用いることでパスワードを使わない安全なWindowsシステムへのログオンを提供する。加えてMicrosoft Passportで利用する秘密鍵と公開鍵を生成し、デバイス内に保存する。特に秘密鍵はTPM(Trusted Platform Module、セキュリティチップ)に保存する。

――
(*4) FIDO Allianceはオンライン認証技術の標準化団体。生体認証や多要素認証の利用に向けた標準を策定している。
――

オンラインサービスへの攻撃やリスト型攻撃に向けた対策

ユーザーがオンラインサービスにアクセスした場合を例に、実際の認証の流れを追ってみよう。

Microsoft Passportは、FIDOをサポートするオンラインサービスの利用を開始する場合などに、Windows Helloが生成した公開鍵をオンラインサービスに登録する。

オンラインサービスとデバイスの認証は、デバイスのTPMに保存した秘密鍵と、オンラインサービスに登録した公開鍵を使ったチャレンジ&レスポンス方式で進める*5)。つまり、デバイス自体を多要素認証の1つとして活用する。

――
(*5) オンラインサービスなどに対してランダムな値(チャレンジ値)を送信し、このチャレンジ値をサービス側が暗号化した値(レスポンス値)を送信元に戻す。返されたレスポンス値と元のランダム値から計算した値を比較することで、正しい相手にアクセスできていることを確認する認証方式。認証ごとに異なるランダムな値を使用するため、パスワード方式に比べて安全性が高い。
――

Microsoft Passportを使えば、オンラインサービスに登録した証明書が漏えいした場合でも、オンラインサービスの悪用には至らない。

その理由はこうだ。パスワードを使わないため、フィッシングサイトのような偽サイトは、ログオンに必要なアカウント情報を取得できない。加えてオンラインサービスが侵害されて登録した公開鍵に相当する証明書が盗まれた場合でも、ユーザーの手元にあるデバイスのTPMに記録された秘密鍵を攻撃者が入手できないため、悪用はできない。

IDとパスワードを使うサービスにも配慮

ただし、Microsoft HelloとMicrosoft Passportの組み合わせも万能ではない。現段階では、ユーザーIDとパスワードを使うオンラインサービスが多いためだ。引き続きフィッシングなどへの従来型の対策が必要だ。

従来型の対策とは、Windows 7で導入された「Microsoft SmartScreen」である。フィッシングサイトやマルウェアを含むサイトのリストを利用することで防御する。Windows 10では証明書のレピュテーション(信用)を評価し、不適切な証明書を使用しているサイトへのアクセスもブロックする。

SSL(Secure Sockets Layer)やTLS(Transport Layer Security)などで利用するサーバ証明書は、本来なら信頼できるものだ。だが、2011年に起きたDigiNotarの事件に加えて、Stuxnetでは第三者の正規の証明書を利用し、Flameではマイクロソフト証明書を偽装するなど、証明書に対する攻撃が無視できない状況にある。証明書だからといって、必ずしも信頼できるとはいえなくなっている。

SmartScreenの目的は、このような信頼できない証明書による被害を防ぐことだ。アクセス時に証明書を厳密に評価し、偽証明書を使った可能性のあるサイトなどを検出し、疑わしいサイトへのアクセスをブロックする(*6)。

――
(*6) 「より信頼できる証明書利用環境へ向けて~ Internet Explorer 11 SmartScreen 証明書評価」(マイクロソフト TechNet)
――

●Edgeのハッキング対策

詐欺対策に続いて、Edgeが備えるハッキング対策についても紹介しよう。

Edgeは、新しいWebブラウザとして開発された。このため、最新の標準に基づいた実装に加え、大きく4つのセキュリティ対策を組み込むことができた。「HTML5のサポートとアクティブコンテンツのサポート停止」「Universal Appsへの移行とAppContainerの利用」「Use After Free対策/ヒープスプレー対策」「バイナリコードに対する制限の追加」だ。

HTML5のサポートとアクティブコンテンツのサポート停止

Edgeは、従来のVBScript、Jscript、VML(Vector Markup Language)、ブラウザヘルパーオブジェクト、ツールバー、ActiveXコントロールのサポートを取りやめた。そして新たにHTML5をサポートした。

加えてInternet Explorerで見つかった脆弱性の多くを占めるDocument Mode(*7)も削除したことで、攻撃を受ける可能性を大幅に引き下げた。

――
(*7) HTMLをレンダリングするエンジンを切り替える機能。古いInternet Explorerのバージョンに相当するエンジンを利用できる。
――

Universal Appsへの移行とAppContainerの利用

さまざまな対策を講じていたとしても、Webブラウザ上で攻撃が成功してしまう可能性が残っている。その場合でもシステムへの影響を最小化するため、Webブラウザとシステムを分離するサンドボックス化をこれまでも進めてきた。Internet Explorer 7では保護モード、Internet Explorer10/11では拡張保護モードを採用している。

さらにWindows 8ではスマートフォンのアプリケーションと同様に、システムリソース(ファイルや通信など)への直接的なアクセスができない仕組み「AppContainer」を導入した。

Windows 10ではEdgeがActive Xやサードパーティーのバイナリ拡張機能を削除した。これにより、64bitプロセスのUniversal Appとして、常時AppContainer上で稼働できるようになった。

従来の整合性レベルに基づいた保護モード/拡張保護モードと比較して、より明確にシステムと分離できており、攻撃コードが実行された場合でもシステムの安全性が高まっている。

Windows 10 Creators Updateで提供されたEdgeのAppContainerの構成では、それぞれのAppContainerは独立したコンポーネントとして、互いに分離された環境で動作する(*8)。

――
(*8) Windows Blogsに掲載された「Strengthening the Microsoft Edge Sandbox」の内容。
――

5つのAppContaierの役割を以下に示す。

――
・Internet AppContainer(以下AC):JavaScriptやマルチメディアを含むインターネットサイトからのコンテンツをホストする
・Intranet AC:イントラネットからのコンテンツをホストする
・Extension AC:Edgeの拡張機能をホストする
・Service UI AC:「about:flags」やデフォルトのWebページなどの特別なページをホストする
・Flash AC:Adobe Flash Playerをホストし、他のコンポーネントと分離する
――

Use After Free対策/ヒープスプレー対策

Windows 10 Creators Updateでは、Edge向けに攻撃コードの新たな実行防止機能「MemCG」と「Control Flow Guard」を実装した。

MemCGは、システム上の対応が難しかった「Use After Free(UAF)攻撃」への対策として盛り込まれた。UAF攻撃では、解放されたヒープメモリ領域に対して攻撃者が不正なコードを書き込み、実行させる。

このような攻撃を防ぐためにMemCGはメモリへの参照がないことを確認した上でメモリを解放し、UAFを回避する。

Control Flow Guardは、Edgeばかりではなく、全てのWindowsプログラムで利用可能な機構だ。プログラムのビルド時に仮想関数に代表される間接呼び出しのジャンプ先を、アドレステーブルとして作成し、ジャンプ先がテーブル内に収まっていることを確認する。こうして、「Return-to-Libc」や「ROP(Return Oriented Program)」などの攻撃を防止する。

Edgeではヒープスプレー攻撃に対する防御も強化された。従来の32bit版のWebブラウザは、2GBのアドレススペースしか持たない。そのため、プロセスに割り当てられたメモリの大半をヒープスプレーでコントロールできる。

Edgeは64bitアプリケーションだ。64bitプロセスのメモリ空間は、128TBと格段に広く、ヒープスプレーで攻撃が成立するために必要なメモリ領域を攻撃者がコントロールすることは現実的ではない。

例えば攻撃側が1Tバイトのヒープ領域を確立したとしよう。1Tバイトは、16Gバイトの実メモリを搭載している場合でも64倍のメモリ空間に相当することに加えて、Edgeが利用可能なメモリ空間の128分の1しかカバーできていない。ヒープスプレー攻撃が成功する確率はかなり低くなる。

さらに、Windows 8で実装したアドレス空間配置の強いランダム化「High Entropy ASLR(Address Space Layout Randomization)」では、ヒープの開始アドレスが24bit(約1700万通り)でランダムに割り当てられる。メモリ空間の広さと予測の難しさが合わさって、ヒープスプレー攻撃を成功させることを極めて難しくしている。

バイナリコードに対する制限の追加

Windows 10 Creators Updateでは、「CIG(Code Integrity Guard)」「ACG(Arbitrary Code Guard」と呼ぶ保護機構も導入した(*9)。

CIGは先ほど解説したUMCIを利用し、適切に署名されたコードだけがロードされることを保証する。

ACGは、コードが展開されたメモリ領域を書き込み禁止にすることで、ロード後にコードが改変されることを防止する。同時に新たなコードページの生成を防止する。これによって、メモリ上でコードを生成する攻撃を防止する。

――
(*9) 「Microsoft Edgeでの任意のネイティブコード実行の影響の緩和」。

Microsoftは、「Windows 10 Fall Creators Update」に新たな追加オプションを組み込むことで、引き続き「Windows 10」のプライバシー設定に微調整を試みている。

Microsoftが2017年春に提供を開始した「Windows 10 Creators Update」では、かなりの数のプライバシー設定が新たに組み込まれた。米国時間9月13日に発表された追加オプションは、それに続くものになる。同社はこれまで、プライバシー設定や、Windows 10が最初に登場して以来収集している遠隔測定データの量について、さまざまな保護団体や一部の顧客から寄せられる苦情をくい止めようとしてきた。

Fall Creators Updateで、Microsoftは設定プロセスに2つの新しいプライバシー関連の変更を加える。ユーザーは、設定プロセス中に、Windows 10のプライバシーポリシーを直接表示できる。また、新しいデバイスをセットアップする場合、プライバシー設定画面の「Learn More」ページから、位置情報や音声認識、診断、各ユーザーに合わせた体験、広告など、関連する設定に直接アクセスできるようになる。

また、位置情報だけでなくアプリケーション管理を設定する機能も追加される。「Windowsストア」を通じてインストールされたアプリは、カメラやマイク、連絡先、カレンダーなどの使用許可をユーザーに求めるメッセージを表示する。アプリケーションが許可を求めるこの新しいプロンプトは、Fall Creators Update後にインストールされたアプリにのみ適用される。ほかのインストール済みアプリに関しては、「設定」→「プライバシー」から許可を調整することができる。

法人ユーザーの場合は、診断データを「Windows Analytics」に最低限必要な範囲に限定する新設定も加わる。Windows Analyticsは、ITのプロフェッショナルを対象とするサービスで、Windows 10のデプロイやサービス、サポートに関する詳しい情報を提供する。

Microsoftは「Windows Insider Program」で、Fall Creators Updateのテストビルドのリリースを続けている。12日には「Fast Ring」テスター向けに、Fall Creators UpdateのPC版テストビルド「Build 16288」を公開し、多くの修正を行った。Microsoftは、「Windows 10 Mobile」のテストビルド「Build 15250」も配信した。2要素認証に対応したほか、多くの修正とアップデートが提供されている。

 

 

【関連記事】

Microsoftは、Windows 10に関するユーザーからの改善提案などを受け付けているフィードバックHubにて、現行のWindows 10 Creators Update(バージョン1703、Build 15063)でゲームをプレイするさいにフレームレートが著しく低下し、カクツキを起こしてしまう症状について言及している。

この問題はNVIDIAのフォーラムなどでも話題になっていた症状で、GeForce GTX 1080 Tiで構成しているようなハイエンドクラスな構成であっても発生してしまう模様。フォーラムの投稿者のうちの1人によれば、Battlefield 1やBattlefield 4、Overwatch、Rocket Leagueなどで発生したとしており、ドライバのクリーンインストールや、Windows 10のGame DVRとGame Modeを無効化しても変わらなかったようだ。

MicrosoftはフィードバックHubにおいて、この問題について認識しており、次期大型アップデートのWindows 10 Fall Creators Updateに向けたInsider PreviewのBuild 16273にて解決を図ったという。現状のCreators Updateのままではこの問題は修正されないようで、この問題を解決するにはInsider Programに参加してアップデートを行なうか、Fall Creators Updateの正式版リリースまで待つ必要がある。

なお、Fall Creators Updateでは、その特徴の1つとつとしてゲーム性能の向上がうたわれている(Fall Creators Updateはゲームプレイ時にCPUの全性能を引き出すように参考)。

 

 

【関連記事】

これはいったい、どういうことでしょうか。Device Guardは、エディション限定のセキュリティ機能だったはずです。ここからは、筆者の解釈も含まれます(ご注意ください)。

詳しい手順は説明しませんが、Device Guardの主要な構成要素であるコード整合性ポリシーは、Windows PowerShellの「New-CIPolicy」コマンドレットなどを使用して作成できます。このコマンドレットは、Windows 10 Homeを除くPC向けのWindows 10とWindows Server 2016に含まれますが、その実行にはエディションの制限がかかっています。Windows 10 Enterprise/EducationとWindows Server 2016ではコード整合性ポリシーを作成できますが、その他のエディションでは実行がブロックされます。

コード整合性ポリシーは「カーネルモードのコード整合性ポリシー(Kernel Mode Code Integrity Policy:KMCI)」と「ユーザーモードのコード整合性ポリシー(User Mode Code Integrity Policy:UMCI)」の2つを含みます。

前者(KMCI)はカーネルモードで動作するデバイスドライバを制限し、後者(UMCI)はWin32アプリケーションとWindowsアプリを制限します。Device Guardの公式ドキュメントによると、KMCIの機能は、以前のWindowsから存在していたそうです(Windows 8.1 x64から要求されるようになったカーネルモードコード署名ポリシーによるデバイスドライバの制限だと思います)。また、UMCIの機能もWindows RTおよびWindows Phoneに提供されていたそうです。

Windows 10で新しくなったのは、KMCIとUMCIのコード整合性ポリシーを企業独自に作成し、展開できるようになったこと。そして、KMCIに関してはVBS(仮想化ベースのセキュリティ)と組み合わせることで、保護をさらに強化できることです(これを「Hypervisor Code Integrity:HVCI」や「Hyper-Vコード整合性」と呼びます)。例えば、VBSと組み合わせると(つまり、HVCI)、KMCIのコード整合性ポリシーをUEFI(Unified Extensible Firmware Interface)でロックして、リモート(つまりグループポリシー設定)で解除できないようにすることができます。

別の言い方をすれば、KMCIとUMCIのコード整合性ポリシーは「VBSがなくても使用できる」ということになります。VBSを使用しないなら、VBSのハードウェア要件(つまり、Hyper-Vのハードウェア要件)を満たす必要がありません。

そして、Windows 10 S相当にするコード整合性ポリシーの動作を見る限り、VBSを使用しないコード整合性ポリシーは、EnterpriseとEducationだけには制限されないようなのです。試しに、筆者がWindows 10 EnterpriseのNew-CIPolicyコマンドレットで作成した独自のコード整合性ポリシーを、同じバージョン(ビルド)のWindows 10 Homeにスタンドアロンで構成してみたところ、Windows 10 HomeでもDevice Guardのコード整合性ポリシーが機能しました。

なお、Windows 10 バージョン1607以降のEnterpriseおよびEducation、Windows Server 2016では、Hyper-Vを有効化することでVBSが自動的に組み込まれます。その後、グループポリシーやローカルポリシーを使用して、Device GuardやCredential Guardを構成します。

Windows 10の他のエディションはVBSをサポートしておらず、Hyper-Vを有効化してもVBSは利用可能になりません。なお、Windows 10 バージョン1511までは、「分離ユーザーモード(Isolated User Mode)」という機能を有効化する必要がありました。

今回の内容をまとめると、コード整合性ポリシーはDevice Guardとは無関係ではありませんが、Device Guardに含まれるセキュリティ機能の一部ではなく、Windows 10標準のセキュリティ機能ということになります。そして、VBSと組み合わせたHVCIで、KMCIの基準を引き上げることができます。全てのWindows 10エディションが備えるコード整合性ポリシーを「広義のDevice Guard」、エディション限定のものを「狭義のDevice Guard」と呼んでもよいかもしれません(広義と狭義の分類は、筆者の勝手な分類です)。

 

 

【関連記事】

米Microsoft Corporationは23日(現地時間)、「Windows 10 Insider Preview」のPC版Build 16273を“Windows Insider Program”の“Fast”リングの参加ユーザーに対して公開した。今後は9月に予定されている「Windows 10 Fall Creators Update」のリリースに向け、安定性の向上に注力していくという。

「Windows 10 Fall Creators Update」の次期機能アップデート(Redstone 4、RS4)の開発はすでに始まっており、“Windows Insider Program”のコンテンツ受け取り設定を“Skip ahead to the next Windows release”へ切り替えればアップデートを受信することが可能(“RS_PRERELEASE”ブランチ)。ただし、このブランチはバージョンアップが頻繁に行われるものの、新機能や大規模な改善の投入はまだ先のことになる。特に理由がなければ、これまで通り「Windows 10 Fall Creators Update」(RS3)のアップデート(“RS3_RELEASE”ブランチ)を受信しておくとよいだろう。

さて、本ビルドはシェルや「Microsoft Edge」、入力機能の強化、および不具合の修正がメインとなっているが、いくつかの新要素も導入されている。

まず、“My People”で絵文字機能をテストするための「Windows Insider Emoji Bot」が追加された。このBOTを「Skype」のコンタクトに追加してタスクバーへピン留めしておけば、友達の少ない人でも簡単に絵文字の受信をテストすることができる。

また、新しいOpenTypeフォント「Bahnschrift」が追加された。このフォントはウェイトを自由に変えられるのが特徴で、従来の静的フォントと異なり、わざわざ複数のフォントウェイトを用意しなくても、1つのフォントで細字から太字までのスタイルをカバーできる。こうした可変フォントはファイルサイズも小さく、将来的には静的フォントを置き換えることが期待されている。

 

 

 

【関連記事】