Windows 11

Microsoftは、プレビュー版で利用可能なWindows 11の新しい管理者保護セキュリティ機能について、Windows Hello認証プロンプトを使用して重要なシステムリソースへのアクセスをブロックする、より詳細な情報を共有した。

先月、Canary Channel の Windows 11 Insiders 向けプレビュービルドで初めて紹介された管理者保護機能は、「管理者ユーザーのフリーフローティング管理者権限を保護し、ジャストインタイムの管理者権限ですべての管理者機能を実行できるようにする」ように設計されている。

さらに言えば、この機能がデバイス上で有効になると、システムにログインしているユーザーは標準的なユーザー権限しか持たなくなり、レジストリの変更や新しいアプリのインストールを行おうとすると、PIN や生体認証を使って Windows Hello による認証が求められるようになる。

これらの追加の認証プロンプトは、Window のユーザーアカウント制御(UAC)セキュリティ機能よりも回避が難しく、マルウェアや攻撃者がこのような重要なリソースにアクセスしてシステムを危険にさらすのを防ぐことができるはずです。

「Windowsは、一時的に隔離された管理者トークンを作成します。この一時的なトークンは、タスクが完了すると直ちに破棄されるため、管理者権限が持続することはありません

「管理者保護は、マルウェアではなくユーザがシステムリソースを制御し続けることを保証するのに役立ちます。また、特定の Windows Hello 認証なしに、カーネルやその他の重要なシステム セキュリティに自動的に直接アクセスできなくなるため、攻撃者を混乱させることができます。”

Windows 11 admin protection prompts
Windows 11 の管理者保護プロンプト (Microsoft)

この機能が最初に導入された10月にWindows Insider Teamが共有したように、管理者保護機能はデフォルトではオフになっており、グループポリシーで有効にする必要があります。

Windows Helloはまた、Windows 11 22H2で導入された個人データの暗号化(Personal Data Encryption)という機能を使って、デスクトップ、ドキュメント、ピクチャフォルダに保存されたファイルへのアクセスをブロックするための認証にも使われる。

管理者はまた、スマート・アプリ・コントロールとビジネス向けアプリ・コントロールのポリシーを有効にして、ユーザーが悪意のあるアプリやドライバーをダウンロード、インストール、実行するのを防ぐことができる。

「多くの攻撃は、ユーザーが安全でない、または署名されていないアプリやドライバーをダウンロードすることで発生します。これにより、悪意のある添付ファイルやソーシャル・エンジニアリングによるマルウェアのような攻撃を排除することができます。

IT管理者は、アプリ制御ウィザードで “署名された評判の良いポリシー “テンプレートを選択するだけです。これにより、導入場所に関係なく、何百万もの検証済みアプリを実行できるようになります」。