MicrosoftはWindows 11の管理者保護テストを拡大し、InsiderがWindowsセキュリティ設定からセキュリティ機能を有効にできるようにした。
10月にCanary ChannelのWindows 11 Insiders向けプレビュービルドで初めて導入された管理者保護は、隠されたジャストインタイムの昇格メカニズムとWindows Hello認証プロンプトを使用し、重要なシステムリソースへのアクセスをブロックするために必要なときだけ管理者権限を解除する。
この機能を有効にすると、ログインした管理者ユーザーには標準的なユーザー権限のみが与えられ、新しいアプリケーションをインストールしたり、レジストリを変更しようとしたりする際には、PIN または生体認証を使って Windows Hello による認証が求められます。
これらの認証プロンプトは、マルウェアや攻撃者が重要なリソースにアクセスしてシステムを危険にさらすことを防ぐため、Window のユーザーアカウント制御 (UAC) セキュリティ機能よりも回避が難しいはずです。
「管理者保護を有効にすると、信頼されていないアプリケーションや署名されていないアプリケーションを昇格させるためにユーザーの承認を求めるプロンプトが、アプリの説明の下に広がる色分けされた領域で表示されるようになりました」と、Windows Insiderチームは木曜日に述べている。
管理者保護はデフォルトではオフになっており、IT管理者がグループポリシーやIntuneのようなモバイルデバイス管理(MDM)ツールを使って有効にする必要がある。
「管理者保護は、Windowsセキュリティ設定のアカウント保護タブから有効にできるようになりました。これにより、ユーザーはIT管理者の助けを借りることなく、この機能を有効にすることができます」とWindows Insiderチームは付け加えた。
「また、WindowsホームユーザーもWindowsセキュリティ設定から管理者保護を有効にできる。この設定を変更するには、Windowsの再起動が必要です」。
この新しいセキュリティ機能は現在、Windows 11 Insider Preview Build 27774をインストールしたCanary ChannelのInsiderに提供されている。
ここ数カ月、Redmondは2025年初頭にWindows 11 Insider Programコミュニティに新しい “Quick Machine Recovery “機能を展開すると発表している。
さらに、管理者がPCの設定をプリセットされた設定に復元することを可能にするもう一つの新機能であるConfig Refreshと、Zero Trust DNS(すべてのDNSクエリーを信頼できるDNSサーバーにリダイレクトするように設計されている)のWindows 11サポートを追加する予定である。
11月以降、Windows 365とWindows 11 Enterprise 24H2クライアントデバイスでホットパッチのテストも開始した。これは、Windowsがセキュリティ更新プログラムをダウンロードし、再起動せずにバックグラウンドでインストールすることを可能にするものである。
これらの機能の一部は、2023年11月にマイクロソフトのサイバーセキュリティエンジニアリング活動「Secure Future Initiative(SFI)」が開始されて以来、導入されている。
Comments