更新 [2021 年 4 月 19 日]: Intel 第 11 世代 Intel® Core™ プロセッサを搭載したSurface Laptop 4は、強化されたハードウェア セキュリティ機能が既定で有効になった状態で出荷されます。
VBS および HVCI 対応デバイスは、高度な攻撃からの保護に役立ちます
権限昇格攻撃は、悪意のある攻撃者の親友であり、多くの場合、メモリに保存されている機密情報を標的としています。この種の攻撃は、マイナーなユーザー モードの侵害を、OS とデバイスの完全な侵害に変える可能性があります。この種の攻撃に対抗するために、Microsoft は仮想化ベースのセキュリティ ( VBS ) とハイパーバイザーで保護されたコードの整合性 ( HVCI 、一般にメモリ整合性とも呼ばれる) を開発しました。 VBS と HVCI は、仮想化などのハードウェア機能のパワーを利用して、隔離された環境で機密性の高いセキュリティ操作を実行することにより、一般的で高度なマルウェアに対するより優れた保護を提供します。
本日、Microsoft は、新しい Surface Pro 7+ for Business に、Windows の強化されたハードウェア セキュリティ機能をすぐに有効にして出荷し、組み込みで既定で有効になっているさらに強力なセキュリティを顧客に提供することを発表しました。 Surface Pro 7+ for Business は、Surface Book 3、Surface Laptop Go、Surface Pro X などの最近出荷された既存のデバイスに加わり、既定で VBS と HVCI を有効にします。
Surface は、一般的な脅威に対抗するために、既定で追加のセキュリティ機能を有効にします
Surface デバイスは、Office での重要なドキュメントの共同作業から、世界中の同僚との Microsoft Teams 通話まで、さまざまなミッション クリティカルなシナリオでお客様によって使用されています。最新のマルウェアとランサムウェアに対する堅牢な保護を提供することは、Surface にとって重要な目標です。顧客は、デバイスとデータが一般的な攻撃に耐えられることを期待しています。この顧客のニーズを満たすために、Surface は複数のハードウェア プラットフォームにわたって熱心に取り組み、Surface Book 3 や Surface Laptop Go などの対応する新しい Surface モデルで VBS と HVCI を既定で有効にして、さまざまなフォーム ファクターと価格で最新のセキュリティ保護を一貫して提供しています。お客様が利用できるポイント。
VBS と HVCI は、ハードウェア仮想化機能を使用して、通常のオペレーティング システムからメモリ領域を作成および分離します。このセキュリティ機能により、ほとんどの権限昇格攻撃を阻止できます。ハイパーバイザーによって提供される隔離された環境で実行されるセキュリティ サブシステムは、カーネル メモリ ページが書き込み可能かつ実行可能になるのを防止するなど、HVCI 保護を強化するのに役立ちます。
VBS は、 RobbinHoodのような人間が操作するランサムウェア攻撃や、カーネル ドライバーと HVCI によって緩和できる技術を使用するTrickbotのような高度なマルウェア攻撃を含む、実際の攻撃に対して大幅なセキュリティの向上をもたらします。 Microsoft の調査によると、HVCI が有効になっている Microsoft 365 Defender に検出を報告するマシンからのアクティブなマルウェア レポートは、HVCI を使用しないシステムと比較して 60% 少ないことが示されています。 Surface Book 3 は 2020 年 5 月に出荷され、Surface Laptop Go は 2020 年 10 月に出荷されました。ユーザーは VBS を実行していることに気付いていない可能性があるため、内部で行われた作業に基づいてより適切に保護されています。
デバイス セキュリティのシンプルな選択
エンドポイント セキュリティは、常に Surface デバイスの中核にありました。当社のエンジニアリング チームは、2015 年以来、ハードウェア設計の完全なエンド ツー エンドの所有権、社内ファームウェア開発、およびデバイスの更新と管理への全体的なアプローチを通じて、ファームウェア保護とデバイス セキュリティに統一されたアプローチを使用してきました。
Surface の場合、Unified Extensible Firmware Interface (UEFI) は社内で作成され、Windows Update を通じて継続的に維持され、Microsoft エンドポイント マネージャーによってクラウドを通じて完全に管理されます。このレベルの制御により、企業はデバイスが Windows 10 を起動する前に、ファームウェア レベルでリスクを最小限に抑え、制御を最大化できます。ブート ファームウェア レベル。その結果、エンドポイント保護にとって重要な攻撃ベクトルが減少します。 Microsoft は、GitHub の Project Muを通じて、この UEFI* をオープン ソース経由で広く利用できるようにしています。
デバイスのファームウェアと初期起動を保護するために、Surface はセキュア ブートを有効にして、Windows 10 の正規バージョンが起動され、ファームウェアが工場出荷時の状態と同じように正規品であることを確認します。また、Surface では、各商用デバイスにセキュリティ プロセッサ (TPM 2.0) が含まれており、データを保護および暗号化する BitLocker やパスワードなしのサインインを可能にする Windows Hello などの高度な暗号化機能を提供します。これらの組み込みのセキュリティ オプションはそれぞれ、悪意のあるソフトウェア攻撃からデバイスを保護するのに役立ちます。
製造時に必要なハードウェアと OS の設定が構成されているため、高度な Windows セキュリティが有効になっているデバイスを探している顧客にとって、Windows PC は簡単な選択肢です。現在、Surface Pro 7 + for Business、Surface Book 3、Surface Laptop Go、Surface Pro X は、既定で VBS と HVCI が有効になった状態で出荷されています。対応するシリコン上の将来の Surface モデルは、これらの機能も既定で有効になった状態で出荷されます。仮想化をサポートしている他の多くの OEM の最新の Surface デバイスと Windows PC でも、これらの機能を使用できます。お客様は、 端末のセキュリティ設定でメモリ整合性機能を有効にすることができます。これにより、端末が対応しているかどうかも自動的にチェックされます。
Comments