「Windowsのセキュリティ機能」の版間の差分

編集の要約なし
m
 
== Windowsにおけるアカウント ==
 
=== アカウントの種類 ===
Windowsには以下の種類のアカウントがある:
|グループアカウンの情報の表示・設定(ローカルアカウント(後述)のみ)<ref name=":3" />
|}
<br />
 
=== アカウントの識別方法 ===
 
==== SIDとGUID ====
Windowsの全てのユーザアカウント、コンピュータアカウント、グループアカウントのように認証やアクセス制御の対象となる主体の事を'''セキュリティプリンシパル'''といい、Windowsのセキュリティプリンシパルには[[セキュリティ識別子|'''SID'''(Security Identifier、セキュリティ識別子)]]、[[GUID|'''GUID'''(Globally Unique Identifier、グローバル一意識別子)]]という2つの固有識別子が割り振られている<ref>{{Cite web|url=https://www.secomtrust.net/secword/securityprincipal.html|title=セキュリティプリンシパル(Security Principal)|accessdate=2019/01/04|website=セコムトラストシステムズのBCP(事業継続計画)用語辞典}}</ref>。
 
=== ユーザアカウントの分類 ===
 
==== 権限による分類 ====
ユーザアカウントはそのアカウントが持つ権限により、以下の2つに分類される:
 
Windows 10以降は、マイクロソフトの[[シングルサインオン]]ウェブサービスである'''[[Microsoft アカウント]]'''を使って自分が所有するマシンにサインインする事が可能になった<ref name=":5">{{Cite web|url=https://boxil.jp/mag/a21/|title=Windows 10のMicrosoftアカウント・ローカルアカウントの違いと特徴 {{!}} 便利なのはどっち?|accessdate=2019/01/03|website=ボクシルマガジン|publisher=}}</ref>。
<br />
 
== マシンをまたがるアカウント管理・ファイル共有 ==
 
==== 信頼関係 ====
 
* ドメイン内のアカウントの信頼関係はドメインコントローラーが制御する。
* 同一ドメイン・ツリー内の各ドメイン間には双方向かつ推移的な信頼関係が結ばれる<ref name=":14">{{Cite web|url=http://www.atmarkit.co.jp/ait/articles/0211/13/news002.html#forest|title=第3回 Active Directory関連用語集(前編) (1/2)|accessdate=2019/01/03|date=2002/11/13|website=@IT|work=管理者のためのActive Directory入門|publisher=}}</ref>。よってドメイン・ツリー内の他ののドメインのリソースへもアクセス可能になる<ref name=":14" />。
 
なお、アクセス制御設定画面の「簡易表示」では制御内容として「フルコントロール」、「変更」、「読み取りと実行」、「フォルダーの内容の一覧表示」、「読み取り」、「書き込み」があるが、これらは前述した14項目の組み合わせとして定義される<ref name=":21" />。例えば「読み取り」は「フォルダーの一覧/データの読み取り」、「属性の読み取り」、「拡張属性の読み取り」、「アクセス許可の読み取り」、「同期」の5項目を全て「許可」にし、それ以外の9項目を全て「拒否」にするという設定である<ref name=":21" />。
 
<br />
 
==== 適用先 ====
 
==== その他のアクセス制御 ====
 
* 共有フォルダ([[Server Message Block|SMB・CIFS]]によるファイル共有)では'''NTFS DACLとは別のACL'''により共有アクセスのアクセス権を制御しており<ref name=":25">{{Cite web|url=https://news.mynavi.jp/itsearch/article/hardware/826|title=【第10回】ファイルの共有(共有アクセス権のあれこれ)|accessdate=2019/01/07|date=2010/10/12|website=IT Search+|work=【連載】にわか管理者のためのWindowsサーバ入門|publisher=マイナビニュース}}</ref>、このACLで付与されたアクセス権を'''共有アクセス権'''という<ref name=":25" />。共有アクセス権は「共有フォルダのプロパティ>共有>詳細な共有」で設定可能<ref>{{Cite web|url=https://news.mynavi.jp/itsearch/article/hardware/825|title=【第9回】ファイルの共有(共有の操作)|accessdate=2019/01/07|date=2010/09/27|website=IT Search+|work=【連載】にわか管理者のためのWindowsサーバ入門|publisher=マイナビニュース}}</ref>。共有アクセス権とNTFS DACLのアクセス権が競合している場合は両者とも許可の場合のみアクセスが許可される<ref name=":25" />。
*Windows Server 8では任意アクセス制御であるDACLの他に[[強制アクセス制御]]である'''Central Access Policy'''(集約型アクセス ポリシー)が実装されている<ref>{{Cite web|url=http://ascii.jp/elem/000/000/685/685204/|title=新たに追加された強制アクセス制御「Central Access Policy」 ACLから20年!Windows Server 8で追加の新アクセス制御とは?|accessdate=2019/01/07|date=2012/4/12|website=ASCII.jp×TECH|work=使って理解しよう!Windows Server 8の姿 ― 第3回}}</ref>。
 
規模がより小さい企業では上述したA、G、U、DL、Pを全て用意する必要はなく、AUP、AGLP、AGDLPなどにする<ref>{{Cite web|url=http://ascii.jp/elem/000/000/505/505060/|title=小規模向けのAUPと大規模環境向けのAGUDLPについても学ぼう 「機能レベル」でActive Directoryの互換性を確保しよう|accessdate=2019/01/04|date=2010/3/16|website=ASCII.jp×TECH|work=Windows Serverで学ぶサーバOS入門 ― 第8回|page=1}}</ref>。
 
<br />
 
=== 監査 ===
 
== 認証とID連携 ==
<br />
 
=== Window 10へのサインイン方法 ===
 
 
またサインインの際、事前に指定した携帯電話やメール アドレスに送信されるセキュリティコードを入力する2 段階認証もできる<ref name=":26" />。
 
<br />
 
=== Active Directoryにおける認証 ===
 
にログインするための[[シングルサインオン]]Webサービスである。[[OpenID]]、[[FIDO Alliance|FIDO2]]をサポートしている。
 
<br />
=== Microsoft Identity Manager(MIM) ===
AD環境のAGUDLPではグループ管理が煩雑になる事を踏まえて作られたユーザープロビジョニングサービス<ref>{{Cite web|url=https://blogs.technet.microsoft.com/junichia/2013/03/29/iam-dac-rbac/|title=【IAM】 DAC その1 ~ グループベース RBAC の破たん?|accessdate=2019/01/04|date=2013/3/29|publisher=マイクロソフト}}</ref>。「ID統合」を行うためのサービスで<ref name=":23">{{Cite web|url=http://www.intellilink.co.jp/article/column/mim01.html|title=ID連携の花形!MIM 2016やってみる?(1) - IDaaS と MIMの関係|accessdate=2019/01/07|publisher=NTTデータ先端技術研究所}}</ref>、特に「「IDのライフサイクル管理を行う」ことで、管理者の作業・監査における省力化を目的」<ref name=":23" />としている。下記のように、何度か名称が変更されている<ref name=":23" />:
 
== ポリシー管理・ポリシー制御 ==
 
=== Windowsにおける権限 ===
Windowsにおけるユーザ権限は、シャットダウンやバックアップなどマシン全体に関わる権限である'''特権'''とローカルログインなど個々のユーザに関する権限である'''権利'''に分かれる。
 
ユーザの特権・権利は'''secpol.msc'''(ローカル セキュリティ ポリシー)の「ユーザー権利の割り当て」から確認でき、グループポリシー(後述)は'''gpmc.msc'''(グループポリシーの管理)の「ユーザー権利の割り当て」から確認できる<ref name=":5" />。
 
<br />
 
=== ローカルセキュリティポリシー ===
 
またApplockerでは「規則の実施」か「監査のみ」を選ぶことができ、前者を選ぶと実行の許可・不許可がAppLockerにより制御されるが、後者を選んだ場合には、AppLockerは実行を制御せず、実行結果がログに記載されるのみである<ref>{{Cite web|url=http://www.atmarkit.co.jp/ait/articles/1506/04/news011.html|title=グループポリシーでアプリケーションの実行を制御する|accessdate=2019/01/09|date=2015/6/5|website=@IT|work=基礎から分かるグループポリシー再入門(6)}}</ref>。
<br />
 
=== Security Compliance Toolkit ===
 
== 暗号化 ==
 
=== BitLocker ===
{{Main|BitLocker}}'''BitLocker'''はディスク全体を暗号化することができる[[セキュリティ]]機能。他のPCにディスクを接続されても、中身を読むことはできない。コンピューターに[[Trusted Platform Module]](TPM)が搭載されていれば、それを使用して暗号化を行う。'''BitLocker To Go'''はUSBメモリなどのリムーバブル・ディスクの暗号化を行える。
=== DPAPI ===
{{Main|DPAPI}}{{節スタブ|date=2019年1月8日 (火) 13:39 (UTC)}}
<br />
 
=== Cryptographic API ===
 
== セキュアなブートプロセス ==
<br />Window 10では下記の仕組みによりブートキットやその他ルートキットに感染するのを防いでいる:
{| class="wikitable"
|+
|メジャーブート
|ファームウェア、ブートローダー、ブート ドライバー等マルウェア対策アプリの前に読み込まれるもの全てのハッシュ値をUEFI ファームウェアがTPMに格納<ref name="win10-boot-jp" />。構成証明サーバーから送られてきた署名鍵を用いてTPMがUEFIのログに署名した上で<ref name="win10-boot-jp" />ログやハッシュ値をサーバに送る<ref name="win10-boot-jp" />。これらを利用してサーバ側でPC の正常性を客観的に評価<ref name="win10-boot-jp" />。
|}<br />
 
== アンチウイルスソフトウェア ==
=== Windows Defender ===
{{main|Windows Defender}}
'''[[Windows Defender]]'''はその内容が時とともに変化したが、2018年現在はマイクロソフトがWindows向けに提供するセキュリティ機能のシリーズ名で<ref name=":35">{{Cite web|url=http://www.itmedia.co.jp/pcuser/articles/1804/10/news027.html|title=「他のセキュリティ対策ソフトはもういらない」とアピールするWindows Defenderの現状 (1/4)|accessdate=2019/01/10|date=2018/4/10|website=ITmedia PC USER_|work=鈴木淳也の「Windowsフロントライン」}}</ref>、下記のものを含んでいる<ref name=":35" />:
{| class="wikitable"
| colspan="2" |EDR(Endpoint Detection and Response)<ref>{{Cite web|url=http://www.itmedia.co.jp/pcuser/articles/1804/10/news027_3.html|title=鈴木淳也の「Windowsフロントライン」:「他のセキュリティ対策ソフトはもういらない」とアピールするWindows Defenderの現状 (3/4)|accessdate=2019/01/10|date=2018/4/10|publisher=ITmedia PC USER_}}</ref>
|}
 
<br />
=== Microsoft Security Essentials ===
{{main|Microsoft Security Essentials}}
2009年9月29日~2020年1月14日にWindows XP, Vista, 7向けに提供していたアンチウイルスソフトウェア。
 
== VBS(Virtualization-Based Security) ==
 
Windows 10 Fall Creators Update(バージョン1709)ではDevice Guardに代わる機能として'''Windows Defender Application Guard(WDAG)'''が導入されている<ref name=":28" /><ref>{{Cite web|url=https://blogs.technet.microsoft.com/jpsecurity/2018/02/05/introducing-windows-defender-application-control/|title=Windows Defender Application Control の紹介|accessdate=2019/01/08|date=2018/02/05|publisher=マイクロソフト}}</ref>。WDAGと並び、'''AppLocker'''もWindowsが持つもう一つのアプリケーションホワイトリスト機能であるが、両者はいわば補完関係にある<ref name=":32">{{Cite web|url=https://docs.microsoft.com/pl-pl/windows/security/threat-protection/windows-defender-application-control/windows-defender-device-guard-and-applocker|title=Windows Defender Device Guard with AppLocker|accessdate=2019/01/08|date=2018/3/5|publisher=マイクロソフト}}</ref>。WDAGは自組織にとって可能な制限レベルに対してのみ強制すべきで、それより低いレベルに関してはAppLockerによる保護で補完する<ref name=":32" />。
 
<br />
 
== 更新プログラムの適用 ==
|検出を拒否する承認状態。「拒否」にした更新プログラムはWSUSの管理コンソールにおいても通常は表示されなくなる。
|}
<br />
 
==== クライアントPCのグループ分け ====
 
== バックアップ、復元 ==
 
=== バックアップ ===
Windowsにはバックアップを取る方法がいくつかある。
<br />
 
* Windowsにはデフォルトでファイルのバックアップの機能が備わっている。例えばWindow 10では「更新とセキュリティ」の「バックアップ」を選択する事でバックアップが可能になる。この際バックアップしたいフォルダ全てを一覧から選択し、バックアップ先のドライブを選択する。
 
またWindows 10の「更新とセキュリティ」には「このPCを初期状態に戻す」という機能がついており、初期状態にリセットできる。
<br />
 
== 著作権保護・情報保護 ==
 
=== Information Rights Management ===
{{節スタブ|date=2019年1月8日 (火) 13:39 (UTC)}}
 
== その他 ==
 
=== Control flow guard ===
[[:en:Control-flow integrity|CFI(Control-Flow integrity)]]技術の一つ<ref name="theregister_windows_cfg">{{Cite web|url=https://www.theregister.co.uk/2016/02/04/emets_win_10_revival_could_be_its_last_as_os_bakes_into_infosec/|title=Microsoft's malware mitigator refreshed, but even Redmond says it's no longer needed|access-date=2016-06-01|last=Pauli|first=Darren}}</ref><ref name="derbycon_bluehat">{{Cite web|url=http://www.networkworld.com/article/2985686/microsoft-subnet/derbycon-former-bluehat-prize-winner-will-bypass-control-flow-guard-in-windows-10.html|title=DerbyCon: Former BlueHat prize winner will bypass Control Flow Guard in Windows 10|access-date=2016-06-01|last=Smith|first=Ms.|website=Network World}}</ref><ref name="threatpost_cfg">{{Cite web|url=https://threatpost.com/bypass-developed-for-microsoft-memory-protection-control-flow-guard/114768/|title=Bypass Developed for Microsoft Memory Protection, Control Flow Guard|access-date=2016-06-01|last=Mimoso|first=Michael|date=2015-09-22|website=Threatpost {{!}} The first stop for security news}}</ref>。インストラクション ポインタの制御を奪う攻撃に対策するため、「コンパイル時にIndirect Call(call eaxなど)を精査して、正当な呼び出しだけを「ホワイトリスト化」したうえで、呼び出し先アドレスにチェックするための関数を挿入する」<ref>{{Cite web|url=https://news.mynavi.jp/itsearch/article/security/1753|title=【第8回】Windows 10とWindows 7、セキュリティ機能のココが違う!|accessdate=2019/01/11|date=2016/08/24|website=ITSearch+|work=【連載】MS ゆりか先生が教えるWindows 10 セキュリティのアレコレ|publisher=マイナビニュース}}</ref>。
=== Dynamic Lock ===
ユーザが所有しているスマートフォンとBluetoothをあらかじめペアリングしておくと、Bluetoothの電波強度を測り、ユーザ(が持っているスマートフォン)がPCから離れるとおよそ1分後に、自動で画面ロックがかかる<ref>{{Cite web|url=https://news.mynavi.jp/itsearch/article/security/2727|title=【第10回】「Creators Update」はセキュリティもすごい(2)|accessdate=2019/01/11|date=2017/05/17|website=ITSearch+|work=【連載】MS ゆりか先生が教えるWindows 10 セキュリティのアレコレ|publisher=マイナビニュース}}</ref>。
<br />
 
== 脚注 ==
 
== 関連項目 ==
 
* [[:en:Category:Microsoft Windows security technology|Category:Microsoft Windows security technology]]
* [[信頼できるコンピューティングのセキュリティ開発ライフサイクル]]
* [[:en:Threat model|Threat model]]
* [[:en:STRIDE (security)|STRIDE]]
 
{{Microsoft Security Products}}{{Windows Components}}
{{Windows Components}}
 
{{デフォルトソート:ういんとうすのせきゆりていきのう}}
1,114

回編集