検証！　Microsoft＆Windowsセキュリティ

Microsoftは2023年5月以降、セキュアブートのセキュリティ機能がバイパスされる脆弱性（CVE-2023-24932）への対策を段階的に進めています。2024年10月には、その対策は“強制施行フェーズ”となり、セキュアブートが有効な、サポート中のWindowsの全バージョンに対して脆弱性緩和策が強制されます。その影響と現時点でできる備えをまとめました。

2024年1月の定例のセキュリティ更新では、多くのWindows 10ユーザーがセキュリティ更新プログラム「KB5034441」がエラー「0x80070643」で更新の失敗を繰り返すという問題に遭遇しました。失敗の原因や回避策、その後の対応を追跡します。

Windows Server 2012／2012 R2に対して「拡張セキュリティ更新プログラム（ESU）」を通じて提供される「セキュリティ更新プログラム」は、Microsoft Updateカタログから誰でもダウンロード可能です。しかし、それをインストールするには“ESUを利用する権利”が必要です。ESUを知らずにセキュリティ更新プログラムを入手、インストールした場合、どうなるのでしょうか。検証してみました。

Windows 10／11およびWindows Server 2016以降にはマルウェア対策として「Microsoft Defenderウイルス対策」が標準搭載されており、他社のウイルス対策製品がインストールされていなければ、既定で有効になります。Microsoft Defenderウイルス対策のプラットフォーム、エンジン、定義ファイルの更新が、Microsoftの管理によって段階的ロールアウトされていることをご存じでしょうか。

Windowsの新機能はまれに、従来の動作に意図しない影響を与えることがあります。今回は、別の連載で紹介したWindows Updateの企業向けの新しいポリシー設定が期待通りに、つまり、その仕様通りに機能するのかどうかを検証した結果をお伝えします。

Windows 11では、2023年6月末以降、毎月の累積的な更新プログラム（Latest Cumulative Update）のタイミングで、可能な場合にWindows回復環境（WinRE）が更新されるようになりました。しかし、WinREのコマンドプロンプトで起動しても、OSビルドは古いままです。いったい何が更新されるのでしょうか。

Windows 10（x64）とWindows 11 Pro／Enterprise／Educationエディションには、「Microsoft Defender Application Guard」が搭載されており、ローカルのOSとは分離された環境（コンテナ）で実行されるMicrosoft Edgeで安全なインターネットアクセスを可能にします。この機能は、OfficeアプリによるOfficeドキュメントの閲覧にも拡張されています。

Windows Server 2016以降、リモートデスクトップサービスの仮想マシンベースのデスクトップ展開では、サポートされるゲストOSにWindows 11が含まれていません。サポートの有無は別として、Windows Server 2022でWindows 11ベースのVDIを構築できるのかどうか検証してみました。

「DirectAccess」は、Windows 7およびWindows Server 2008 R2から利用できる企業ネットワークへの安全なリモートアクセス手段の一つです。しかし、現在のWindows 10とWindows 11では、DirectAccessは非推奨になりました。その代替として、「Always on VPN」が推奨されています。その導入手順を検証してみました。

Windows 11 バージョン22H2の新機能の一つ「スマートアプリコントロール」はご存じでしょうか。多くのユーザーは知らないか、知っていたとしても利用できない状態になっているのではないでしょうか。この新機能、どんなものか体験してみました。

本連載では、主にMicrosoftの製品およびサービスに実装されたセキュリティ機能や、更新プログラムなどによって実施されたセキュリティ強化策について検証し、可能な場合は具体的な影響例を示します。第1回は、2023年5月のセキュリティ更新プログラムで初期展開フェーズが始まったセキュアブートに関わる脆弱性対策を解説します。