検索
連載

Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能(その2)企業ユーザーに贈るWindows 10への乗り換え案内(15)(2/2 ページ)

前回は、間もなく企業向け(半期チャネル)に配布が始まるWindows 10 Fall Creators Updateに搭載された新しいセキュリティ機能「Exploit Protection」を紹介しました。今回は、もう1つのセキュリティ機能「Windows Defender Application Guard(WDAG)」が提供する安全なWebブラウジング環境を紹介します。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

エンタープライズモードによるWDAG使用の強制

 WDAGのエンタープライズモードは、企業で使用するWebサイト(ローカルおよびクラウド)を事前に定義し、企業用のWebサイトには通常のMicrosoft Edgeや「Internet Explorer(IE)」でのアクセスを提供し、それ以外の信頼できないWebサイトはWDAGによるブラウジングに自動的にリダイレクトします。ローカルとWDAG間のクリップボード使用許可や、WDAGからの印刷設定などを詳細に許可または禁止することもできます(画面4)。

画面4
画面4 Microsoft Edge/IEから信頼されたWebサイトへのアクセス以外は、全てWDAGの分離されたMicrosoft Edgeにリダイレクトされる。クリップボード操作を完全に無効化することも可能

 また、エンタープライズモードは、グループポリシーやMicrosoft Intuneなどのモバイルデバイス管理(MDM)サービスを利用して構成および展開することが可能です。グループポリシー(またはローカルコンピューターポリシー)で展開するには、次の2つの場所にあるポリシーを、企業の環境やポリシーに合わせて構成します。

  • コンピューターの構成\管理用テンプレート\ネットワーク\ネットワーク分離
  • コンピューターの構成\管理用テンプレート\Windowsコンポーネント\Windows Defender Application Guard

 「ネットワーク分離」ポリシーでは、以下の3つの範囲を定義します。

  • クラウドでホストされるエンタープライズリソースドメイン
  • 職場用と個人用に分類されたドメイン
  • アプリのプライベートネットワークの範囲

 WDAGはこれらのポリシーで構成された企業ネットワークの境界の定義に基づいて、企業以外のリソースにアクセスするための全ての要求をWDAGコンテナに自動的にリダイレクトします。また、WDAG環境からこれらのWebサイトへのアクセスはブロックされるため、ネットワークを介した攻撃リスクが大幅に軽減されます。

 「Windows Defender Application Guard」ポリシーでは、エンタープライズモードの有効化、セッション間でのデータの永続化許可(既定は無効)、監査イベントの記録、通常のMicrosoft Edge/IEへの非エンタープライズサイトのコンテンツ読み込み許可(既定は可能)、クリップボードの許可設定(片方向または双方向にテキストとイメージのコピーを許可することが可能。既定は全てをブロック)、印刷設定のカスタマイズ(PDFやXPSへのファイル出力許可、ローカル/リモートプリンタへの印刷許可が可能。既定は全て無効)を構成することができます(画面5)。WDAGとローカルコンピュータ間ではファイルのやりとりはできませんが、PDFまたはXPS形式のファイルに出力するという手段を許可することができます。

画面5
画面5 グループポリシーを使用したWDAGのエンタープライズモードの構成

WDAGのシステム要件に関する留意事項

 WDAGは、Hyper-Vハイパーバイザーを利用し、WDAGコンテナで小さなWindows 10インスタンス(英語版)を動かします。そのため、最適なパフォーマンスを得るには、Hyper-Vのシステム要件に加え、以下のシステム要件を満たしている必要があります。これらの要件を満たしていない場合、既定ではWDAGを有効化できないことがあります。

CPU x64プロセッサ。4コアを推奨
メモリ 8GBを推奨
ディスク 5GB以上の空き。SSDを推奨
その他 Windows 10 Enterprise バージョン1709以降
▲WDAGのシステム要件

 Hyper-Vのシステム要件とは、Intel VT-xまたはAMD-Vのサポートと、第二レベルアドレス変換拡張(Second Level Address Translation:SLAT)のサポートです。これは、VBSのシステム要件でもあります。

 WDAGの概念やセットアップ手順については、以下の公式ドキュメントおよびブログを参照してください。

 WDAGはWindows 10 Enterprise バージョン1709で正式に利用可能になりましたが、先に指摘したように、本稿執筆時点(2018年1月初旬)では英語(en-us)環境での利用が想定されており、他の言語では正常にセットアップできなかったり、機能しなかったりする場合があります。

 例えば、日本語環境では、初期セットアップ時のエラーの問題やキーボード認識(WDAG内は101配列)の問題などがあります。現時点で日本語環境やシステム要件を満たしていない環境でWDAGを評価したい場合は、以下の筆者の個人ブログを参考にしてください。物理コンピュータまたは「入れ子構造の仮想化(Nested Virtualization)」を有効化したHyper-V仮想マシンで評価することが可能です。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る