Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能(その2):企業ユーザーに贈るWindows 10への乗り換え案内(15)(2/2 ページ)
前回は、間もなく企業向け(半期チャネル)に配布が始まるWindows 10 Fall Creators Updateに搭載された新しいセキュリティ機能「Exploit Protection」を紹介しました。今回は、もう1つのセキュリティ機能「Windows Defender Application Guard(WDAG)」が提供する安全なWebブラウジング環境を紹介します。
エンタープライズモードによるWDAG使用の強制
WDAGのエンタープライズモードは、企業で使用するWebサイト(ローカルおよびクラウド)を事前に定義し、企業用のWebサイトには通常のMicrosoft Edgeや「Internet Explorer(IE)」でのアクセスを提供し、それ以外の信頼できないWebサイトはWDAGによるブラウジングに自動的にリダイレクトします。ローカルとWDAG間のクリップボード使用許可や、WDAGからの印刷設定などを詳細に許可または禁止することもできます(画面4)。
画面4 Microsoft Edge/IEから信頼されたWebサイトへのアクセス以外は、全てWDAGの分離されたMicrosoft Edgeにリダイレクトされる。クリップボード操作を完全に無効化することも可能
また、エンタープライズモードは、グループポリシーやMicrosoft Intuneなどのモバイルデバイス管理(MDM)サービスを利用して構成および展開することが可能です。グループポリシー(またはローカルコンピューターポリシー)で展開するには、次の2つの場所にあるポリシーを、企業の環境やポリシーに合わせて構成します。
- コンピューターの構成\管理用テンプレート\ネットワーク\ネットワーク分離
- コンピューターの構成\管理用テンプレート\Windowsコンポーネント\Windows Defender Application Guard
「ネットワーク分離」ポリシーでは、以下の3つの範囲を定義します。
- クラウドでホストされるエンタープライズリソースドメイン
- 職場用と個人用に分類されたドメイン
- アプリのプライベートネットワークの範囲
WDAGはこれらのポリシーで構成された企業ネットワークの境界の定義に基づいて、企業以外のリソースにアクセスするための全ての要求をWDAGコンテナに自動的にリダイレクトします。また、WDAG環境からこれらのWebサイトへのアクセスはブロックされるため、ネットワークを介した攻撃リスクが大幅に軽減されます。
「Windows Defender Application Guard」ポリシーでは、エンタープライズモードの有効化、セッション間でのデータの永続化許可(既定は無効)、監査イベントの記録、通常のMicrosoft Edge/IEへの非エンタープライズサイトのコンテンツ読み込み許可(既定は可能)、クリップボードの許可設定(片方向または双方向にテキストとイメージのコピーを許可することが可能。既定は全てをブロック)、印刷設定のカスタマイズ(PDFやXPSへのファイル出力許可、ローカル/リモートプリンタへの印刷許可が可能。既定は全て無効)を構成することができます(画面5)。WDAGとローカルコンピュータ間ではファイルのやりとりはできませんが、PDFまたはXPS形式のファイルに出力するという手段を許可することができます。
WDAGのシステム要件に関する留意事項
WDAGは、Hyper-Vハイパーバイザーを利用し、WDAGコンテナで小さなWindows 10インスタンス(英語版)を動かします。そのため、最適なパフォーマンスを得るには、Hyper-Vのシステム要件に加え、以下のシステム要件を満たしている必要があります。これらの要件を満たしていない場合、既定ではWDAGを有効化できないことがあります。
CPU | x64プロセッサ。4コアを推奨 |
---|---|
メモリ | 8GBを推奨 |
ディスク | 5GB以上の空き。SSDを推奨 |
その他 | Windows 10 Enterprise バージョン1709以降 |
▲WDAGのシステム要件 |
Hyper-Vのシステム要件とは、Intel VT-xまたはAMD-Vのサポートと、第二レベルアドレス変換拡張(Second Level Address Translation:SLAT)のサポートです。これは、VBSのシステム要件でもあります。
WDAGの概念やセットアップ手順については、以下の公式ドキュメントおよびブログを参照してください。
- Windows Defender Application Guardの概要(Windows IT Pro Center)
- Windows Defender System Guardでシステムのセキュリティを強化し整合性を維持する(Microsoft TechNet 日本のセキュリティチーム)
WDAGはWindows 10 Enterprise バージョン1709で正式に利用可能になりましたが、先に指摘したように、本稿執筆時点(2018年1月初旬)では英語(en-us)環境での利用が想定されており、他の言語では正常にセットアップできなかったり、機能しなかったりする場合があります。
例えば、日本語環境では、初期セットアップ時のエラーの問題やキーボード認識(WDAG内は101配列)の問題などがあります。現時点で日本語環境やシステム要件を満たしていない環境でWDAGを評価したい場合は、以下の筆者の個人ブログを参考にしてください。物理コンピュータまたは「入れ子構造の仮想化(Nested Virtualization)」を有効化したHyper-V仮想マシンで評価することが可能です。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Microsoft、業務PC自動セットアップツール「Windows AutoPilot」を提供
Microsoftは「Windows 10 Fall Creators Update」で、IT管理者向けに組織内へのPC展開と管理を容易にする一連の新機能「Windows AutoPilot」を提供する。 - Windows 10 Fall Creators Updateに搭載される「次世代」のセキュリティ機能
Microsoftが「Windows 10 Fall Creators Update」に搭載する次世代セキュリティ機能を紹介。「Windows Defender ATP」に含まれるツールを大幅に拡充することを明らかにした。 - 「Windows 10 Fall Creators Update」に搭載される新機能まとめ
マイクロソフトはWindowsの次期大型アップデート「Windows 10 Fall Creators Update」を2017年後半にリリースすると発表。Windows MRやiOS/Androidも包括したマルチプラットフォーム対応など、コンシューマー/技術者それぞれに向けた新機能を多数リリースする。 - Windows 10 Creators Updateがやってきた!――確実にアップグレードする方法を再確認
2017年4月6日(日本時間、以下同)、Windows 10の最新バージョンである「Windows 10 Creators Update」が正式にリリースされ、利用可能になりました。4月12日からはWindows Updateを通じた配布が段階的に始まります。