Windows 10 バージョン1903のWindows Defender新機能──改ざん防止:企業ユーザーに贈るWindows 10への乗り換え案内(57)
Windows 10の最新バージョンでは、「Windows Defenderウイルス対策」に「改ざん防止」という新機能が追加されました。「改ざん防止」とはどのようなセキュリティ機能なのか、どういう利点があるのかを紹介します。
「改ざん防止」はWindows Defenderウイルス対策の設定変更を抑止
Windows 10 バージョン1903では、「Windows Defenderウイルス対策(Windows Defender Antivirus)」に「改ざん防止(Tamper Protection)」という新機能が追加されました。この機能は、ウイルス対策ソフトとしてWindows 10標準のWindows Defenderウイルス対策のみを利用している場合に使用できるものです。
「改ざん防止」という名前からは、Windowsのシステムに対する改変や通信トラフィックの盗聴、改ざんを防止するような機能を想像する人もいるでしょう。しかし、そのような機能を提供するものではありません。「改ざん防止」とは、以下に挙げるWindows Defenderウイルス対策の設定変更を抑止する機能です。これらの設定は、セキュリティを維持するために重要な設定です。
- リアルタイム保護(Real-Time Protection)
- クラウド提供の保護(Cloud-Delivery Protection)
- IOAV保護(IOAV Protection)
- 動作の監視(Behavior Monitoring)
- セキュリティインテリジェンス更新プログラム(Security Intelligence Updates)の削除
この中で「IOAV保護」と「セキュリティインテリジェンスの更新」については、聞き慣れないものでしょう。補足しておきます。IOAV(IOfficeAntiVirus)保護は、Webブラウザによるダウンロードやメールの添付ファイルを開く際、ウイルススキャンの実行に使用されるインタフェースです。ダウンロード完了後に「セキュリティスキャンを実行中……」と表示されるのは、IOAV保護が有効になっているからです。セキュリティインテリジェンスの更新は、以前は「Windows Defender Antivirusの定義の更新」と呼ばれていたものです。
「改ざん防止」機能は既定でオン(有効)になっています。設定を確認するには、「Windowsセキュリティ」アプリ(以前のバージョンのWindows 10では「Windows Defenderセキュリティセンター」という名称でした)で「ウイルスと脅威の防止」を開き、「ウイルスと脅威の防止の設定」にある「設定の管理」をクリックして、「改ざん防止」の設定項目を参照します(画面1)。
なお、Windows Defenderウイルス対策以外のサードベンダーのマルウェア対策製品がインストールされている場合、「改ざん防止」を含むWindows Defenderウイルス対策の設定項目にはアクセスできません。
「改ざん防止」はオン/オフできますが、オフにすることは推奨されません。Windows 10 Enterprise E5サブスクリプションの場合は、オフにできないということです。Windows 10 Enterprise E5で「改ざん防止」をオフにできないのは、Windows Defenderウイルス対策をさらに強化する「Windows Defender Advanced Threat Protection(ATP)」で保護されるからでしょう。
「改ざん防止」で保護される他の項目(リアルタイム保護など)も、「改ざん防止」がオン/オフであるかどうかに関係なく、「Windowsセキュリティ」アプリからオン/オフができます。ユーザーアカウント制御(User Account Control:UAC)で保護されていますが、管理者権限のあるアカウントであれば可能です。「改ざん防止」は、「Windowsセキュリティ」アプリを使用したユーザーによる変更を防止するものではないのです(画面2)。
ただし、推奨されない設定がユーザーによって行われた場合は、「Microsoft-Windows-Windows Defender/Operational」ログにイベントID「5007」の情報イベントが記録されます(後出の画面7を参照)。
「改ざん防止」が何から設定を保護するのかというと、次のような方法を用いた設定オフや定義ファイルの削除操作からです。マルウェアは活動を阻むウイルス対策を先に無効化しようとするでしょう。あるいは、ポリシー設定のミスがシステムを脆弱(ぜいじゃく)な状態にしてしまう可能性もあります。「改ざん防止」には、そうしたリスクを最小化する効果が期待できます。
- MDM(モバイルデバイス管理)による設定オフ
- 構成管理ツール(System Center Configuration Manager)による設定オフ
- Windowsイメージの応答ファイルによる設定オフ
- コマンドラインからの定義ファイルの削除
- グループポリシーによる設定オフ
- WMI(Windows Management Instrumentation)による設定オフ
「改ざん防止」はレジストリの直接的な変更を防止する機能はありませんが、そもそもWindows Defenderウイルス対策の設定が格納される「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender」キーの既定のアクセス許可は、それを許しません。
例えば、ローカル管理者であってもレジストリを変更することはできません。アクセス許可の緩いポリシー設定に対応するレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender」の変更については、「改ざん防止」でカバーされます(グループポリシーによる設定オフからの保護と同じ)。
「改ざん防止」がオンになっていることにより、どのような効果があるのか、幾つかデモンストレーションをしてみましょう。
「改ざん防止」のデモ──コマンドラインからの設定変更の防止
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。
次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。
複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。
Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。
Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。