Download as PDF, PPTX
Uploaded byTAKUYA OHTA
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
IT エンジニア向けの Windows 10 関連の勉強用資料です。 数ある Windows Defender シリーズの概要について、2019 年 7 月現在の情報を簡単にまとめています。 ngsymw10
More Related Content
![[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!](https://cdn.slidesharecdn.com/ss_thumbnails/pr25-190409082439-thumbnail.jpg?width=640&height=640&fit=bounds)
![[SC15] Windows Hello で実現するハイブリッド 生体認証](https://cdn.slidesharecdn.com/ss_thumbnails/sc15-170614044751-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
![[Japan Tech summit 2017] DEP 003](https://cdn.slidesharecdn.com/ss_thumbnails/techsummit2017pdfdep003-171116035105-thumbnail.jpg?width=640&height=640&fit=bounds)
![[MR14] Windows 10 を クラウドで提供。 本邦初公開! Citrix XenDesktop Essentials の全容解明 ~ Citr...](https://cdn.slidesharecdn.com/ss_thumbnails/mr14-170614045814-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Japan Tech summit 2017] DEP 02](https://cdn.slidesharecdn.com/ss_thumbnails/techsummit2017pdfdep002-171116035109-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Japan Tech summit 2017] SEC 011](https://cdn.slidesharecdn.com/ss_thumbnails/techsummit2017pdfsec011-171127040529-thumbnail.jpg?width=640&height=640&fit=bounds)
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
- 1. IT エンジニアのための 流し読みWindows 10 超概要!Windows Defender シリーズ 2019 年 7 月 太田 卓也 takuya.ohta@outlook.com
- 2. 本資料について 本資料は技術勉強用の資料として公開しています マイクロソフトの正式見解であったり、内容をコミットするものではございません。 内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。 ただし、ビジネスでの使用はお控えください。m(_ _)m 太田 卓也(オオタ タクヤ) マイクロソフトのエンジニア 現在は主に Windows 10 を担当しています 何かあれば遠慮なく ☺ takuya.ohta@outlook.com
- 3. Windows Defender ウイルス対策 企業利用レベルのウィルス対策、クラウドを 活用したゼロデイ攻撃対策 Windows Defender ファイアウォール ネットワークトラフィックを監視およびコント ロール WindowsDefender SmartScreen フィッシング Web サイトまたはマルウェアを 含む Web サイトとして既に報告されている サイトからの保護 Windows Defender Exploit Guard 未知の攻撃に対する緩和策やランサムウェ ア対策 Windows Defender System Guard プラットフォームの整合性を検証し、保護を 強化する技術の総称 (UEFIセキュアブート、 KMCI、Credential Guard、Device Guard Exploit Guard、仮想TPM、etc) Windows 10 の Defender シリーズ Windows Defender Device Guard 端末起動時からのデバイス保護やホワイト リストベースのアプリケーション制御 Windows Defender Application Control Device Guard に含まれるホワイトリスト ベースのアプリケーション制御機能 Windows Defender Credential Guard 資格情報を別のマイクロ OS に格納し、 標的型攻撃から対抗 Windows Defender Application Guard Web ブラウザーを仮想化し、端末内でイン ターネット分離を実現 Microsoft Defender Advanced Threat Protection エンドポイントのふるまい検知と対応、セ キュリティ インシデントの調査ログ いち製品を指すものもあれば、概念や機能を示すものも ※ グラデーションのものは一部機能が E3/E5
- 4. 設定方法や必要なもの ◼ 既定で有効化 ◼ 必要に応じてグループポリシーやPowerShell で制御可能 ◼ 定義ファイルは Windows Update から自動配信。 WSUS や SCCM の利用も可能 ◼ 企業で通知・レポートなどの全体管理をしたい場合には別途有償ソリューション が必要 無償利用可能な Windows 10 標準のウイルス対策機能 有償ソフトと変わらない評価 AV-TEST や AV-Comparatives でも高いブロック率で高評価 振る舞い検知やクラウド型保護の搭載 高度な機械学習モデル、および汎用的でヒューリスティックなテクノロジ、クラウド 型保護を利用して、未知のウイルスもリアルタイムに検出 Windows Defender ウイルス対策 【公式ドキュメント】 Windows 10 と Windows Server 2016 での Windows Defender ウイルス対策 https://docs.microsoft.com/ja-jp/windows/security/threat- protection/windows-defender-antivirus/windows-defender-antivirus-in- windows-10 その他の Defender シリーズとも連携 Windows Defender Exploit Guard や Microsoft Defender ATP などでも Defender ウイルス対策が必要な機能が存在
- 5. 無償利用可能な Windows 標準のファイアウォール機能 プロファイルに応じた設定 ドメイン、プライベート、パブリックのそれぞれのプロファイルごとに 設定が可能 不正な通信からの防止 受信・送信、プログラム、ポート、IPアドレスに等に応じた通信 のブロックが可能 Windows Defender ファイアウォール 【公式ドキュメント】 セキュリティが強化された Windows Defender ファイアウォール https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows- firewall/windows-firewall-with-advanced-security オプション設定も IPSec に統合。証明書、ケルベロス認証、ユーザーやコンピュー ターなど様々な条件に基づく接続の許可・拒否 設定方法や必要なもの ◼ 既定で有効化 ◼ 必要に応じてグループポリシーや PowerShell で制御可能
- 6. 無償利用可能な Windows 標準のWeb からの脅威の保護機能 マルウェアの実行を防止 Web サイトからダウンロードされたファイルを、報告されている 悪意のあるソフトウェア サイトおよび既知の安全でないプログラ ムの一覧と照合し、警告を表示 不正な Web サイトからの保護 アクセスしたサイトを、報告されているフィッシング詐欺サイトおよび悪意のあるソ フトウェア サイトの動的な一覧と照合し、警告を表示 Windows Defender SmartScreen 【公式ドキュメント】 Windows Defender SmartScreen https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows- defender-smartscreen/windows-defender-smartscreen-overview 設定方法や必要なもの ◼ 既定で有効化 ◼ 必要に応じてグループポリシーや MDM / intune で制御可能
- 7. Windows 10 のホスト侵入防止機能セット Attacksurface reduction Office、スクリプト、およびメール ベースのマルウェアが使うベクトルを停止する インテリジェントなルールによって、アプリケーションの攻撃を回避 Exploit Protection オペレーティングシステムプロセスとアプリに、さまざまな攻撃軽減手法を適用。 以前の Enhanced Mitigation Experience Toolkit (EMET) の機能を含む Windows Defender Exploit Guard 【公式ドキュメント】 Windows Defender Exploit Guard https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows- defender-exploit-guard/windows-defender-exploit-guard ネットワーク保護 低い評価のソース (ドメインまたはホスト名に基づく) に接続しようとするすべて の送信 HTTP (s) トラフィックをブロック 設定方法や必要なもの ◼ 既定で一部有効化 ◼ 必要に応じてグループポリシーや MDM / intune で制御可能 フォルダーアクセスの制御 システム フォルダー内のファイルを、悪意のあるアプリや疑わしいアプリ (ファイル を暗号化するランサムウェア マルウェアなど) による変更から保護 ※ Windows 10 Enterprise ライセンスが必要 ※ Windows 10 Enterprise ライセンスが必要
- 8. Windows 10 Enterpriseの Windows Defender シリーズ
- 9. 信頼されたものだけを実行するデバイスのロックダウン機能 Windows Defender ApplicationControl (WDAC) 信頼されたアプリケーションのみデバイス上で実行を許可。AppLocker と連携させることでユーザー単位での制御も可能 セキュアブートやドライバーの保護 セキュア ブートと連携する事でデバイスの起動時からの保護が可能。また 信頼されたドライバーのみの実行を許可し、クライアント環境の保護を強化 Windows Defender Device Guard 【公式ドキュメント】 デバイスガード: Windows Defender アプリケーションコントロールと仮想化ベースのコードの整合性の保護 https://docs.microsoft.com/ja-jp/windows/security/threat-protection/device-guard/introduction- to-device-guard-virtualization-based-security-and-windows-defender-application-control 設定方法や必要なもの ◼ Windows 10 Enterprise ◼ グループポリシーで有効化 ◼ WDAC を利用する場合にはポリシーを作成する コード整合性の検証 ドライバーまたはシステムファイルがメモリにロードされるたびにその整合性を 検証することによって、オペレーティングシステムのセキュリティを向上させる
- 10. 仮想化ベースのセキュリティを利用した資格情報の保護 Pass the Hashからの保護に 標的型攻撃で良く利用される攻撃手法である Pass the Hash 攻撃から資格情報を奪われず防御することが可能 メモリ上の資格情報を保護 LSASS と資格情報(ケルベロスチケット・NTLMハッシュ)を 保護。ユーザーの資格情報は VBS 内に確保されるため、カー ネル マルウェアによって盗まれる心配がない Windows Defender Credential Guard 【公式ドキュメント】 Windows Defender Credential Guard によるドメインの派生資格情報の保護 https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential- guard/credential-guard 設定方法や必要なもの ◼ Windows 10 Enterprise ◼ 対応ハードウェア (TPM や 64 bit の仮想化拡張機能をもつ CPU) ◼ グループポリシーやレジストリで制御可能
- 11. 仮想化技術を利用したセキュアブラウザ機能 ネットワーク分離をポリシーで制御 Microsoft Edge やIE で閲覧できる Web サイト (例:イントラネット) を定義し、 それ以外は Application Guard で閲覧を強制することが可能 コンテナー技術を用いたホストからの分離 分離されたコンテナー内のブラウザを使用することで、ホスト OS からカーネルレ ベルで分離を行って Web の閲覧を行う Windows Defender Application Guard 【公式ドキュメント】 Windows Defender Application Guard の概要 https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows- defender-application-guard/wd-app-guard-overview オプション設定も オプションにより、クリップボートやプリンターの使用、お気に入りや Cookie、パス ワードの保存、ファイルのダウンロードの許可・拒否が可能 設定方法や必要なもの ◼ Windows 10 Enterprise (一部機能は Pro でも使用可能) ◼ 対応ハードウェア (TPM や 64 bit の仮想化拡張機能をもつ CPU) ◼ グループポリシーや SCCM、intune などで構成
- 12. OS 組み込み型クラウドベースの次世代セキュリティ 組織内のセキュリティの一元管理 最新のデータで、組織内の状況を監視・管理。またセキュリティのスコアリングな ども可能で組織内に求められる推奨アクションの確認も可能 OS 標準搭載 OSに組み込まれた挙動センサーによって、セキュリティ イベントやエンドポイン トの挙動をログに詳しく記録。標準機能のため、エージェントの展開・管理も 不要で、非常に高度なパフォーマンス基準に対応。 Microsoft Defender Advanced Threat Protection 【公式ドキュメント】 Microsoft Defender Advanced Threat Protection https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft- defender-atp/microsoft-defender-advanced-threat-protection 自動調査と修復も クライアントへのプログラムの停止やネットワークの切り離しといったアクションの 操作はもちろん、オートメーションによる自動調査・修復も可能 設定方法や必要なもの ◼ Windows Enterprise E5 の契約 ◼ 各クライアントのインターネット接続 (Port 80/443) ◼ スクリプトで有効化するのみ。グループポリシーや SCCM、intune でも可能
- 13. Windows Defender Testground 各種テストサイトやシナリオ、ツールや評価ガイド 以下の製品のデモ・テストが可能 ◼Windows Defender ATP ◼ Windows Defender Exploit Guard ◼ Windows Defender SmartScreen おまけ - Windows Defender デモ用サイト Windows Defender Testground https://demo.wd.microsoft.com/
- 14. IT エンジニアのための 流し読みWindows 10 超概要!Windows Defender シリーズ END 太田 卓也 takuya.ohta@outlook.com