Microsoft は、Smart App Control などの新機能とハードウェアを使用して、Windows 11 のセキュリティを大幅に改善しています。
Microsoft は、ハイブリッド作業の不安を取り除くために、Windows 11 に導入される一連のセキュリティの改善を発表しました。 この機能は、企業やユーザーが実行しているソフトウェアに対してより自信を持てるように設計されています。 それは OS 自体またはそのアプリであり、多くのユーザーが OS から離れて作業している現在、これは特に重要です。 オフィス。 これらの多くは完全に新しいものではありませんが、間もなく登場するか、最近利用可能になるかのいずれかです。
マイクロソフト プルトン
Microsoft Pluton Security Processor は、新しいデバイスにバンドルされる新しいハードウェアで、CPU および Windows 11 と直接統合されます。 実際、これは Windows Update 経由で直接ファームウェアを更新できる唯一のセキュリティ プロセッサです。 企業内で複雑な手動更新を行わなくても、新しい機能を簡単に追加できる 環境。 更新プログラムは、Windows 11 の他の更新プログラムと同様に管理できます。 この緊密な統合は、Microsoft Pluton が Windows 11 の BitLocker や Windows Hello などの機能と適切に連携するように設計されていることも意味します。 Pluton のファームウェアは Windows チームの同じメンバーによって開発されているため、すべてが連携して動作します。
CPU との統合により、物理的な攻撃からもデバイスを保護できるため、企業向けの幅広いセキュリティ ソリューションとなり、構成も簡素化されます。
ハイパーバイザーで保護されたコードの整合性
次の Windows 11 リリースから、Microsoft はより多くの Windows 11 デバイスでハイパーバイザーで保護されたコード整合性 (HVCI) を有効にしています。 この機能は、マルウェア攻撃の主な原因となっているドライバーの脆弱性からユーザーを保護することを目的として設計されています。 HVCI は、マルウェアがドライバー パッケージに読み込まれるのを防ぎ、インストールされているドライバーが信頼できるかどうかを検証します。 Microsoft 脆弱性および悪意のあるドライバー報告センターからのデータを使用して、次のようなドライバーを自動的にブロックします。 脆弱であることが知られており、Windows カーネルから脆弱なドライバーが侵入するのを防ぐため、ドライバーが危険にさらされる機会がありません。 搾取された。
スマートアプリコントロール
Windows 11 ビルド 22567 で初めて発見された Smart App Control を使用すると、Windows は潜在的に危険なアプリの実行を自動的にブロックできます。 もちろん、それはある程度まではすでに存在していますが、今回はそれだけではありません。 SAC は、コード署名と人工知能を使用して、アプリが実行できるかどうかを判断する前に、アプリからの潜在的に悪意のある動作を予測します。 常に更新される推論モデルを使用して、コード証明書とともに最新の脅威インテリジェンスを使用してアプリのセキュリティを判断し、アプリを実行する前に安全であることを確認します。 これにより、ユーザーは潜在的に危険なアプリを知らないうちに実行することを心配する必要がなくなります。
Smart App Control は、Windows 11 の次のバージョンに同梱される新しいデバイスで利用できるようになります。 現在のバージョンからアップグレードする場合は、PC をリセットするか、 Windows 11をクリーンインストールする ISO を使用して表示します。
認証情報とアカウントのセキュリティ
Microsoft は、Windows 11 の全体的なアカウント セキュリティにもいくつかの機能強化を行っています。 まず、Microsoft Defender の SmartScreen 機能を使用して、フィッシング検出を Windows 11 に直接組み込んでいます。 Microsoftは、Aure Active Directoryに対する256億件を超えるブルートフォース攻撃をブロックし、357億件のフィッシングを傍受したと発表した Microsoft Defender for Office 365 で電子メールを送信できるようになりました - それはちょうど昨年のことです - そしてその保護が OS で利用できるようになりました レベル。
Microsoft は、Windows 11 Enterprise でも Credential Guard をデフォルトで有効にしています。 この機能は、ハッシュのパスなどの手法を使用して認証情報の盗難からデバイスを保護するのに役立ちます。 また、マルウェアのプロセスが管理者によって実行されている場合でも、マルウェアがシステム シークレットにアクセスすることを防ぎます。 特権。
最後に、Microsoft は、ローカル セキュリティ機関 (LSA) の機能を利用してユーザーの資格情報を盗む攻撃に対抗するために、ローカル セキュリティ機関 (LSA) を改良しています。 具体的には、同社は、LSA が信頼できる署名されたコードのみをロードできるようにすることで、悪意のあるプログラムがプロセスに忍び込み、LSA を通過する認証情報を盗むことができないようにしています。 この追加の保護は、将来、企業に参加した新しい Windows 11 デバイスに対してデフォルトで有効になる予定です。
個人データの暗号化
この機能の名前は一目瞭然です。 基本的に、個人データの暗号化により、各ユーザーがサインインしている場合にのみ解除される暗号化によってユーザー データが確実に保護されます。 これは、アプリや IT 部門がデバイスが盗難された場合にデータを確実に保護するために使用できるプラットフォーム機能です。 暗号化は Windows Hello for Business にリンクされているため、ユーザーはパスワードなしでサインインする必要があります データにアクセスするための認証情報を使用できるため、デバイスに物理的にアクセスできる誰かが盗むことが困難になります。 と言うデータ。
設定ロック
最後に、Config Lock があります。これは組織内の IT 部門向けの機能で、実際にすでに利用可能です。 Microsoft によると、企業に共通する問題は、従業員がデバイスを使用すると、そのデバイスに対する制御が制限されることです。 Config Lock を使用すると、IT 管理者は MDM ポリシーを使用して各デバイスのレジストリ キーを監視し、変更が加えられた場合に、 Config Lock はそれらを「数秒」で自動的に元に戻し、デバイスが必要なセキュリティを遵守していることを常に保証します。 ポリシー。
ご想像のとおり、これらの機能の多くはビジネス向けですが、間違いなく重要です。 ハイブリッド ワークが多くの企業の標準になりつつある中、これらの手順はユーザーを維持するために不可欠です 特にここ数年間でサイバー攻撃も激化しているため、ビジネスは安全です。 年。
MicrosoftはWindows 11の新機能も発表 タブ付きファイルエクスプローラーを含む 今日。 もあります Windows 365 の新機能、オフラインモードを含む。