IT エンジニア向けの Windows 10 関連の勉強用資料です。 数ある Windows Defender シリーズの概要について、2019 年 7 月現在の情報を簡単にまとめています。 ngsymw10

1. IT エンジニアのための 流し読み Windows 10
超概要！Windows Defender シリーズ
2019 年 7 月
太田 卓也
takuya.ohta@outlook.com

2. 本資料について
本資料は技術勉強用の資料として公開しています
マイクロソフトの正式見解であったり、内容をコミットするものではございません。
内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。
ただし、ビジネスでの使用はお控えください。m(_ _)m
太田 卓也 (オオタ タクヤ)
マイクロソフトのエンジニア
現在は主に Windows 10 を担当しています
何かあれば遠慮なく ☺
takuya.ohta@outlook.com

3. Windows Defender
ウイルス対策
企業利用レベルのウィルス対策、クラウドを
活用したゼロデイ攻撃対策
Windows Defender
ファイアウォール
ネットワークトラフィックを監視およびコント
ロール
Windows Defender
SmartScreen
フィッシング Web サイトまたはマルウェアを
含む Web サイトとして既に報告されている
サイトからの保護
Windows Defender
Exploit Guard
未知の攻撃に対する緩和策やランサムウェ
ア対策
Windows Defender
System Guard
プラットフォームの整合性を検証し、保護を
強化する技術の総称 (UEFIセキュアブート、
KMCI、Credential Guard、Device
Guard Exploit Guard、仮想TPM、etc)
Windows 10 の Defender シリーズ
Windows Defender
Device Guard
端末起動時からのデバイス保護やホワイト
リストベースのアプリケーション制御
Windows Defender
Application Control
Device Guard に含まれるホワイトリスト
ベースのアプリケーション制御機能
Windows Defender
Credential Guard
資格情報を別のマイクロ OS に格納し、
標的型攻撃から対抗
Windows Defender
Application Guard
Web ブラウザーを仮想化し、端末内でイン
ターネット分離を実現
Microsoft Defender
Advanced Threat
Protection
エンドポイントのふるまい検知と対応、セ
キュリティ インシデントの調査ログ
いち製品を指すものもあれば、概念や機能を示すものも
※ グラデーションのものは一部機能が E3/E5

4. 設定方法や必要なもの
◼ 既定で有効化
◼ 必要に応じてグループポリシーや PowerShell で制御可能
◼ 定義ファイルは Windows Update から自動配信。
WSUS や SCCM の利用も可能
◼ 企業で通知・レポートなどの全体管理をしたい場合には別途有償ソリューション
が必要
無償利用可能な Windows 10 標準のウイルス対策機能
有償ソフトと変わらない評価
AV-TEST や AV-Comparatives でも高いブロック率で高評価
振る舞い検知やクラウド型保護の搭載
高度な機械学習モデル、および汎用的でヒューリスティックなテクノロジ、クラウド
型保護を利用して、未知のウイルスもリアルタイムに検出
Windows Defender ウイルス対策
【公式ドキュメント】
Windows 10 と Windows Server 2016 での Windows Defender ウイルス対策
https://docs.microsoft.com/ja-jp/windows/security/threat-
protection/windows-defender-antivirus/windows-defender-antivirus-in-
windows-10
その他の Defender シリーズとも連携
Windows Defender Exploit Guard や Microsoft Defender ATP などでも
Defender ウイルス対策が必要な機能が存在

5. 無償利用可能な Windows 標準のファイアウォール機能
プロファイルに応じた設定
ドメイン、プライベート、パブリックのそれぞれのプロファイルごとに
設定が可能
不正な通信からの防止
受信・送信、プログラム、ポート、IP アドレスに等に応じた通信
のブロックが可能
Windows Defender ファイアウォール
【公式ドキュメント】
セキュリティが強化された Windows Defender ファイアウォール
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-
firewall/windows-firewall-with-advanced-security
オプション設定も
IPSec に統合。証明書、ケルベロス認証、ユーザーやコンピュー
ターなど様々な条件に基づく接続の許可・拒否
設定方法や必要なもの
◼ 既定で有効化
◼ 必要に応じてグループポリシーや PowerShell で制御可能

6. 無償利用可能な Windows 標準の Web からの脅威の保護機能
マルウェアの実行を防止
Web サイトからダウンロードされたファイルを、報告されている
悪意のあるソフトウェア サイトおよび既知の安全でないプログラ
ムの一覧と照合し、警告を表示
不正な Web サイトからの保護
アクセスしたサイトを、報告されているフィッシング詐欺サイトおよび悪意のあるソ
フトウェア サイトの動的な一覧と照合し、警告を表示
Windows Defender SmartScreen
【公式ドキュメント】
Windows Defender SmartScreen
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-
defender-smartscreen/windows-defender-smartscreen-overview
設定方法や必要なもの
◼ 既定で有効化
◼ 必要に応じてグループポリシーや MDM / intune で制御可能

7. Windows 10 のホスト侵入防止機能セット
Attack surface reduction
Office、スクリプト、およびメール ベースのマルウェアが使うベクトルを停止する
インテリジェントなルールによって、アプリケーションの攻撃を回避
Exploit Protection
オペレーティングシステムプロセスとアプリに、さまざまな攻撃軽減手法を適用。
以前の Enhanced Mitigation Experience Toolkit (EMET) の機能を含む
Windows Defender Exploit Guard
【公式ドキュメント】
Windows Defender Exploit Guard
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-
defender-exploit-guard/windows-defender-exploit-guard
ネットワーク保護
低い評価のソース (ドメインまたはホスト名に基づく) に接続しようとするすべて
の送信 HTTP (s) トラフィックをブロック
設定方法や必要なもの
◼ 既定で一部有効化
◼ 必要に応じてグループポリシーや MDM / intune で制御可能
フォルダーアクセスの制御
システム フォルダー内のファイルを、悪意のあるアプリや疑わしいアプリ (ファイル
を暗号化するランサムウェア マルウェアなど) による変更から保護
※ Windows 10 Enterprise ライセンスが必要
※ Windows 10 Enterprise ライセンスが必要

8. Windows 10 Enterprise の
Windows Defender シリーズ

9. 信頼されたものだけを実行するデバイスのロックダウン機能
Windows Defender Application Control (WDAC)
信頼されたアプリケーションのみデバイス上で実行を許可。AppLocker
と連携させることでユーザー単位での制御も可能
セキュアブートやドライバーの保護
セキュア ブートと連携する事でデバイスの起動時からの保護が可能。また
信頼されたドライバーのみの実行を許可し、クライアント環境の保護を強化
Windows Defender Device Guard
【公式ドキュメント】
デバイスガード: Windows Defender アプリケーションコントロールと仮想化ベースのコードの整合性の保護
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/device-guard/introduction-
to-device-guard-virtualization-based-security-and-windows-defender-application-control
設定方法や必要なもの
◼ Windows 10 Enterprise
◼ グループポリシーで有効化
◼ WDAC を利用する場合にはポリシーを作成する
コード整合性の検証
ドライバーまたはシステムファイルがメモリにロードされるたびにその整合性を
検証することによって、オペレーティングシステムのセキュリティを向上させる

10. 仮想化ベースのセキュリティを利用した資格情報の保護
Pass the Hash からの保護に
標的型攻撃で良く利用される攻撃手法である Pass the
Hash 攻撃から資格情報を奪われず防御することが可能
メモリ上の資格情報を保護
LSASS と資格情報（ケルベロスチケット・NTLMハッシュ）を
保護。ユーザーの資格情報は VBS 内に確保されるため、カー
ネル マルウェアによって盗まれる心配がない
Windows Defender Credential Guard
【公式ドキュメント】
Windows Defender Credential Guard によるドメインの派生資格情報の保護
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential-
guard/credential-guard
設定方法や必要なもの
◼ Windows 10 Enterprise
◼ 対応ハードウェア (TPM や 64 bit の仮想化拡張機能をもつ CPU)
◼ グループポリシーやレジストリで制御可能

11. 仮想化技術を利用したセキュアブラウザ機能
ネットワーク分離をポリシーで制御
Microsoft Edge や IE で閲覧できる Web サイト (例:イントラネット) を定義し、
それ以外は Application Guard で閲覧を強制することが可能
コンテナー技術を用いたホストからの分離
分離されたコンテナー内のブラウザを使用することで、ホスト OS からカーネルレ
ベルで分離を行って Web の閲覧を行う
Windows Defender Application Guard
【公式ドキュメント】
Windows Defender Application Guard の概要
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-
defender-application-guard/wd-app-guard-overview
オプション設定も
オプションにより、クリップボートやプリンターの使用、お気に入りや Cookie、パス
ワードの保存、ファイルのダウンロードの許可・拒否が可能
設定方法や必要なもの
◼ Windows 10 Enterprise (一部機能は Pro でも使用可能)
◼ 対応ハードウェア (TPM や 64 bit の仮想化拡張機能をもつ CPU)
◼ グループポリシーや SCCM、intune などで構成

12. OS 組み込み型クラウドベースの次世代セキュリティ
組織内のセキュリティの一元管理
最新のデータで、組織内の状況を監視・管理。またセキュリティのスコアリングな
ども可能で組織内に求められる推奨アクションの確認も可能
OS 標準搭載
OS に組み込まれた挙動センサーによって、セキュリティ イベントやエンドポイン
トの挙動をログに詳しく記録。標準機能のため、エージェントの展開・管理も
不要で、非常に高度なパフォーマンス基準に対応。
Microsoft Defender Advanced Threat Protection
【公式ドキュメント】
Microsoft Defender Advanced Threat Protection
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-
defender-atp/microsoft-defender-advanced-threat-protection
自動調査と修復も
クライアントへのプログラムの停止やネットワークの切り離しといったアクションの
操作はもちろん、オートメーションによる自動調査・修復も可能
設定方法や必要なもの
◼ Windows Enterprise E5 の契約
◼ 各クライアントのインターネット接続 (Port 80/443)
◼ スクリプトで有効化するのみ。グループポリシーや SCCM、intune でも可能

13. Windows Defender Testground
各種テストサイトやシナリオ、ツールや評価ガイド
以下の製品のデモ・テストが可能
◼ Windows Defender ATP
◼ Windows Defender Exploit Guard
◼ Windows Defender SmartScreen
おまけ - Windows Defender デモ用サイト
Windows Defender Testground
https://demo.wd.microsoft.com/

14. IT エンジニアのための 流し読み Windows 10
超概要！Windows Defender シリーズ
END
太田 卓也
takuya.ohta@outlook.com