Microsoft は、ハイブリッド作業の問題に対処するために、Windows 11 の一連のセキュリティ改善を発表しました。これらの機能は、企業やユーザーが、オペレーティング システム自体であれ、そのアプリケーションであれ、実行しているソフトウェアに対してより信頼できるように設計されています。これは、多くのユーザーがオフィスから離れて勤務している現在、特に重要です。これらの機能の多くは完全に新しいものではありませんが、間もなく登場するか、最近利用可能になったものです。
Microsoft Pluton セキュリティ プロセッサは、CPU および Windows 11 と直接統合される新しいデバイスにバンドルされた新しいハードウェアです。実際、Windows Update を通じてファームウェアを直接更新できる唯一の安全なプロセッサであるため、エンタープライズ環境で複雑な手動更新を必要とせずに、新しい機能を簡単に追加できます。更新プログラムは、Windows 11 の他の更新プログラムと同様に管理できます。この緊密な統合は、Microsoft Pluton が Windows 11 の BitLocker や Windows Hello などの機能と適切に連携するように設計されていることも意味します。 Pluton のファームウェアは Windows チームの同じメンバーによって開発されているため、すべてが連携して動作します。
CPU との統合により、物理的な攻撃からもデバイスが保護されるため、これは構成を簡素化する企業向けの広範なセキュリティ ソリューションです。
次期 Windows 11 バージョン以降、Microsoft はより多くの Windows 11 デバイスでハイパーバイザーで保護されたコードの整合性 (HVCI) を有効にします。この機能は、マルウェア攻撃の主な原因であるドライバーの脆弱性からユーザーを保護するように設計されています。 HVCI は、マルウェアがドライバー パッケージに読み込まれるのを防ぎ、インストールされているドライバーが信頼できるかどうかを検証します。 Microsoft 脆弱性および悪意のあるドライバー報告センターからのデータを使用して、既知の脆弱なドライバーを自動的にブロックし、Windows カーネル内の脆弱なドライバーをブロックして、悪用される機会を防ぎます。
Windows 11 ビルド 22567 で初めて登場したスマート アプリ コントロールを使用すると、Windows は潜在的に危険なアプリケーションの実行を自動的にブロックできます。もちろん、それはすでにある程度実現されていますが、今回はさらにそれ以上のものがあります。 SAC は、コード署名と人工知能を使用して、アプリケーションが実行できるかどうかを決定する前に、アプリケーションの潜在的に悪意のある動作を予測します。継続的に更新される推論モデルを使用してアプリケーションのセキュリティを判断し、最新の脅威インテリジェンスとコード証明書を使用してアプリケーションが実行前に安全であることを確認します。これにより、ユーザーは潜在的に危険なアプリケーションを知らずに実行することを心配する必要がなくなります。
スマート アプリ コントロールは、Windows 11 の次のバージョンに同梱される新しいデバイスで利用できるようになります。現在のバージョンからアップグレードした場合は、PC をリセットするか、ISO を使用して Windows 11 をクリーン インストールして確認する必要があります。
Microsoft は、Windows 11 の全体的なアカウント セキュリティにもいくつかの機能強化を加えました。まず、Microsoft Defender の SmartScreen 機能を使用して、フィッシング検出を Windows 11 に直接組み込みます。 Microsoft は、昨年だけでも、Aure Active Directory に対する 256 億件を超えるブルート フォース攻撃をブロックし、Microsoft Defender for Office 365 を使用して 357 億件のフィッシングメールをブロックしたと発表しており、今後、この保護がシステム レベルで提供されるようになります。
#Microsoft は、Windows 11 Enterprise でも Credential Guard をデフォルトで有効にしています。この機能は、pass-the-hash などの手法を使用して認証情報の盗難からデバイスを保護するのに役立ちます。また、マルウェアのプロセスが管理者特権で実行されている場合でも、マルウェアがシステム シークレットにアクセスすることを防ぎます。
最後に、Microsoft はローカル セキュリティ機関 (LSA) を改良して、この機能を悪用してユーザーの資格情報を盗む攻撃に対抗します。具体的には、同社は LSA が信頼できる署名されたコードのみをロードできるようにしているため、悪意のあるプログラムがプロセスに侵入して LSA を介して渡された認証情報を盗むことができません。この追加の保護は、将来企業に参加する新しい Windows 11 デバイスに対してデフォルトで有効になります。
この機能の名前は、一目瞭然です。基本的に、個人データの暗号化により、ユーザー データが暗号化によって保護され、対応するユーザーがログインした場合にのみ復号化されます。これは、アプリケーション部門と IT 部門が、デバイスが盗難された場合にデータを確実に保護するために使用できるプラットフォーム機能です。暗号化は Windows Hello for Business に関連付けられているため、ユーザーがデータにアクセスするにはパスワードなしの資格情報を使用してログインする必要があり、デバイスに物理的にアクセスできる誰かがそのデータを盗むことが困難になります。
最後に、Config Lock があります。これは組織の内部 IT 部門をよりターゲットにした機能で、実際にはすでに利用可能です。 Microsoft によると、企業に共通する問題は、一度使用したデバイスに対する従業員の制御が制限されることです。 Config Lock を使用すると、IT 管理者は MDM ポリシーを使用して各デバイスのレジストリ キーを監視でき、変更が加えられた場合、Config Lock はそれらを「数秒以内」に自動的に復元し、デバイスが必要なセキュリティ戦略に準拠していることを継続的に確認します。
ご想像のとおり、これらの機能の多くはエンタープライズ向けですが、間違いなく重要です。ハイブリッド勤務が多くの企業の標準になるにつれ、特にここ数年でサイバー攻撃も増加しているため、これらの手順はユーザーとビジネスの安全を守るために重要です。
以上がWindows 11: ハイブリッド ワーク時代に向けた新たなセキュリティの改善の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
