上野家のホームページ - 資料室バックアップ : PC/Windows/Windows10のセキュリティソフトのソース

[ 差分 | バックアップ | リロード ]
差分を表示
PC/Windows/Windows10のセキュリティソフトへ行く。
* Windows10のセキュリティソフト [#xe2b552f]
Windows10のセキュリティソフトとしては，標準でWindows Defender((いつからか不明だが，現在はMicrosoft Defenderと名称が変わった。))がインストールされている。~

またMicrosoftが標準でWindowsのセキュリティ機能を実装していないときから，多くのメーカーからセキュリティソフトがWindows向けにリリースされて使われていた。~

一般的なセキュリティソフトには，危険なアプリケーション・危険なマクロやスクリプト・危険なファイル・危険なWEBサイトなどを検知しそれらをブロック・削除したり，ネットワークのファイヤーウォール機能を搭載してネットワークからの危険をブロックしたりする機能がある。~

しかし，誤検知があることや，全ての危険なことをブロック・削除出来るわけではなく，見逃したりすることもある。~

そこで，これらのことで危険なウイルスなんかに感染してしまったPCなどで，その感染状況を把握し，その後の対策を行う機能を持つ別のセキュリティ・ソリューション（EDR）が開発され，共に使われ始めている。~

** Microsoftのセキュリティソフト [#ue6a2d7e]
Microsoftでは従来からの脅威を検知してブロックするEPPのMicrosoft Defender（旧Windows Defender）と，EDR（中小企業向けの製品ではMicrosoft Defender for Business）を共に利用することで，よりセキュアな環境になると言っている。~

Microsoft Defenderには以下のような機能がある。~
Windowsに標準で搭載されていて無料で使用できるものと，有料でMicrosoft 365を利用するユーザーが使用できるものがある。~
- Microsoft Defender ウイルス対策~
PCに対する脅威を監視し，リアルタイムや定期スキャンでファイルを検査・削除する。~
不正なアクセスから特定のフォルダを保護する。またランサムウェア対策機能もある。~
スキャン時に使用する定義ファイル((2015年に機械学習・応用科学・人工知能などの予測技術を使ったモデルに移行したとアナウンスされている。))は，通常Windows Updateで自動的に更新される。~
ドメイン参加しているPCではドメイン側で動作の集中管理をしていて，またバックグラウンドで必要時に迅速に定義ファイルの更新が行われる。~
- Microsoft Defender ファイアウォール~
ネットワークのパーソナル・ファイヤーウォール機能。不正なネットワークからの攻撃を防ぐ。~
ドメインネットワーク・プライベートネットワーク・パブリックネットワークにネットワークを種類ごとに管理し，より詳細に制御設定を行える。~
- Microsoft Defender SmartScreen~
危険なWEBサイトへのアクセスをブロックしたり，悪意あるファイルのダウンロードを防ぐ機能。~
Microsoft EdgeのSmartScreenやMicrosoft StoreのSmartScreenなんかも搭載されている。~
- Microsoft Defender Application Guard/Control~
Microsoft EdgeやIEで信頼されていないWEBサイトにアクセスすると，隔離した環境を使ってアクセスすることで危険から保護したり，隔離した[[サンドボックス>../Windows10のサンドボックス]]環境でアプリケーションの実行する機能。~
''デフォルトではこの機能はOnになっていない。''~
- Windows Defender System Guard~
Windowsの起動時に整合性を確認し保護する。またWindowsシステムの整合性を確認し保護する。~
さらに，デジタル署名が無いアプリやデバイスドライバーなどをブロックする。~
仮想環境内で隔離して安全に検証を行っているようだ。~
- Microsoft Defender Exploit Guard~
SSL/TLSの正当性確認やアプリケーションの脆弱性（セキュリティホール）を利用するマルウェアから保護したり，電子メールやOfficeなどの悪意あるスクリプトから保護する機能。~
SmartScreenと連携して信頼されていないネットワークへのアウトバンドを遮断する。~
''ドメイン参加しているPCで使用できる機能のようだ。''~
- Windows Defender Credential Guard~
Active Directoryの資格情報の検証を仮想環境とTPMで保護を行う。~
''ドメイン参加しているPCで使用できる機能のようだ。''~
- アプリ版Microsoft Defender（Microsoft 365 Personal/Family）~
PCだけでなくスマートフォンなどの保護機能も含まれる。~
''Microsoft 365 Personal/Familyの契約が必要。''~

また企業向けの製品として，以下のような製品がある。~
- Microsoft Defender XDR~
Microsoft Defender XDR（旧Microsoft 365 Defender）は，統合型セキュリティ・ソリューション。多くのMicrosoftの製品からフィードバックされた情報から，悪意のあるソフトウェアなどを検出・保護を行い，EDRも実装されている。~
Microsoft Defender for Endpoint・Microsoft Defender for Office 365・Microsoft Defender for Cloud ・Microsoft Defender for Identityなどが統合されている。~
- Microsoft Defender for Business~
中小企業（従業員数300人以下）向けのEDRセキュリティ・ソリューション。企業ベースで管理しているEPPのWindows Defenderと共に利用（機能を拡張）することで，未知の脅威にも対応出来るようになる。~
Windowsだけでなく，MacOS・iOS・Androidにも対応している。~
Windows Defender用の追加の定義ファイルなども，集中管理することで効率的にセキュリティ管理が行える。~
使用するにはMicrosoft Defender for Businessのライセンス契約をするか，Microsoft 365 Business Premiumを利用する。~
- Microsoft Defender for Endpoint~
クラウドベースのEDRソリューション。エンドポイントでの監視を行い，ウイルスが侵入した後の被害を最小限に抑える対策を行う。~
Windows Defenderの機能を拡張し，未知の脅威にも対応する。~
Microsoft 365に含まれているのでそれを契約するか，個別に契約して使用する（P1とP2というプランがある）。~
- Microsoft Defender for Cloud~
クラウドベースで動作するアプリケーションを保護するセキュリティ・ソリューション。~
クラウド上のシステムの設定ミスを防止したり，複数のクラウドサービスを一元的に監視・保護をMicrosoft Azure上で行える。~
- Microsoft Defender for Identity~
クラウドベースでユーザーアカウントの管理・保護を行う機能。~
Microsoft 365に含まれている機能。~
- Microsoft Defender for IoT~
IoTデバイス用のセキュリティソリューション。~
脆弱性や脅威の検知やエージェントレスのデバイス監視が可能。~
- Microsoft Defender Threat Intelligence（TI）~
攻撃者の活動や攻撃パターンを詳細に追跡するシステム。~
収集した膨大なセキュリティに対する情報や専門家からの知見をライブラリとして管理して，ユーザーは攻撃手順などの最新情報を確認することが出来る。~

それにしてもMicrosoftの製品って，なんでこう機能を小分けにするんでしょうかね。機能の違いがよくわからないし，名前もころころ変更するし・・・ &worried;

* 勤務している会社で使用するセキュリティソフトの変更 [#ldfb5aa9]
勤務している会社のWindows10マシンにインストールされていたセキュリティソフトは，[[WithSecure>https://www.withsecure.com/jp-ja/home]]（旧[[F-Secure:https://www.f-secure.com/jp-ja]]）だったのだが，最近それをアンインストールしてWindows標準のWindows Defenderと[[Microsoft Defender for Business>https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-business]]を使うことになった。まあWithSecure（F-Secure）は不具合が多い困った製品だったので変更はよかったのだが・・・~

Windows Defenderと共に使用するMicrosoft Defender for Businessは，中小企業向けのEDR型（Endpoint Detection and Response）のセキュリティソフトで，クラウド・サーバー上で動作していてエンドポイント（PC，Server，スマートフォン端末など）での操作や動作を監視して，対策を行えるようにするソフトウェアのようだ。~
常にエンドポイントを監視するためのエージェントソフトをPCにインストールしておいて，監視する仕組みになっている。~

** Windows Defender+Microsoft Defender for Businessへ移行後の問題 [#d15200f4]
Windows Defender+Microsoft Defender for Businessへ変更後，個人的にちょっとした問題が出るようになった。~

なんと自分が運用しているWEBサイトに会社のPCのFirefoxでアクセスしたら，WEBサイトへのアクセスがブロック（TSL1.2での接続ができない）され，「このコンテンツはIT管理者がブロックしています」という通知が出て，WEBページにアクセスできなくなってしまった。~

会社のPCはドメイン参加しているマシンで，Windows Defenderも管理者による集中管理が行われている。~
あろうことか，自分のWEBサイトがブラックリストに追加されてしまったようだ ;( ~
Microsoft Defender Exploit Guardの機能と思われるが，ドメイン管理側でのWindows Defenderが自動的に追加したのか，管理者が意図的に追加したのかは不明なのだが・・・~

アクセスできないWEBブラウザはMicrosoft Edge，Google Chrome，Mozilla Firefoxで，おもしろいことにPale MoonやWaterFoxなどのWEBブラウザだとなにも問題なくアクセスできる ;) ~
つまり，対象のWEBサイトとアプリケーションの組み合わせでアクセス制限をかけていることになる。~
もしかしたら，TSL1.2でのやり取りになにか問題があるのかもしれない。~

自分が運用しているWEBサイトはもちろん悪いことはしていないが，これではセキュリティソフトとしては問題なのではないだろうか？~

** 自分のWEBサイトにアクセスできない問題への対策 [#wb77d7f1]
ドメインに参加しているPCの場合は，Windows Defenderの動作管理はドメイン側で管理しているので，その管理も会社の管理者が行っている。~

たぶん管理者にお願いしてブラックリストから解除してもらえばいいんだと思うが，そもそもなんで自分が運用しているWEBサイトをブロックしているのかの理由もわからないので，解除のお願いをするのもちょっとおもしろくない。~

もしかしたらMicrosoft Defenderのクラウド保護が有効になっていて，その機能によりブロックされているのかもしれない。~

自分が運用しているWEBサイトにお気に入りのFirefoxでアクセス出来ないのは困るので，どのような機能によりブロックされているのかはわからないが，なんか対策がないかいろいろトライしてみた。~

- レジストリエディタで以下のレジストリを変更した。~
 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection
 EnableNetworkProtection: 1 -> 2
 AllowNetworkProtectionOnWinServer: 新規dword作成 0
EnableNetworkProtectionを2の監査モードに変更した。~
//- ローカルグループポリシー（gpedit.msc）で，以下を変更する。~
//管理用テンプレート>Windowsコンポーネント>Microsoft Defender Exploit Gard>Exploit Protectionを開いて，「Exploit Protectionの設定の共通設定を使用する」を未構成から無効に変更してOKを押す。~
- ローカルグループポリシー（gpedit.msc）で，以下を変更する。~
管理用テンプレート>Windowsコンポーネント>Microsoft Defender ウィルス対策>Microsoft Defender Exploit Gard>ネットワーク保護を開いて，「ユーザーとアプリが危険なWebサイトにアクセスするのを防ぎます」を未構成から''有効''に変更して，オプションを''監査モード''に設定してOKを押す。~
このようにすると以下のレジストリが，~
 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection
 EnableNetworkProtection: 2
に設定された。レジストリ編集で同じ設定にしているのでこれは未構成に戻した。~
- タスクスケジューラーを管理者権限で起動して以下を変更する。~
タスクスケジューラーライブラリ>Microsoft>Windows>ExploitGuardを開く。~
ExploitGuard MDM policy Refreshを有効から無効に変更する。~

このようにしたら，一時的にブロックされずにFirefox（Microsoft EdgeやGoogle Chromeでも）から自分のWEBサイトにアクセスできた。~
これらのことから，ブロックしているのは''Windows Defender Exploit Guard''のように思える。~

また，Microsoft Edgeのみに有効なのだが，以下のようにしたらWEBサイトにアクセスできた。~
- 設定>Windowsセキュリティ>アプリとブラウザの制御をクリックして開く。~
- 評価ベースの保護をクリックして，Microsoft EdgeのSmartScreenをオフに設定する。~

''上記の対策を行ってWEBサイトがアクセスできるようになったが，しばらく時間が経つとまた同じようにブロックされてしまった。''~
再度ブロックされるようになった時に以下のレジストリを確認すると，元の値1（ブロックする）に戻っていた。~
 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection
 EnableNetworkProtection: 1

どうも集中管理しているドメイン・サーバーとのバックグラウンドでの通信により，Windows Defenderの更新（セキュリティ インテリジェンスの更新）が行われると，関係するレジストリの値が戻るようになっているようだ。 ;( ~

これはもしかしたらタスクスケジューラーで実行されているスケジュールのせいなのかと思い，以下のスケジュールを無効化してみた。~
- タスクスケジューラライブラリ>Microsoft>Windows>Windows Defender
 Windows Defender Cache Maintenance
 Windows Defender Cleanup
 Windows Defender Scheduled Scan
 Windows Defender Verification

しかし，全く効果がなかった。なので，元に戻しておいた。~

さらに，ローカルグループポリシーエディターで以下のポリシーを変更してみた。~
- ローカルグループポリシー（gpedit.msc）を起動する。~
管理用テンプレート>Windowsコンポーネント>Microsoft Defender ウィルス対策>MpEngineを開いて，「クラウドの保護レベルを選択します」を未構成から無効に変更してみた。~
このポリシー設定をすると，以下のレジストリが変更された。~
 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine
 MpBafsExtendedTimeout: 0x32
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\MpEngine
 MpCloudBlockLevel: 0 -> 2
これはWindows Defenderでどの程度不審なファイルなどを検知するかの程度を設定をするところだった。~
今回のWEBサイトのブロックには関係ないようなので，未構成に戻してレジストリも0に戻した。~

しょうがないので，また別のポリシーの変更をしてみた。~
- ローカルグループポリシー（gpedit.msc）を起動する。~
管理用テンプレート>Windowsコンポーネント>Microsoft Defender ウィルス対策>セキュリティインテリジェンスの更新を開いて，「セキュリティインテリジェンスの更新をダウンロードするための更新元の順序を定義する」を未構成から有効に変更して，変更内容を以下のようにした。（設定の意味はわかっていないが・・・）~
 FileShares
変更前は未構成になっていて，その場合「MicrosoftUpdateServer|MMPC」が採用されるようだ。~
~
このポリシーの設定をしたところ，以下のレジストリが変更された。~
 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates
 FallbackOrder: MicrosoftUpdateServer|MMPC -> FileShares
 SignatureUpdateInterval: 4 -> 0（変更） -> 4（その後勝手に変更された）
FallbackOrder設定でWindows Defenderが使用する定義ファイルを取得するところとその順番を設定できるようだ。~
これをFileSharesに設定したのだが，これがどのような意味かはわかっていない。~
しかしなんと，このポリシー設定後はブロックされなくなった :) ~

うーむ，自分のWEBサイトへのブロックは''Windows Defender Exploit Guard''が行っていて，バックグラウンドで行われる''セキュリティ インテリジェンスの更新''により，無効にしても勝手に有効にされてしまっていたと考えられる。~

まあ，はっきりはわかっていないがとりあえず目的は達成したんで，これでしばらく様子を見ることにした。~

* ユーザーアカウント制御 [#f4f4bf08]
ユーザーアカウント制御（UAC）は，Windows Vistaで導入されたWindowsのセキュリティソフトの一部の機能で，Windowsの機能を変更したりするために特権権限で実行しようとするアプリや，許可していないプログラムが起動するのを防ぐために，PCに影響を与える操作が行われるような時に，ユーザーに許可を求めるメッセージを表示したり，管理者権限のパスワードの入力を求めたりするセキュリティのこと。~

システムの機能を変更するような場合は，それまでのOSでは管理者権限のユーザーで使用している場合は，改めて確認するような仕組みはなかったのだが，Windows Vistaでユーザーアカウント制御が導入され，たとえ管理者権限のユーザーでログインして使用しているPCでも，システムの機能を変更するようなプログラムを実行する場合，そのことをユーザーに通知し確認することで，ユーザーに危険を知らせるようになった。~

また，確認後は操作などに特権を与えるようにしている。~
特権が与えられるのはプロセス単位で（子プロセスにも特権は引き継がれる），別のプロセスが特権を必要とする場合は，その都度UACによる確認が行われる。~

//Microsoft Edgで新しいバージョンに更新するような場合に，UACによりユーザーに知らせて確認するのだが，あるバージョンから確認をしてもその後の動作が正常に行われなくなってしまった。~

** 一時的にUACを無効にする [#gcad9386]
- コントロールパネルを開く。~
- ユーザーアカウント>ユーザーアカウント制御設定の変更をクリックする。~
- スライダーを一番下にセットして，OKをクリックする。~
#ref(setting.png,,50%)

これでUACを無効にすることが出来が，完全な無効ということではないようだ。~