(Translated by https://www.hiragana.jp/)
Windowsのセキュリティ機能 - Wikipedia コンテンツにスキップ

Windowsのセキュリティ機能きのう

リンクを追加ついか
出典しゅってん: フリー百科ひゃっか事典じてん『ウィキペディア(Wikipedia)』
Windows Defenderから転送てんそう

本稿ほんこうではWindowsのセキュリティ機能きのう(ウィンドウズのセキュリティきのう)について記述きじゅつする。本稿ほんこうではMicrosoft Windows本体ほんたいのみならず、Active DirectoryWSUSなどWindowsと連携れんけいするサーバソフトとう提供ていきょうするセキュリティ機能きのう説明せつめいするものとする。

Windowsにおけるアカウント

[編集へんしゅう]

アカウントの種類しゅるい

[編集へんしゅう]

Windowsには以下いか種類しゅるいのアカウントがある:

名称めいしょう 概要がいよう
ユーザアカウント ユーザのアカウント
コンピュータアカウント ドメインに参加さんかしているかくマシンのアカウント
サービスアカウント サービスを起動きどうするのにもちいられるOSにビルトインされたアカウント[1]。「SYSTEM」(Administratorsとおなじレベルの権限けんげん)、「LOCAL SERVICE」(一般いっぱんユーザとおなじレベルの権限けんげん)「NETWORK SERVICE」(一般いっぱんユーザとおなじレベルの権限けんげん)など[1]
グループアカウント 複数ふくすうのユーザアカウントをたばねたグループにたいするアカウント。グループアカウントをべつのグループアカウントのメンバーにすること可能かのう[2]

これらのアカウントの情報じょうほう表示ひょうじ設定せってい以下いかのコマンドで実行じっこう可能かのうである:

コマンド 概要がいよう
net user ユーザーアカウントの情報じょうほう表示ひょうじ設定せってい[3]
net accounts ユーザーアカウントのサインインやパスワードの要件ようけん表示ひょうじ設定せってい[3]
net group グループアカウンの情報じょうほう表示ひょうじ設定せってい[3]
net localgroup グループアカウンの情報じょうほう表示ひょうじ設定せってい(ローカルアカウント(後述こうじゅつ)のみ)[3]

アカウントの識別しきべつ方法ほうほう

[編集へんしゅう]

SIDとGUID

[編集へんしゅう]

Windowsのすべてのユーザアカウント、コンピュータアカウント、グループアカウントのように認証にんしょうやアクセス制御せいぎょ対象たいしょうとなる主体しゅたいことセキュリティプリンシパルといい、WindowsのセキュリティプリンシパルにはSID(Security Identifier、セキュリティ識別子しきべつし)GUID(Globally Unique Identifier、グローバル一意いちい識別子しきべつしという2つの固有こゆう識別子しきべつしられている[4]

SID、GUIDはいずれもユーザアカウントを識別しきべつするためのものだが、以下いかのような特徴とくちょうちがいがある。まずSIDはActive Directoryドメイン(後述こうじゅつ)で一意いちい識別子しきべつしでアクセス制御せいぎょなどに使つかわれる[5]。SIDはユーザめいやコンピュータめい変更へんこうしてもSIDは変更へんこうされない。またことなる2つのマシンで同一どういつのユーザめいのアカウントを登録とうろくした場合ばあい、それら2つのマシンのアカウントのSIDはたがいにことなる。

しかしユーザの所属しょぞくするドメインが変更へんこうになった場合ばあいはSIDも変更へんこうになる[5]。そこでドメインが変更へんこうになってもアカウントを一意いちい識別しきべつできるようにつくられたのがGUIDである[5]

アクセストークンとUID

[編集へんしゅう]

かくユーザアカウントには、ユーザアカウントのSID、ユーザがぞくしているグループ(いたる)のSID、アクセス制御せいぎょ情報じょうほうとう記述きじゅつしたアクセストークンられている[6]

ネットワーク経由けいゆでアクセスしてくるユーザーにたいしては、アクセス トークンのわりにUID (User IDentifier、ユーザー識別子しきべつし)がもちいられる。アクセストークンのぜん情報じょうほうをネットワークにながすのはセキュリティじょう危険きけんなので、アクセストークンから必要ひつよう情報じょうほうのみをしたUIDをもちいるのである。

ユーザアカウントの分類ぶんるい

[編集へんしゅう]

権限けんげんによる分類ぶんるい

[編集へんしゅう]

ユーザアカウントはそのアカウントが権限けんげんにより、以下いかの2つに分類ぶんるいされる:

  • User標準ひょうじゅんユーザ
  • Administrator特権とっけんユーザ

User、AdministratorはそれぞれUsersグループ、Administratorsグループにぞくしている。なおWindows XPにはこのほかにPower Userという区分くぶん存在そんざいしたが、Windows 7以降いこう廃止はいしされた[7]

またマシンをのユーザにしたりするときのためのGuestアカウントがあるが[8]、Guestアカウントはセキュリティじょう危険きけんこともあり、Windows 7以降いこうはデフォルトでGuestアカウントはオフになっている[8]

Active Directory(後述こうじゅつ)ではこれらのほか

  • Domain Administrator:ドメイン管理かんりしゃ
  • Enterprise Adiminstator:フォレスト管理かんりしゃ

がある。

Windows 10ではユーザアカウントに家族かぞくという概念がいねん導入どうにゅうされており、家族かぞくのアカウントには、保護ほごしゃ子様こさまがある[9]保護ほごしゃアカウントはお子様こさまアカウントのPC 使用しよう時間じかん制限せいげん閲覧えつらんウェブページの制限せいげん、アプリやゲームの年齢ねんれい制限せいげん設定せってい利用りよう履歴りれき確認かくにんといったペアレンタルコントロールおこなことができる[10]

アカウント管理かんり場所ばしょによる分類ぶんるい

[編集へんしゅう]

以下いかのように分類ぶんるいできる:

名称めいしょう 概要がいよう アカウント情報じょうほう保管ほかん場所ばしょ
ローカルアカウント 個々ここのマシンで管理かんりしているアカウント[2] 個々ここのマシンのSecurity Accounts Manager(SAM)データベース[2]
ドメインアカウント Active Directoryのドメインで管理かんりしているアカウント[2] Active DirectoryのActive Directoryデータベース[2]

Windows 10以降いこうは、マイクロソフトのシングルサインオンウェブサービスであるMicrosoft アカウント使つかって自分じぶん所有しょゆうするマシンにサインインすること可能かのうになった[11]

マシンをまたがるアカウント管理かんり・ファイル共有きょうゆう

[編集へんしゅう]

小規模しょうきぼなネットワークではワークグループの機能きのう使つかことにより、マシンをまたがるアカウント管理かんり・ファイル共有きょうゆうおこなことができる。だい規模きぼなネットワークであればディレクトリサービスActive Directory一括いっかつ管理かんりする必要ひつようがある。

ワークグループ

[編集へんしゅう]

ユーザめいもちいてアカウント管理かんりおこな仕組しくみである。すなわち、あるマシンからべつのマシンのリソースにアクセスする(れいエクスプローラーにパスめいんでファイルやフォルダにアクセスする)場合ばあい、アクセスもとのマシンとアクセスさきのマシンで同一どういつのユーザめい登録とうろくされており、しかもアクセスさき登録とうろくされているパスワードをめばアクセスが許可きょかされる[12]

クライアントWindowsではワークグループはユーザすうが20以下いか(Windows 7)ないし10以下いか(それ以前いぜん)の場合ばあいしか利用りようできない[12]。WindowsサーバやNASを使つかえばこの制限せいげんはない[12]

ワークグループはTCP/IPベースのNetBIOSにより通信つうしんおこなっている[12]ふるいバージョンのWindowsではNetBEUIベースのNetBIOSでも通信つうしんできた[12]

利用りよう方法ほうほう

[編集へんしゅう]

Windows 10の場合ばあい、ワークグループの機能きのう使つかうには、「システムのプロパティ」でワークグループめい事前じぜん設定せっていしておく必要ひつようがある[13][14]複数ふくすうのマシンを同一どういつのワークグループにくにはかくマシンで同一どういつのワークグループめい登録とうろくする必要ひつようがある[13]同一どういつのワークグループにぞくしている場合ばあいのみファイル共有きょうゆう可能かのうである。なお同一どういつのワークグループないにあるマシンのコンピューターめいたがいにことなっている必要ひつようがある[13]

さらに「ネットワークと共有きょうゆうセンター」の「共有きょうゆうオプション」で「ネットワーク探索たんさく有効ゆうこうにする」をチェックし、必要ひつようおうじ「ファイルとプリンターの共有きょうゆう有効ゆうこうにする」もチェックする[13]

ゲストアカウント

[編集へんしゅう]

リソース公開こうかいがわのマシンがゲストアカウント許可きょかしていれば、ユーザめいがなくともパスワードだけっていればアクセスできる[12]とくにパスワードをそら設定せっていすればだれでもアクセスできるようになるが、セキュリティじょう危険きけんである[12]

参考さんこう:ホームグループネットワーク

[編集へんしゅう]

Windows 7で導入どうにゅうされたあたらしい形態けいたいのワークグループネットワークであるが[15]、Windows 10 (Version 1803) 以降いこうでは削除さくじょされている[16]

参考さんこう:Windows NTドメインネットワーク

[編集へんしゅう]

NTドメインという単位たんいでマシンやアカウントなどを管理かんりする仕組しく[17]。ユーザアカウント、グループアカウント、システムポリシーが利用りよう可能かのう[15]。「ドメインコントローラー(DC)」とばれるサーバーでユーザアカウントやグループアカウントを一括いっかつ管理かんりしており[15]、DCに(ユーザないしグループ)アカウントがNTドメインないでどのような権限けんげん権限けんげん権限けんげんなど)をつかを一度いちど登録とうろくすればNTドメインないすべてのマシンでこの登録とうろく情報じょうほう共有きょうゆうされる[15]。このためワークグループとちがい、個々ここのマシンにユーザ登録とうろくする必要ひつようはない。

ただし、NTドメインやアカウント管理かんり階層かいそう構造こうぞうがないことやアカウントすう上限じょうげんがあるといった欠点けってんがある[15]

Active Directoryが登場とうじょうしたこともあり、Windows 2000以降いこう新規しんきにNTドメインが利用りようされることはほとんどなくなった[17]

Active Directory

[編集へんしゅう]

Active Directory以下いかAD)はユーザ、グループ、およびコンピュータアカウントを管理かんりするディレクトリサービスである。マイクロソフトはソフトウェアとしてADを提供ていきょうしているのみならず、Azure Active Directory(Azure AD)としてクラウド提供ていきょうもしている[18]

ADはこれらのアカウントをActive DirectoryドメインりゃくしてADドメイン、あるいはたんドメイン)としてまとめられる[19]。さらに複数ふくすうのドメインをツリーがた階層かいそう構造こうぞうドメインツリーとしてまとめられ[19]、ドメイン・ツリー同士どうしむすわせたフォレストつくことができる[19]。Windows Server 2003以降いこうではフォレストあいだ信頼しんらい関係かんけいクロスフォレスト信頼しんらい)も設定せってい可能かのうである[19]

企業きぎょうれいると、たとえば以下いかのように上記じょうき分類ぶんるい利用りようできる[19]

  • ドメイン:部署ぶしょ
  • ドメインツリー:関西かんさい支社ししゃといった拠点きょてん
  • フォレスト:企業きぎょう全体ぜんたい

かくドメインはドメインコントローラーというサーバで管理かんりできる[20]。ドメインコントローラーのおも役割やくわりは、ユーザアカウントを管理かんりし、ユーザが自身じしん端末たんまつにログオンするさいADが管理かんりしているユーザアカウント情報じょうほうらしわせてログオン認証にんしょうすることと[20]、アカウントに特権とっけん権利けんり認可にんかすることである。

かくドメインないのアカウントはOU(Organizational Unit、組織そしき単位たんい)という単位たんいでまとめることができ、さらにOUないにOUをいれるなど階層かいそうてき管理かんり可能かのうである[19][21]。なお、OUごとべつ管理かんりしゃ管理かんり委任いにんすること可能かのうである[19]

レプリケーション

[編集へんしゅう]

1つのドメインに複数ふくすうのドメインコントローラーを設置せっちしてレプリケーションおこなことでドメインコントローラーの可用性かようせい信頼しんらいせい向上こうじょうすることができる。なお、レプリケーションはマルチマスタである。

信頼しんらい関係かんけい

[編集へんしゅう]
  • ドメインないのアカウントの信頼しんらい関係かんけいはドメインコントローラーが制御せいぎょする。
  • どういちドメイン・ツリーないかくドメインあいだには双方向そうほうこうかつ推移すいいてき信頼しんらい関係かんけいむすばれる[22]。よってドメイン・ツリーないほかののドメインのリソースへもアクセス可能かのうになる[22]
  • どういちフォレストないかくフォレストツリーも双方向そうほうこうかつ推移すいいてき信頼しんらい関係かんけいむすばれている[22]
  • フォレストあいだ信頼しんらい(クロスフォレスト信頼しんらい)は、一方向いちほうこう信頼しんらい関係かんけい双方向そうほうこう信頼しんらい関係かんけいきづける[23]。また信頼しんらい関係かんけい推移すいいてきにも推移すいいてきにもできる[23]。なおデフォルトは双方向そうほうこうかつ推移すいいてき信頼しんらいである[23]。ただし、ドメインコントローラーのレプリケーションがフォレストをまたいでおこなわれることはない。

アクセス制御せいぎょ監査かんさ

[編集へんしゅう]

Windowsではファイルシステム、ファイル共有きょうゆう、プリンター、レジストリ、グループポリシー、サービス、WMIなど[24]様々さまざま箇所かしょアクセス制御せいぎょ導入どうにゅうしている。

NTFSのDACL

[編集へんしゅう]

Windowsの標準ひょうじゅんファイルシステムのひとつである[25]NTFSではDACL(Discretionary Access Control List、随意ずいいアクセス制御せいぎょ[ちゅう 1])というアクセス制御せいぎょ機構きこう導入どうにゅうしている[24]。これはTCSECC2レベルセキュリティ(=コモンクライテリア・ISO/IEC15408のEAL3に対応たいおう)を実現じつげんするために導入どうにゅうされたものである[24]

NTFS DACLはリソースの所有しょゆうしゃ任意にんいにアクセスけん規定きていできるアクセス制御せいぎょ方式ほうしき任意にんいアクセス制御せいぎょ方式ほうしき)で、具体ぐたいてきにはファイルやフォルダの「プロパティ」から「セキュリティ」を選択せんたくすることでアクセス制御せいぎょ設定せっていできる[24]

アクセス制御せいぎょ複数ふくすうACE(Access Control Entry)からなっており[24]かくACEは以下いかの4つの項目こうもくわせとして記述きじゅつされる[27]

項目こうもく 概要がいよう
プリンシパル どのアカウントをアクセス制御せいぎょするか
制御せいぎょ内容ないよう どんな行為こういをアクセス制御せいぎょするか
種類しゅるい 許可きょか」するのか「拒否きょひ」するのか
適用てきようさき どのリソースにアクセス制御せいぎょ適用てきようする

制御せいぎょ内容ないよう

[編集へんしゅう]

制御せいぎょ内容ないよう」として選択せんたく可能かのうなのは以下いかの14種類しゅるいである:「フォルダーのスキャンとファイルの実行じっこう」、「フォルダーの一覧いちらん/データのり」、「属性ぞくせいり」、「拡張かくちょう属性ぞくせいり」、「ファイルの作成さくせい/データのみ」、「フォルダーの作成さくせい/データの追加ついか」、「属性ぞくせいみ」、「拡張かくちょう属性ぞくせいみ」、「サブフォルダーとファイルの削除さくじょ」、「削除さくじょ」、「アクセス許可きょかり」、「アクセス許可きょか変更へんこう」、「所有しょゆうけん取得しゅとく」、「同期どうき[27]

なお、アクセス制御せいぎょ設定せってい画面がめんの「簡易かんい表示ひょうじ」では制御せいぎょ内容ないようとして「フルコントロール」、「変更へんこう」、「りと実行じっこう」、「フォルダーの内容ないよう一覧いちらん表示ひょうじ」、「り」、「み」があるが、これらは前述ぜんじゅつした14項目こうもくわせとして定義ていぎされる[27]たとえば「り」は「フォルダーの一覧いちらん/データのり」、「属性ぞくせいり」、「拡張かくちょう属性ぞくせいり」、「アクセス許可きょかり」、「同期どうき」の5項目こうもくすべて「許可きょか」にし、それ以外いがいの9項目こうもくすべて「拒否きょひ」にするという設定せっていである[27]

適用てきようさき

[編集へんしゅう]

適用てきようさき」にかんしては、ACEを定義ていぎするのがファイルの場合ばあいはそのファイル自身じしん選択肢せんたくしとしてあるだけだが、ACLを定義ていぎするのがフォルダである場合ばあいは、そのフォルダにぞくするファイルやサブフォルダにACEの制御せいぎょ継承けいしょうされるかかをめる必要ひつようがある。

ACEの継承けいしょう関係かんけい以下いかの3つのフラグでより規定きていされる[27]

略称りゃくしょう 名称めいしょう英語えいご 名称めいしょう日本語にほんご 意味いみ
OI Object Inherit オブジェクト継承けいしょう ACEを定義ていぎしたフォルダにぞくするファイルにACEが継承けいしょうされる
CI Container Inherit コンテナ継承けいしょう ACEを定義ていぎしたフォルダにぞくするサブフォルダにACEが継承けいしょうされる
IO Inherit Only 継承けいしょうのみ ACEを定義ていぎしたフォルダ自身じしんにはACEは適用てきようされないが、そこにぞくするファイルやサブフォルダにはACEが継承けいしょうされる

フラグが3つあるので、わせは8とおりあるが、フラグIOのみっているのは無意味むいみなので、実際じっさいはこれをのぞいた7とおりが選択肢せんたくしとなる。フォルダの「プロパティ」>「セキュリティ」で表示ひょうじされるGUIベースのAECの設定せっていでは、この7とおりの選択肢せんたくし以下いかのように表示ひょうじされる[27]

適用てきようさき表記ひょうき フラグでの表記ひょうき
このフォルダー、サブフォルダーおよびファイル (OI)(CI)
サブフォルダーとファイルのみ (OI)(CI)(IO)
このフォルダーとサブフォルダー (CI)
サブフォルダーのみ (CI)(IO)
このフォルダーとファイル (OI)
このフォルダーのみ し)
ファイルのみ (OI)(IO)

なお、アクセスけんすべ拒否きょひしたとしても、そのリソースの所有しょゆうしゃとCREATE OWNERグループのメンバーはそのリソースのアクセスけん変更へんこうできる。

cacls、icacls、Get-ACLのようなCUIベースのコマンドの場合ばあいは、前述ぜんじゅつしたOI、CI、IO以外いがいにさらに2つのフラグが表示ひょうじされる[27]

略称りゃくしょう 名称めいしょう英語えいご 名称めいしょう日本語にほんご 意味いみ
NP No Propagate Inherit 継承けいしょう伝搬でんぱん禁止きんし NPがっているとCIがっていてもまごフォルダに継承けいしょう伝搬でんぱんしない
I Inhereted 継承けいしょうされたアクセスけん 上位じょういフォルダから継承けいしょうされたアクセスけんたいして表示ひょうじされるフラグ

そののアクセス制御せいぎょ

[編集へんしゅう]
  • 共有きょうゆうフォルダ(SMB・CIFSによるファイル共有きょうゆう)ではNTFS DACLとはべつのACLにより共有きょうゆうアクセスのアクセスけん制御せいぎょしており[28]、このACLで付与ふよされたアクセスけん共有きょうゆうアクセスけんという[28]共有きょうゆうアクセスけんは「共有きょうゆうフォルダのプロパティ>共有きょうゆう>詳細しょうさい共有きょうゆう」で設定せってい可能かのう[29]共有きょうゆうアクセスけんとNTFS DACLのアクセスけん競合きょうごうしている場合ばあい両者りょうしゃとも許可きょか場合ばあいのみアクセスが許可きょかされる[28]
  • Windows Server 8では任意にんいアクセス制御せいぎょであるDACLのほか強制きょうせいアクセス制御せいぎょであるCentral Access Policy(集約しゅうやくがたアクセス ポリシー)が実装じっそうされている[30]
  • AzureではAzure RBACというロールベースアクセス制御せいぎょ導入どうにゅうされている[31]

WebDAV

[編集へんしゅう]

WebDAV(Web-based Distributed Authoring and Versioning、ウェブダブ)はマイクロソフトが開発かいはつしたHTTP拡張かくちょうで、「ファイル システムなどの格納かくのう媒体ばいたいを HTTP 接続せつぞく使用しよう可能かのうにする、HTTP 1.1 規格きかく拡張かくちょう機能きのう[32]で、WebサーバIISなどに実装じっそうされている[32]。WebDEVでは以下いかのアクセスけん設定せっていできる:

  • ディレクトリおよびファイルとそのプロパティの検索けんさく[32]
  • ディレクトリおよびファイルとそのプロパティの作成さくせい変更へんこう削除さくじょ、および参照さんしょう[32]
  • ファイルおよびディレクトリのカスタム プロパティの保存ほぞんおよび検索けんさく[32]
  • 共同きょうどう作業さぎょう環境かんきょうでのファイルのロック[32]

AD環境かんきょうのアクセス制御せいぎょ

[編集へんしゅう]

AD環境かんきょうではグループアカウントを利用りようしてアクセス制御せいぎょおこなうので、まずグループアカウントの種別しゅべつについてべたのち、AD環境かんきょうのアクセス制御せいぎょ基本きほん方針ほうしんである「AGUDLP」についてべる。

グループアカウントの分類ぶんるい

[編集へんしゅう]

グループアカウントには個々ここのマシンで管理かんりするローカルグループと、Active Directoryで管理かんりされるセキュリティグループとがあり、これらにくわえて配布はいふグループというメールアプリケーションでメールの配布はいふさき指定していしたりするためのグループの種類しゅるいがある[33]。なおドメイングループと配布はいふグループはActive Directoryにかんするグループの種類しゅるいであるので、ドメインアカウントしかグループメンバーに出来できない[33]

セキュリティグループと配布はいふグループはその有効ゆうこう範囲はんいによってドメインローカルグループグローバルグループユニバーサルグループかれる[33]。ドメインローカルグループはドメインないでのみ参照さんしょう可能かのうである。これにたいしグローバルグループとユニバーサルグループはいずれものドメイン、ドメインツリー、フォレスト全体ぜんたいから参照さんしょう可能かのうであるが、グローバルグループはメンバー追加ついか制限せいげんがあり、追加ついかできるのはどういちドメインのアカウントやグローバルグループのみである[33]。ユニバーサルグループにはそのような制限せいげんはない[33]

AGUDLP

[編集へんしゅう]

AGUDLPはAD環境かんきょうにおいてロールベースアクセス制御せいぎょおこなうためのマイクロソフト推奨すいしょう方針ほうしんである。ここでAGUDLPはAccount(アカウント)、Grobal group(グローバルグループ)、Universal group(ユニバーサルグループ)、Domain Local group(ドメインローカルグループ)、Permission(パーミッション)の頭文字かしらもじあつめたもので、これらを以下いかのようにもちいるとよいと推奨すいしょうしている[34][35]

頭文字かしらもじ 分類ぶんるい 使つかかた
A アカウント かくユーザにアカウントを
G グローバルグループ 開発かいはつ部門ぶもん管理かんりしょく」のように企業きぎょうじつ組織そしき構造こうぞうしたがったグローバルグループをつくり、そこにユーザのアカウントを所属しょぞくさせる
U ユニバーサルグループ グローバルグループは、そのグローバルグループを作成さくせいしたドメインからしかメンバーを追加ついかできないので、それ以外いがいのドメインからもメンバーを追加ついかしたい場合ばあいは1つ以上いじょうのグローバルグループをふくむユニバーサルグループを作成さくせいする
DL ドメインローカルグループ 「ソースコードフォルダへの権限けんげん保持ほじしゃグループ」のように、権限けんげんごとにドメインローカルグループをつくり、そのドメインローカルグループにグローバルグループやユニバーサルグループを所属しょぞくさせる
P パーミッション かくドメインローカルグループに権限けんげん権限けんげんなどのパーミッションをあたえる。

規模きぼがよりちいさい企業きぎょうでは上述じょうじゅつしたA、G、U、DL、Pをすべ用意よういする必要ひつようはなく、AUP、AGLP、AGDLPなどにする[36]

監査かんさ

[編集へんしゅう]

Windowsではユーザやプロセスのいを監査かんさするため、監視かんししゃあらかじ指定していした行為こういをユーザがおこなった場合ばあいには監査かんさログ記述きじゅつすることができる[37]

なに監査かんさログにむのかは管理かんりしゃ監査かんさポリシーとして事前じぜんにしてする必要ひつようがある。監査かんさポリシーは

コンピュータの構成こうせい\Windows の設定せってい\セキュリティの設定せってい\ローカル ポリシー \監査かんさポリシー

閲覧えつらん設定せってい可能かのうである[38]監査かんさポリシーに記述きじゅつ可能かのうなイベントとしては

  • アカウントログオンイベント[38]
  • アカウント管理かんりイベント[38]
  • Active Directoryのオブジェクトへのアクセスイベント[38]
  • ポリシー変更へんこう[38]
  • 特権とっけん変更へんこう[38]
  • プロセス追跡ついせき[38]
  • システムイベント[38]

Active Directoryでは監査かんさポリシーはSACL(システムアクセス制御せいぎょリスト)として記述きじゅつされる[38]

認証にんしょうとID連携れんけい

[編集へんしゅう]

Window 10へのサインイン方法ほうほう

[編集へんしゅう]

Window 10には以下いかの4とおりのサインイン方法ほうほうがある[39]

方法ほうほう 概要がいよう
パスワード入力にゅうりょく 通常つうじょうのパスワード認証にんしょう
PIN 暗証あんしょう番号ばんごう(4 けた~64 けた)の入力にゅうりょくにより認証にんしょう
ピクチャ パスワード パスワードよう指定していした画像がぞううえで、パスワードとして指定していしたジェスチャ(ドラッグやタップ)をおこなこと認証にんしょう
Windows Hello 端末たんまつ搭載とうさいかお認証にんしょうようのカメラや指紋しもん認証にんしょうリーダーと連携れんけいした生体せいたい認証にんしょう

上記じょうき4種類しゅるいのサインインのうち、PINは個々ここ端末たんまつにしか保管ほかんされないため、PINが漏洩ろうえいしても攻撃こうげきしゃがユーザになりすましてのPCからMicrosoft アカウントにサインインすることはできない[39]

またサインインのさい事前じぜん指定していした携帯けいたい電話でんわやメール アドレスに送信そうしんされるセキュリティコードを入力にゅうりょくする2段階だんかい認証にんしょうもできる[39]

Active Directoryにおける認証にんしょう

[編集へんしゅう]

Active Directoryはユーザ認証にんしょうとしてケルベロス認証にんしょう[ちゅう 2]NTLM認証にんしょう利用りよう可能かのうである[42]。ただし、NTLMは(バージョン1、2双方そうほうとも)認証にんしょうプロトコルそれ自身じしんがセキュリティじょう脆弱ぜいじゃくであることられているので、その利用りよう推奨すいしょうされない[43]。クライアントはしまつがWindows 7以降いこうであればケルベロス認証にんしょう対応たいおうしているのでNTLM認証にんしょう停止ていし可能かのうである。

Azure ADは要素ようそ認証にんしょうにも対応たいおうしている[18]

シングルサインオン

[編集へんしゅう]

Active Directoryによるシングルサインオン

[編集へんしゅう]

Active Directoryはケルベロス認証にんしょうにより、ドメインないシングルサインオン実現じつげんする。ドメイン連携れんけい仕組しくみやADFS(Active Directoryフェデレーションサービス)というを使つかえば、ドメインの垣根かきねえてシングルサインオンが可能かのうになる[44]

Azure ADの場合ばあいSAMLOpenID Connectなどでシングルサインオンを実現じつげんしている[45]

Azure ADはシングルサインオン機能きのうのよりマイクロソフトをふく各社かくしゃのクラウドアプリケーションと連携れんけい可能かのうで、Azure AD経由けいゆでアクセス可能かのうなクラウドアプリケーションは2000種類しゅるい以上いじょうある(2016ねん現在げんざい[18]

またWindow 10では事前じぜんにAzure ADにアカウントを登録とうろくしておくと、ユーザが端末たんまつにサインインしたときに透過とうかてきにAzure ADからも認証にんしょうされ、Azure ADの連携れんけいサービスにシングルサインオンできる[46]

Microsoft アカウントによるシングルサインオン

[編集へんしゅう]

Microsoft アカウント(マイクロソフトアカウント、以前いぜんMicrosoft Wallet[47]Microsoft Passport[48].NET PassportMicrosoft Passport NetworkWindows Live ID)は、

にログインするためのシングルサインオンWebサービスである。OpenIDFIDO2をサポートしている。

Microsoft Identity Manager(MIM)

[編集へんしゅう]

AD環境かんきょうのAGUDLPではグループ管理かんり煩雑はんざつになることまえてつくられたユーザープロビジョニングサービス[49]。「ID統合とうごう」をおこなうためのサービスで[50]とくに「「IDのライフサイクル管理かんりおこなう」ことで、管理かんりしゃ作業さぎょう監査かんさにおける省力しょうりょく目的もくてき[50]としている。下記かきのように、なん名称めいしょう変更へんこうされている[50]

略称りゃくしょう 正式せいしき名称めいしょう とし
MIIS Microsoft Identity Integration Server 2003
ILM Identity Lifecycle Manager 2007
FIM Forefront Identity Manager 2010
MIM Microsoft Identity Manager 2016

ポリシー管理かんり・ポリシー制御せいぎょ

[編集へんしゅう]

Windowsにおける権限けんげん

[編集へんしゅう]

Windowsにおけるユーザ権限けんげんは、シャットダウンやバックアップなどマシン全体ぜんたいかかわる権限けんげんである特権とっけんとローカルログインなど個々ここのユーザにかんする権限けんげんである権利けんりかれる。

ユーザの特権とっけん権利けんりsecpol.msc(ローカル セキュリティ ポリシー)の「ユーザー権利けんりて」から確認かくにんでき、グループポリシー(後述こうじゅつ)はgpmc.msc(グループポリシーの管理かんり)の「ユーザー権利けんりて」から確認かくにんできる[11]

ローカルセキュリティポリシー

[編集へんしゅう]

かくマシンローカルなセキュリティ設定せっていローカルセキュリティポリシーばれ、secpol.mscツールを使つかえばアカウントにたいしてどのような特権とっけん権利けんりあたえられているかを確認かくにんできる[2][51]

グループポリシー

[編集へんしゅう]

ADではグループポリシーという機能きのうもちいてかくユーザアカウントのかく端末たんまつにおける特権とっけん権利けんり一括いっかつ設定せっていできる[21]。グループポリシーの管理かんりはgpmc.mscツールをもちいて管理かんりできる[2]

かくグループポリシーはGPO(グループポリシーオブジェクト)とリンクからなる[21]。GPOにはユーザアカウントや端末たんまつ認可にんか(ないし禁止きんし)したい特権とっけん権利けんり指定していし、リンクはGPOを適用てきようするOUを指定していする[21]。ユーザアカウントからなるOUやコンピュータアカウントからなるOUをリンクに指定していすることで、ユーザや端末たんまつ特権とっけん権利けんり一括いっかつ設定せっていできる。

GPOとしてはたとえば以下いかのものが設定せってい可能かのうである[52]

設定せってい 概要がいよう
セキュリティまわりの設定せってい 後述こうじゅつ
ソフトウェアの配布はいふ Windowsインストーラを利用りようしたソフトウェアの自動的じどうてきにかつ一律いちりつなインストールなど[52]
スタートアップなどのスクリプト コンピュータの起動きどう終了しゅうりょうなどのスクリプト実行じっこう[52]
Internet Explorerの設定せってい セキュリティ・ゾーンとドメインのマッピングの定義ていぎ、「おり」へのリンクの追加ついか削除さくじょなど[52]
フォルダのリダイレクト かくコンピュータのローカルなフォルダをファイル・サーバじょうのフォルダへリダイレクト[52]

セキュリティまわりではたとえば以下いかのものが設定せってい可能かのうである:

  • ファイルやレジストリのアクセスけんなどの設定せってい[52]
  • パスワードポリシーの設定せってい[53]
  • ローカルへのパスワード保存ほぞんやパスワードキャッシュ保存ほぞん禁止きんし[53][54]
  • アカウントロックポリシーの設定せってい[53]
  • 管理かんりしゃグループメンバーの制限せいげん[53]
  • ファイヤーウォールの受信じゅしんポート制御せいぎょ[54]
  • シャットダウンのページファイルの削除さくじょ[54]
  • サインイン利用りよう規約きやく表示ひょうじ[54]

グループポリシーはGPMCというツールで管理かんりすることができる[55]

セキュリティポリシーテンプレート

[編集へんしゅう]

なお、Windows ServerにはセキュリティポリシーテンプレートというGPOの雛形ひながた

%SystemRoot%\Security\Templates

複数ふくすういてあるので、必要ひつようおうじてテンプレートの中身なかみえて組織そしき環境かんきょうようにカスタマイズしたうえでテンプレートをGPOにこと容易よういにポリシーを設定せっていできる[56][57]

AppLocker

[編集へんしゅう]

AppLockerはアプリケーションの実行じっこう許可きょか許可きょか設定せっていできるツールである。具体ぐたいてきには、「「実行じっこう可能かのうファイル(EXE)」「Windowsインストーラ・ファイル」「スクリプト」「DLL」のかくカテゴリにたいして、それぞれ「ファイルのパス」「ハッシュ」「発行はっこうもと(デジタル署名しょめい)」を設定せっていし、これに「許可きょか」「拒否きょひ」「例外れいがい」という3種類しゅるいのルールが適用てきようできる」[58]。「AppLockerによるプログラムの実行じっこう制御せいぎょは、ローカル・セキュリティ・ポリシーかグループ・ポリシーを使つかっておこなう」[58]

またApplockerでは「規則きそく実施じっし」か「監査かんさのみ」をえらぶことができ、前者ぜんしゃえらぶと実行じっこう許可きょか許可きょかがAppLockerにより制御せいぎょされるが、後者こうしゃえらんだ場合ばあいには、AppLockerは実行じっこう制御せいぎょせず、実行じっこう結果けっかがログに記載きさいされるのみである[59]

Security Compliance Toolkit

[編集へんしゅう]

Security Compliance Toolkitはマイクロソフト内外ないがい専門せんもんのフィードバックにもとづいてベストプラクティスをまとめたセキュリティベースラインで[60]、マイクロソフトが過去かこ公開こうかいしていたベストプラクティスしゅうSecurity Compliance Managerをえるものである[61]かくセキュリティ分野ぶんやべつ推奨すいしょう設定せっていがスプレッドシート形式けいしき記載きさいされており[60]分析ぶんせきテスト機能きのう使つかうと必要ひつようなGPO、テンプレート、クライアントインストールスクリプトが入手にゅうしゅできる[60]

またSecurity Compliance Toolkitのページから、マイクロソフトのポリシーアナライザツールや、ローカルWindowsポリシーを管理かんりする「Local Group Policy Object Utility」もダウンロードできる」[60]

暗号あんごう

[編集へんしゅう]

BitLocker

[編集へんしゅう]
詳細しょうさいは「BitLocker」を参照さんしょう

BitLockerはディスク全体ぜんたい暗号あんごうすることができるセキュリティ機能きのうのPCにディスクを接続せつぞくされても、中身なかみむことはできない。コンピューターにTrusted Platform Module(TPM)が搭載とうさいされていれば、それを使用しようして暗号あんごうおこなう。BitLocker To GoはUSBメモリなどのリムーバブル・ディスクの暗号あんごうおこなえる。

Encrypting File System

[編集へんしゅう]

Encrypting File System(EFS)NTFSバージョン3.0で追加ついかされた機能きのう[62]ファイルシステムレベルでの暗号あんごう提供ていきょうする。この技術ぎじゅつはコンピューターに物理ぶつりてきにアクセスする攻撃こうげきしゃから機密きみつデータを保護ほごするために、ファイルの透過とうかてき暗号あんごう実現じつげんする。

DPAPI

[編集へんしゅう]
詳細しょうさいは「DPAPI」を参照さんしょう

Cryptographic API

[編集へんしゅう]
詳細しょうさいは「Cryptographic API」を参照さんしょう

Security Support Provider Interface

[編集へんしゅう]
詳細しょうさいは「Security Support Provider Interface」を参照さんしょう

Host Guardian Service

[編集へんしゅう]

セキュアなブートプロセス

[編集へんしゅう]

Window 10では下記かき仕組しくみによりブートキットやそのルートキットに感染かんせんするのをふせいでいる:

名称めいしょう 概要がいよう
セキュアブート マシンがファームウェアさい、ファームウェアにいている署名しょめい検証けんしょうし、ファームウェアがブートローダーさい、ブートローダーにいている署名しょめい検証けんしょうすることで、ブートキット感染かんせん検出けんしゅつする仕組しく[63]UEFITPM利用りよう[63]
トラストブート セキュアブート終了しゅうりょう[64][ちゅう 3]、windows 10 カーネルのデジタル署名しょめい検証けんしょう[63]、Windows 10 カーネルがブート ドライバー、スタートアップ ファイル、ELAM (後述こうじゅつ)をふくむWindows スタートアッププロセスのほかすべてのコンポーネントを検証けんしょうする仕組しく[63]
起動きどうマルウェア対策たいさく(ELAM) 「Early Launch Anti-Malware」のりゃく[64]。マイクロソフト以外いがいのブートドライバーとアプリケーションをまえに(マイクロソフトの、もしくはそれ以外いがいの)マルウェア対策たいさくドライバーを[63]、ブートドライバーが事前じぜん登録とうろくされたリストにあるかかをチェックする[63]


メジャーブート ファームウェア、ブートローダー、ブート ドライバーとうマルウェア対策たいさくアプリのまえまれるものすべてのハッシュをUEFI ファームウェアがTPMに格納かくのう[63]構成こうせい証明しょうめいサーバーからおくられてきた署名しょめいかぎもちいてTPMがUEFIのログに署名しょめいしたうえ[63]ログやハッシュをサーバにおく[63]。これらを利用りようしてサーバがわでPC の正常せいじょうせい客観きゃっかんてき評価ひょうか[63]

アンチウイルスソフトウェア

[編集へんしゅう]

Microsoft Defender

[編集へんしゅう]
詳細しょうさいは「Microsoft Defender ウイルス対策たいさく」を参照さんしょう

Microsoft Defenderはその内容ないようときとともに変化へんかしたが、2018ねん現在げんざいはマイクロソフトがWindowsけに提供ていきょうするセキュリティ機能きのうのシリーズめい[65]下記かきのものをふくんでいる[65]

名称めいしょう 概要がいよう
Windows Defender Security Center セキュリティ関連かんれんのクライアントインターフェース[66]
Windows Defender ウィルス対策たいさく マルウェア対策たいさくソフト
Windows Defender Offline ブータブルCD/DVD、またはUSBフラッシュドライブにマルウェア駆除くじょようのシステムをインストールし、Windows起動きどうちゅう検出けんしゅつ削除さくじょができないマルウェアに対処たいしょするために提供ていきょうされている。
Windows Defender Smart Screen すんで報告ほうこくずみ悪意あくいのある可能かのうせいのあるサイトにアクセスしようとしたり悪意あくいのある可能かのうせいのあるファイルをダウンロードしようとしたりすると警告けいこくする[67]
Windows Defender Firewall パーソナルファイアウォール
Windows Defender Exploit Guard[68] Exploit Protection データ実行じっこう防止ぼうし(DEP)ASLR、SEHOP(Structured Exception Handling Overwrite Protection、構造こうぞう例外れいがい処理しょり上書うわが保護ほご)[69]EMET後続こうぞく[69]
ASR(Attack Surface Reduction、攻撃こうげき表面ひょうめん縮小しゅくしょう 「Office ベースやスクリプトベース、電子でんしメールベースの脅威きょういをブロックし、マシンにマルウェアが侵入しんにゅうすることを」ふせ[70]
ネットワーク保護ほご 「Windows Defender SmartScreenを使つかって、デバイスから信頼しんらいされていないホストやIPへのアウトバウンドプロセスをブロック」[70]
フォルダー アクセスの制御せいぎょ 信頼しんらいされていないプロセスによる、保護ほごされたフォルダーへのアクセスをブロック」[70]することによるランサムウェア対策たいさく[70]
Windows Defender Device Guard 後述こうじゅつ
Windows Defender Application Control 「ユーザーの実行じっこう許可きょかされるアプリケーションと、システム コア (カーネル) で実行じっこうされるコードを制限せいげんすることによって」[71]、「ファイルベースのマルウェア (.exe、.dll など) 」[71]脅威きょうい軽減けいげん
Windows Defender Credential Guard 後述こうじゅつ
Windows Defender Application Guard 「Microsoft Edge または Internet Explorer のいずれかから信頼しんらいサイトを表示ひょうじすると、Microsoft Edge では分離ぶんりされた Hyper-V 対応たいおうコンテナーにふくまれるサイトが」ひら[72]
Windows Defender Advanced Threat Protection EDR(Endpoint Detection and Response)[73]

Microsoft Security Essentials

[編集へんしゅう]
詳細しょうさいは「Microsoft Security Essentials」を参照さんしょう

2009ねん9がつ29にち~2020ねん1がつ14にちにWindows XP, Vista, 7けに提供ていきょうしていたアンチウイルスソフトウェア。

VBS(Virtualization-Based Security)

[編集へんしゅう]

VBS(Virtualization-Based Security、仮想かそうベースのセキュリティ)は仮想かそう基盤きばんHyper-V利用りようしたハイパーバイザーベースのセキュリティ技術ぎじゅつ[74]、Windows Defender System Guardともいう[75]。ハイパーバイザーが通常つうじょうのWindows OS自身じしんを1つの仮想かそうマシンとして実行じっこうし、それとはべつにもうひとつの仮想かそうマシンVSM(Virtual Secure Mode)を実行じっこうする。Windows OSとVSMはハイパーバイザーレベルで分離ぶんりされているため、Windows OSがわ特権とっけん攻撃こうげきしゃられても、VSMがわられない[74]

そこでVBSではVSMにWindows OS自身じしんよりもたか特権とっけんレベルを要求ようきゅうする操作そうさっており、Windows OS、VSMの特権とっけんレベルをそれぞれVTL 0、VTL 1という(VTLはVirtual Trust Levelのりゃく[76]。(リングプロテクションとちがい、数字すうじおおきいほど特権とっけんレベルがたかこと注意ちゅうい[76])。

VTL 0、VTL 1はリングプロテクションのRing 0、Ring 3とは独立どくりつした特権とっけんレベル概念がいねんであり、VTLが0か1か、リングプロテクションレベルが0か3かのわせでけい4つの特権とっけんレベルがあることになる[76][77]

WindowsではVBSを使つかうことで以下いかの3つのセキュリティ機能きのう実現じつげんしている[74][76][78]

名称めいしょう 概要がいよう
Credential Guard Active Directoryの資格しかく情報じょうほう管理かんりするセキュリティ認証にんしょうサブシステム(Local Security Authority Subsystem Service : LSASS)をVSMがわ実行じっこうし、さらに暗号あんごうかぎをTPM(ない場合ばあいはUEFI)で保護ほごすることで、Windowsの特権とっけん攻撃こうげきしゃられても、Pass-the-Hash攻撃こうげきなどで資格しかく情報じょうほう窃取せっしゅされないようにする[74][79]
Device Guard アプリケーションやデバイスドライバのホワイトリスト機能きのう[79]。アプリケーションやデバイスドライバに正当せいとう署名しょめいいていること確認かくにんしたうえでこれらを実行じっこうする[80]。「グループポリシーの「コードの整合せいごうせいポリシーを展開てんかいする」を使つかって、あらかじめ指定していしたアプリケーションだけしか動作どうさしないように設定せってい」すること可能かのう[80]。カーネルモードでうごくバイナリをチェックする「カーネルモードのコードの整合せいごうせい(Kernel Mode Code Integrity:KMCI)」とユーザーモードでうごくバイナリをチェックする「ユーザーモードのコードの整合せいごうせい(User Mode Code Integrity:UMCI)」からなっている[79]。 Windows Storeで配布はいふされているアプリケーションは配布はいふ段階だんかい署名しょめい必須ひっすである[80]。またPKI用意よういして既存きそんのアプリケーションに署名しょめいおこなってもよい[80]
仮想かそうTPM 仮想かそうマシンでTPMを利用りようするための技術ぎじゅつ[74]、ソフトウェアベースでTPMを実現じつげんするためTPM対応たいおうプロセッサを必要ひつようとしない[81]

Windows 10 Fall Creators Update(バージョン1709)ではDevice Guardにわる機能きのうとしてWindows Defender Application Guard(WDAG)導入どうにゅうされている[75][82]。WDAGとならび、AppLockerもWindowsがつもうひとつのアプリケーションホワイトリスト機能きのうであるが、両者りょうしゃはいわば補完ほかん関係かんけいにある[83]。WDAGは組織そしきにとって可能かのう制限せいげんレベルにたいしてのみ強制きょうせいすべきで、それよりひくいレベルにかんしてはAppLockerによる保護ほご補完ほかんする[83]

更新こうしんプログラムの適用てきよう

[編集へんしゅう]

マイクロソフトでは、自社じしゃ提供ていきょうするWindowsMicrosoft Officeなどのソフトウェア更新こうしんプログラム(パッチ)、およびデバイスドライバダウンロード更新こうしんおこなうためサービスであるWindows Update提供ていきょうしている。

個人こじんよう端末たんまつ場合ばあいには、マイクロソフトが提供ていきょうするWindows Updateのサイトから直接ちょくせつ更新こうしんプログラムを入手にゅうしゅするが、企業きぎょうなどではWSUSという中間ちゅうかんサーバを社内しゃないて、WSUSが代表だいひょうしてマイクロソフトから更新こうしんプログラムをせ、かく社員しゃいん端末たんまつはWSUSから更新こうしんプログラムをせる構成こうせいにするケースもおおい。このような構成こうせい目的もくてきは、企業きぎょうがわ社員しゃいんのPCにおける更新こうしんプログラムの適用てきようじょうきょう把握はあくしたり、マイクロソフトからの更新こうしんプログラムのダウンロードによる通信つうしん帯域たいいき圧迫あっぱくけたりすることにある。

Window UpdateやWSUSはバックグラウンドでBITS(Background Intelligent Transfer Service、バックグラウンド インテリジェント転送てんそうサービス)という仕組しくみをもちいている。これはアイドルちゅうのネットワーク回線かいせん帯域たいいきはば使用しようし、非同期ひどうきにマシンあいだのファイル転送てんそうおこなこと可能かのうにする。

WSUS

[編集へんしゅう]

WSUSみはダブルサス。Windows Server Update Services、ウィンドウズサーバーアップデートサービス)は、更新こうしんプログラムやデバイスドライバなどの適用てきよう制御せいぎょようサーバアプリケーションである。

クライアントPCは、グループポリシーまたはレジストリによって指定していされたWSUSサーバにたいして、指定していされた時間じかん間隔かんかく既定きていやく22あいだ間隔かんかく)でアクセスしてローカルにダウンロードし、「自動じどう更新こうしん」コンポーネントに表示ひょうじする。なおダウンロードのタイミングは指定していできない。

またユーザがクライアントPCにログインしていなくても更新こうしんプログラムのダウンロードや適用てきようおこなうよう設定せってい可能かのうである。

更新こうしんプログラムの適用てきよう完了かんりょうすると、クライアントPCは適用てきようステータスをWSUSサーバ(グループポリシー設定せっていでの名称めいしょうは「イントラネット統計とうけいサーバ」)に報告ほうこくする。WSUSサーバでは、このステータス報告ほうこくをもとに更新こうしんプログラムやクライアントPCごとのレポートを作成さくせいする。

更新こうしんプログラムのダウンロードはBackground Intelligent Transfer Service (BITS) が実行じっこうしており、利用りよう可能かのうなネットワーク帯域たいいきおうじて回線かいせんがパンクしないように、また更新こうしんデータの配布はいふによって回線かいせん独占どくせんし、ネットワークが使用しよう不可ふかになるような状況じょうきょうにならないように、通信つうしんりょう自動的じどうてき調整ちょうせいされる。

更新こうしんプログラムの承認しょうにん

[編集へんしゅう]

WSUS管理かんりしゃは、管理かんりコンソールじょう更新こうしんプログラムをどのように配布はいふするか制御せいぎょすることができる。配布はいふ許可きょかする場合ばあい更新こうしんプログラムにたいして「承認しょうにん」の作業さぎょうおこなこと必要ひつようになる。WSUS 2.0 (SP1) においては、承認しょうにんには以下いかの4つの状態じょうたいがある。

名称めいしょう 概要がいよう
インストール 更新こうしんプログラムをクライアントPCがインストールすること許可きょかする承認しょうにん状態じょうたいである。
検出けんしゅつのみ 更新こうしんプログラムの存在そんざい公開こうかいするが、更新こうしんプログラムのダウンロードや適用てきよう許可きょかしない承認しょうにん状態じょうたい
削除さくじょ 更新こうしんプログラムの削除さくじょ(アンインストール)を強制きょうせいする承認しょうにん状態じょうたい
拒否きょひ 検出けんしゅつ拒否きょひする承認しょうにん状態じょうたい。「拒否きょひ」にした更新こうしんプログラムはWSUSの管理かんりコンソールにおいても通常つうじょう表示ひょうじされなくなる。

クライアントPCのグループ

[編集へんしゅう]

WSUSでは、クライアントPCを「コンピュータ・グループ」という任意にんい管理かんりグループに分類ぶんるいして、グループごと更新こうしんプログラムの承認しょうにんおこなこと可能かのうである。コンピュータ・グループの登録とうろくとグループけは、管理かんり画面がめん管理かんりしゃ手動しゅどうおこなうか、グループポリシーまたはレジストリによってクライアントPCにたいして設定せっていすることでおこなう。

コンピュータ・グループによって、きめこまかな更新こうしんプログラムの適用てきよう管理かんり可能かのうになる。たとえば、更新こうしんプログラムをまず適用てきよう試験しけんようのPCに適用てきようして評価ひょうかおこない、安全あんぜん確認かくにんしたのち一般いっぱんのクライアントPCにたいして配布はいふする、といった適用てきよう制御せいぎょ容易ようい可能かのうになる。

レポート

[編集へんしゅう]

クライアントPCから報告ほうこくされるステータス情報じょうほうやWSUSサーバ自身じしんのステータス情報じょうほうもとに、WSUS 3.0 (SP1) では、以下いかのレポートを作成さくせいできる:

名称めいしょう 概要がいよう
更新こうしんレポート 更新こうしんプログラムごとに、クライアントPCの適用てきようじょうきょう表示ひょうじ更新こうしん状態じょうたい概要がいよう更新こうしん詳細しょうさい状態じょうたい更新こうしん状態じょうたいおもて形式けいしき)がふくまれる
コンピュータレポート クライアントPCごとに、更新こうしんプログラムの適用てきようじょうきょう表示ひょうじ。コンピュータの状態じょうたい概要がいよう、コンピュータの詳細しょうさい状態じょうたい、コンピュータの状態じょうたいおもて形式けいしき)がふくまれる
同期どうきレポート WSUS 3.0サーバの、過去かこのMicrosoft Updateとの同期どうき結果けっかについてレポート

クラス

[編集へんしゅう]

以下いか種類しゅるい更新こうしんプログラムを配布はいふすることができる(2008ねん7がつ末日まつじつ現在げんざい)。

  • Feature Packs : あたらしく公開こうかいされた機能きのう通常つうじょう時期じきリリース製品せいひんふくまれる。
  • Service Packs
  • セキュリティ問題もんだい修正しゅうせいプログラム : 製品せいひんのセキュリティホールを修正しゅうせいする更新こうしんプログラム。
  • ツール : ユーティリティるい
  • ドライバ : デバイスドライバ
  • 更新こうしん : 重要じゅうようせいひくく、セキュリティに関連かんれんしない不具合ふぐあい修正しゅうせいするための更新こうしんプログラム。
  • 修正しゅうせいプログラムしゅう : 複数ふくすうホットフィックスやセキュリティ修正しゅうせいプログラムなどを集約しゅうやくした更新こうしんプログラム。
  • 重要じゅうよう更新こうしん : 重要じゅうようせいたかく、セキュリティに関連かんれんしない不具合ふぐあい修正しゅうせいするための更新こうしんプログラム。
  • 定義ていぎ自動じどう更新こうしんプログラム : Windows DefenderやForefront Client Securityなどの定義ていぎファイル。

バックアップ、復元ふくげん

[編集へんしゅう]

バックアップ

[編集へんしゅう]

Windowsにはバックアップを方法ほうほうがいくつかある。

  • Windowsにはデフォルトでファイルのバックアップの機能きのうそなわっている。たとえばWindow 10では「更新こうしんとセキュリティ」の「バックアップ」を選択せんたくすることでバックアップが可能かのうになる。このさいバックアップしたいフォルダすべてを一覧いちらんから選択せんたくし、バックアップさきのドライブを選択せんたくする。
  • こうしたファイルごとのバックアップとはべつシステムイメージ作成さくせいする機能きのうそなわっているが、Windows 10 バージョン1709 Fall Creators Updateからは推奨すいしょう機能きのうになった[84]
  • Windows Server 2008以降いこうにはWindows Server Backupというバックアップ機能きのう標準ひょうじゅん装備そうびされており、そのコマンドラインインターフェースとしてwbadmin.exeが提供ていきょうされている。(wbadmin.exeはクライアントWindowsにもデフォルトではいっているため一部いちぶ制限せいげんがあるもののクライアントでもwbadmin.exeを使つかったバックアップが可能かのう)。
  • Azureを契約けいやくしていれば、Azure Backupの機能きのう使つかことでMicrosoft Cloudのデータ [85]、およびオンプレミスのWindows ServerやWindows Clientのデータ[86]をバックアップできる。

復元ふくげん

[編集へんしゅう]

Windowsには「システムの復元ふくげん」という機能きのうそなわっており、システムに不具合ふぐあいしょうじたとき、過去かこ作成さくせいした復元ふくげんポイントまでシステムの状態じょうたいもどことができる。「システムの復元ふくげん」で復元ふくげんされるのは具体ぐたいてきには、OSの重要じゅうようファイル、レジストリ、設定せってい、アプリケーションやデバイスドライバの追加ついか変更へんこうなどである[87]

またWindows 10の「更新こうしんとセキュリティ」には「このPCを初期しょき状態じょうたいもどす」という機能きのうがついており、初期しょき状態じょうたいにリセットできる。

著作ちょさくけん保護ほご情報じょうほう保護ほご

[編集へんしゅう]

Information Rights Management

[編集へんしゅう]
詳細しょうさいは「Information Rights Management」を参照さんしょう

IRMは、デジタル著作ちょさくけん管理かんり(DRM)の一種いっしゅであり、機密きみつ情報じょうほう不正ふせいアクセスから保護ほごする技術ぎじゅつである。情報じょうほう暗号あんごう選択せんたくてき機能きのう拒否きょひ機能きのう使つかうことができ、企業きぎょう電子でんしメールMicrosoft Word文書ぶんしょウェブページなどの文書ぶんしょへのアクセスを制限せいげんし、許可きょかされたユーザーのみが閲覧えつらん編集へんしゅうすることができるようにする。Microsoft Officeなどの対応たいおうソフトウェアを使つかうことで、情報じょうほう作成さくせい表示ひょうじ編集へんしゅう配布はいふできる権限けんげん情報じょうほうごと個別こべつ設定せっていすることができる技術ぎじゅつである。

Active Directory Rights Management Services

[編集へんしゅう]
詳細しょうさいは「Active Directory Rights Management Services」を参照さんしょう

Windows Server機能きのうであるInformation Rights Management (IRM)を利用りようするためのサーバソフトウェア。AD RMS省略しょうりゃくする。AD RMSはWindows Server 2003新規しんき実装じっそうされた。

PlayReady

[編集へんしゅう]
詳細しょうさいは「PlayReady」を参照さんしょう

Protected Media Path

[編集へんしゅう]

Azure Information Protection

[編集へんしゅう]

Windows Information Protection

[編集へんしゅう]

その

[編集へんしゅう]

Control flow guard

[編集へんしゅう]

CFI(Control-Flow integrity)技術ぎじゅつひと[88][89][90]。インストラクション ポインタの制御せいぎょうば攻撃こうげき対策たいさくするため、「コンパイルにIndirect Call(call eaxなど)を精査せいさして、正当せいとうしだけを「ホワイトリスト」したうえで、さきアドレスにチェックするための関数かんすう挿入そうにゅうする」[91]

Dynamic Lock

[編集へんしゅう]

ユーザが所有しょゆうしているスマートフォンとBluetoothをあらかじめペアリングしておくと、Bluetoothの電波でんぱ強度きょうどはかり、ユーザ(がっているスマートフォン)がPCからはなれるとおよそ1ふんに、自動じどう画面がめんロックがかかる[92]

関連かんれん項目こうもく

[編集へんしゅう]

脚注きゃくちゅう

[編集へんしゅう]
[脚注きゃくちゅう使つかかた]

注釈ちゅうしゃく

[編集へんしゅう]
  1. ^ Discretionary Access Controlは「任意にんいアクセス制御せいぎょ」とやくされることおおいが、WindowsのDACLは「随意ずいいアクセス制御せいぎょ」とやくされる[26]本稿ほんこうでは、NTFSの機能きのう場合ばあいは「随意ずいいアクセス制御せいぎょ」、一般いっぱん名詞めいし場合ばあいは「任意にんいアクセス制御せいぎょ」と用語ようご使つかけるものとする。
  2. ^ Active Directoryのドメインがケルベロスのレルムと一致いっちしており[40]、Active Directoryのドメインコントローラーがケルベロス認証にんしょうにおけるAS、TGS双方そうほう役目やくめにな[41]
  3. ^ Microsoftによる解説かいせつ日本にっぽんやく[63]には「セキュア ブートがオフになっている場合ばあいは、」とあるが原文げんぶん[64]には「Trusted Boot takes over where Secure Boot leaves off」とあるのでMicrosoftの日本にっぽんやく誤訳ごやくであると判断はんだんし「セキュアブート終了しゅうりょう」とした。

出典しゅってん

[編集へんしゅう]
  1. ^ a b Windowsのサービスで使用しようされる「System」「Local Service」「Network Service」アカウントとは?”. @IT. Tech TIPS (2009ねん5がつ8にち). 2019ねん1がつ3にち閲覧えつらん
  2. ^ a b c d e f g だい1かい ユーザーとグループアカウント (1/2)”. @IT. Windows OS入門にゅうもん (2014ねん6がつ5にち). 2019ねん1がつ3にち閲覧えつらん
  3. ^ a b c d Windowsのnetコマンドの使つかかた”. @IT. Tech TIPS (2002ねん11月23にち). 2019ねん1がつ3にち閲覧えつらん
  4. ^ セキュリティプリンシパル(Security Principal)”. セコムトラストシステムズのBCP(事業じぎょう継続けいぞく計画けいかく用語ようご辞典じてん. 2005ねん12月12にち時点じてんオリジナルよりアーカイブ。2019ねん1がつ4にち閲覧えつらん
  5. ^ a b c SIDs versus GUIDs”. TechTarget. GET STARTED. 2019ねん1がつ4にち閲覧えつらん
  6. ^ Access Tokens”. マイクロソフト (2018ねん5がつ31にち). 2019ねん1がつ3にち閲覧えつらん
  7. ^ Power Users グループについて Power Users グループはなくなったのですか?”. マイクロソフト. 2019ねん1がつ3にち閲覧えつらん
  8. ^ a b Windows 10にはGuestアカウントがない? 有効ゆうこうにする設定せってい方法ほうほう注意ちゅういてん”. livedoor news. 2019ねん1がつ3にち閲覧えつらん
  9. ^ Windows 10の“子供こどもよう”ユーザーアカウントとは?”. ITmedia PC USER. Windows 10のツボ(24) (2015ねん9がつ9にち). 2019ねん1がつ3にち閲覧えつらん
  10. ^ 子供こどもにも安心あんしん! Windows 10 でインターネット安全あんぜん対策たいさく”. マイクロソフト. 2019ねん1がつ3にち閲覧えつらん
  11. ^ a b Windows 10のMicrosoftアカウント・ローカルアカウントのちがいと特徴とくちょう | 便利べんりなのはどっち?”. ボクシルマガジン. 2019ねん1がつ3にち閲覧えつらん
  12. ^ a b c d e f g だい1かい ワークグループ・ネットワークの基礎きそ (1/2)”. @IT. Windows 7時代じだいのワークグループ・ネットワーク (2010ねん10がつ28にち). 2019ねん1がつ3にち閲覧えつらん
  13. ^ a b c d [Windows 10] ネットワークじょうのユーザーとファイルやフォルダーを共有きょうゆうする方法ほうほう”. VAIO. 2019ねん1がつ3にち閲覧えつらん
  14. ^ [Windows 10 コンピューターめいやワークグループの設定せってい方法ほうほう]”. VAIO. 2019ねん1がつ3にち閲覧えつらん
  15. ^ a b c d e だい1かい Windowsネットワークとは (2/2)”. Windowsネットワークの基礎きそ (2014ねん5がつ8にち). 2019ねん1がつ3にち閲覧えつらん
  16. ^ ホームグループは Windows 10 (Version 1803) から削除さくじょされました”. マイクロソフト. 2019ねん1がつ3にち閲覧えつらん
  17. ^ a b NTドメイン(2018/10/3更新こうしんばん”. IT用語ようご辞典じてんe-Words. 2019ねん1がつ3にち閲覧えつらん
  18. ^ a b c Active DirectoryとAzure Active Directoryはなにちがうのか? (1/2)”. @IT. 基礎きそからかるActive Directoryさい入門にゅうもん(11:特別とくべつへん (2016ねん7がつ22にち). 2019ねん1がつ3にち閲覧えつらん
  19. ^ a b c d e f g だい1かい Active Directoryとはなにか? (2/3)”. @IT. 改訂かいてい 管理かんりしゃのためのActive Directory入門にゅうもん (Windows Server 2003対応たいおう改訂かいていばん (2006ねん1がつ19にち). 2019ねん1がつ3にち閲覧えつらん
  20. ^ a b だい1かい Active Directoryとはなにか? (3/3)”. @IT. 改訂かいてい 管理かんりしゃのためのActive Directory入門にゅうもん (Windows Server 2003対応たいおう改訂かいていばん (2006ねん1がつ19にち). 2019ねん1がつ3にち閲覧えつらん
  21. ^ a b c d グループポリシーの仕組しくみ、理解りかいできていますか?”. @IT. 基礎きそからかるグループポリシーさい入門にゅうもん(1) (2015ねん1がつ30にち). 2019ねん1がつ3にち閲覧えつらん
  22. ^ a b c だい3かい Active Directory関連かんれん用語ようごしゅう前編ぜんぺん) (1/2)”. @IT. 管理かんりしゃのためのActive Directory入門にゅうもん (2002ねん11月13にち). 2021ねん9がつ21にち時点じてんオリジナルよりアーカイブ。2019ねん1がつ3にち閲覧えつらん
  23. ^ a b c だい5しょう ACTIVE DIRECTORY および IDENTITY MANAGEMENT によるフォレストあいだ信頼しんらい作成さくせい”. Windows 統合とうごうガイド. Redhat. 2019ねん1がつ3にち閲覧えつらん
  24. ^ a b c d e だい2かい アクセス制御せいぎょリストACL (1/2)”. @IT. Windows OS入門にゅうもん (2014ねん7がつ17にち). 2019ねん1がつ7にち閲覧えつらん
  25. ^ NTFS”. IT用語ようご辞典じてんe-Words. 2019ねん1がつ7にち閲覧えつらん
  26. ^ サービスの随意ずいいアクセス制御せいぎょリストを作成さくせいする場合ばあい推奨すいしょう事項じこうおよびガイド”. Microsoftサポート. 2019ねん1がつ7にち閲覧えつらん[リンク]
  27. ^ a b c d e f g だい2かい アクセス制御せいぎょリストACL (2/2)”. @IT. Windows OS入門にゅうもん (2014ねん7がつ17にち). 2019ねん1がつ7にち閲覧えつらん
  28. ^ a b c だい10かい】ファイルの共有きょうゆう(共有きょうゆうアクセスけんのあれこれ)”. IT Search+. 連載れんさい】にわか管理かんりしゃのためのWindowsサーバ入門にゅうもん. マイナビニュース (2010ねん10がつ12にち). 2019ねん1がつ7にち閲覧えつらん
  29. ^ だい9かい】ファイルの共有きょうゆう(共有きょうゆう操作そうさ)”. IT Search+. 連載れんさい】にわか管理かんりしゃのためのWindowsサーバ入門にゅうもん. マイナビニュース (2010ねん9がつ27にち). 2019ねん1がつ7にち閲覧えつらん
  30. ^ あらたに追加ついかされた強制きょうせいアクセス制御せいぎょ「Central Access Policy」 ACLから20ねん!Windows Server 8で追加ついかしんアクセス制御せいぎょとは?”. ASCII.jp×TECH. 使つかって理解りかいしよう!Windows Server 8の姿すがただい3かい (2012ねん4がつ12にち). 2019ねん1がつ7にち閲覧えつらん
  31. ^ ロールベースのアクセス制御せいぎょ (RBAC) とは”. マイクロソフト (2018ねん11月30にち). 2019ねん1がつ7にち閲覧えつらん
  32. ^ a b c d e f アクセス制御せいぎょについて”. マイクロソフト. 2019ねん1がつ7にち閲覧えつらん
  33. ^ a b c d e だい1かい ユーザーとグループアカウント (2/2)”. @IT. Windows OS入門にゅうもん (2014ねん6がつ5にち). 2019ねん1がつ3にち閲覧えつらん
  34. ^ ユーザーアカウントやグループ、グループ戦略せんりゃく「AGLP、AGDLP、AUP、AGUDLP」をろう Active Directoryのアカウントとグループとは?”. ASCII.jp×TECH. Windows ServerでまなぶサーバOS入門にゅうもんだい7かい. p. 3 (2010ねん3がつ9にち). 2019ねん1がつ4にち閲覧えつらん
  35. ^ ユーザーアカウントやグループ、グループ戦略せんりゃく「AGLP、AGDLP、AUP、AGUDLP」をろう Active Directoryのアカウントとグループとは?”. ASCII.jp×TECH. Windows ServerでまなぶサーバOS入門にゅうもんだい7かい. p. 4 (2010ねん3がつ9にち). 2019ねん1がつ4にち閲覧えつらん
  36. ^ 小規模しょうきぼけのAUPとだい規模きぼ環境かんきょうけのAGUDLPについてもまなぼう 「機能きのうレベル」でActive Directoryの互換ごかんせい確保かくほしよう”. ASCII.jp×TECH. Windows ServerでまなぶサーバOS入門にゅうもんだい8かい. p. 1 (2010ねん3がつ16にち). 2019ねん1がつ4にち閲覧えつらん
  37. ^ 監査かんさについて”. マイクロソフト. 2019ねん1がつ7にち閲覧えつらん
  38. ^ a b c d e f g h i 脅威きょういとその対策たいさく”. マイクロソフト (2006ねん8がつ14にち). 2019ねん1がつ7にち閲覧えつらん
  39. ^ a b c パスワードだけじゃない! サインイン方法ほうほう変更へんこうして Windows 10 をより安全あんぜんに!”. マイクロソフト. 2019ねん1がつ8にち閲覧えつらん
  40. ^ 初歩しょほから理解りかいするActive Directory (だい3かい”. 日経にっけいXTECH. Windows Active Directory(3). 2019ねん1がつ3にち閲覧えつらん
  41. ^ ドメインコントローラーの役割やくわりとは”. @IT. 基礎きそからかるActive Directoryさい入門にゅうもん(3). 2019ねん1がつ3にち閲覧えつらん
  42. ^ “Security Configuration”, Microsoft Windows 2000 Security Hardening Guide, TechNet (マイクロソフト), http://technet.microsoft.com/en-us/library/dd277307.aspx 2014ねん10がつ5にち閲覧えつらん 
  43. ^ “Security Considerations for Implementers”, NT LAN Manager (NTLM) Authentication Protocol Specification (マイクロソフト), http://msdn.microsoft.com/en-us/library/cc236715(v=PROT.10).aspx 2014ねん10がつ5にち閲覧えつらん 
  44. ^ Active Directoryはなぜ必要ひつようなのか”. @IT. 基礎きそからかるActive Directoryさい入門にゅうもん(1) (2014ねん4がつ11にち). 2019ねん1がつ3にち閲覧えつらん
  45. ^ Active DirectoryとAzure Active Directoryはなにちがうのか? (2/2)”. @IT. 基礎きそからかるActive Directoryさい入門にゅうもん(11:特別とくべつへん (2016ねん7がつ22にち). 2019ねん1がつ3にち閲覧えつらん
  46. ^ Azure Active Directory(Azure AD)”. @IT. Tech Basics/Keyword (2016ねん1がつ21にち). 2019ねん1がつ3にち閲覧えつらん
  47. ^ Wallet インターフェイスが Internet Explorer で表示ひょうじされない”. Support.microsoft.com (2011ねん2がつ3にち). 2013ねん6がつ15にち閲覧えつらん
  48. ^ Microsoft Passport: Streamlining Commerce and Communication on the Web
  49. ^ 【IAM】 DAC その1 ~ グループベース RBAC のたん?”. マイクロソフト (2013ねん3がつ29にち). 2019ねん1がつ4にち閲覧えつらん
  50. ^ a b c ID連携れんけい花形はながた!MIM 2016やってみる?(1) - IDaaS と MIMの関係かんけい”. NTTデータ先端せんたん技術ぎじゅつ研究所けんきゅうじょ. 2019ねん1がつ7にち閲覧えつらん
  51. ^ ローカルセキュリティポリシー”. デジタル用語ようご辞典じてん. 2019ねん1がつ9にち閲覧えつらん
  52. ^ a b c d e f だい2かい グループ・ポリシーとはなにか (1/5)”. @IT. グループ・ポリシーのしくみ (2006ねん2がつ23にち). 2019ねん1がつ3にち閲覧えつらん
  53. ^ a b c d クライアントのセキュリティを強化きょうかするグループポリシー設定せってい”. @IT. 基礎きそからかるグループポリシーさい入門にゅうもん(7) (2015ねん6がつ19にち). 2019ねん1がつ3にち閲覧えつらん
  54. ^ a b c d セキュリティの強化きょうか役立やくだつグループポリシー設定せってい”. @IT. 基礎きそからかるグループポリシーさい入門にゅうもん(5) (2015ねん5がつ18にち). 2019ねん1がつ3にち閲覧えつらん
  55. ^ だい7かい グループ・ポリシー管理かんりコンソール(GPMC) (1/5)”. @IT. グループ・ポリシーのしくみ (2006ねん10がつ6にち). 2019ねん1がつ9にち閲覧えつらん
  56. ^ だい71かい】セキュリティポリシーテンプレートとは”. IT Search+. 連載れんさい】にわか管理かんりしゃのためのActive Directory入門にゅうもん. マイナビニュース (2009ねん12月14にち). 2019ねん1がつ9にち閲覧えつらん
  57. ^ グループ・ポリシーでクライアントを管理かんりする10の方法ほうほう”. 日経にっけいXTECH. Windows読者どくしゃ限定げんてい. 2019ねん1がつ9にち閲覧えつらん
  58. ^ a b Windows 7のAppLockerで特定とくていのプログラムを実行じっこう禁止きんしにする”. @IT. Tech TIPS (2010ねん1がつ8にち). 2019ねん1がつ9にち閲覧えつらん
  59. ^ グループポリシーでアプリケーションの実行じっこう制御せいぎょする”. @IT. 基礎きそからかるグループポリシーさい入門にゅうもん(6) (2015ねん6がつ5にち). 2019ねん1がつ9にち閲覧えつらん
  60. ^ a b c d ベストプラクティスをあつめた「Security Compliance Toolkit」Windows 10の“げきし”セキュリティ基準きじゅんとは? Microsoft無料むりょうツール活用かつようほう”. TechTarget Japan. 2019ねん1がつ9にち閲覧えつらん
  61. ^ Microsoft Security Compliance Manager (SCM)”. マイクロソフト. 2019ねん1がつ9にち閲覧えつらん
  62. ^ File Encryption (Windows)”. マイクロソフト. 2010ねん1がつ11にち閲覧えつらん
  63. ^ a b c d e f g h i j k Windows 10 のブート プロセスのセキュリティ保護ほご”. マイクロソフト (2018ねん11月16にち). 2019ねん1がつ8にち閲覧えつらん
  64. ^ a b c Secure the Windows 10 boot process”. マイクロソフト (2018ねん11月16にち). 2019ねん1がつ8にち閲覧えつらん
  65. ^ a b のセキュリティ対策たいさくソフトはもういらない」とアピールするWindows Defenderの現状げんじょう (1/4)”. ITmedia PC USER. 鈴木すずき淳也あつやの「Windowsフロントライン」 (2018ねん4がつ10日とおか). 2019ねん1がつ10日とおか閲覧えつらん
  66. ^ Windows セキュリティ アプリ”. マイクロソフト (2018ねん10がつ2にち). 2019ねん1がつ10日とおか閲覧えつらん
  67. ^ Windows Defender SmartScreen”. マイクロソフト. 2019ねん1がつ10日とおか閲覧えつらん
  68. ^ Windows Defender Exploit Guard”. マイクロソフト (2018ねん8がつ9にち). 2019ねん1がつ10日とおか閲覧えつらん
  69. ^ a b メモリベースの攻撃こうげきふせぐ Windows 10のエクスプロイト対策たいさく、3つの重要じゅうよう機能きのうとは”. TechTarget Japan (2018ねん7がつ6にち). 2019ねん1がつ10日とおか閲覧えつらん
  70. ^ a b c d だい26かい エンドポイントセキュリティは「7つの階層かいそう」にけてかんがえよう (2/3)”. ITmedia エンタープライズ. わるWindows、わるじょうシス (2018ねん4がつ11にち). 2019ねん1がつ10日とおか閲覧えつらん
  71. ^ a b Windows Defender アプリケーション制御せいぎょ”. マイクロソフト (2019ねん1がつ8にち). 2019ねん1がつ10日とおか閲覧えつらん
  72. ^ Windows Defender Application Guard の概要がいよう”. マイクロソフト (2018ねん11月27にち). 2019ねん1がつ10日とおか閲覧えつらん
  73. ^ 鈴木すずき淳也あつやの「Windowsフロントライン」:「のセキュリティ対策たいさくソフトはもういらない」とアピールするWindows Defenderの現状げんじょう (3/4)”. ITmedia PC USER (2018ねん4がつ10日とおか). 2019ねん1がつ10日とおか閲覧えつらん
  74. ^ a b c d e Windows起動きどう前後ぜんこうにデバイスをまも工夫くふう、ルートキットをふせぐ (2/2)”. @IT. Windows 10がそなえるセキュリティ機能きのう(1) (2017ねん7がつ24にち). 2019ねん1がつ8にち閲覧えつらん
  75. ^ a b Windows Defender Application Guardで実現じつげんするセキュアなブラウジング環境かんきょう――Windows 10のあたらしいセキュリティ機能きのう(その2) (1/2)”. @IT. 企業きぎょうユーザーにおくるWindows 10への案内あんない(15) (2018ねん1がつ15にち). 2019ねん1がつ8にち閲覧えつらん
  76. ^ a b c d だい4かい仮想かそうでWindowsをよりセキュアに - しん機能きのう「Virtualized Based Security」とは(前編ぜんぺん)”. IT Search+. 連載れんさい】MS ゆりか先生せんせいおしえるWindows 10 セキュリティのアレコレ. マイナビニュース (2016ねん6がつ20日はつか). 2019ねん1がつ8にち閲覧えつらん
  77. ^ Windows 10にまれた多層たそうかつ高度こうどなマルウェア対策たいさく機能きのう (2/2)”. @IT. 企業きぎょうユーザーにおくるWindows 10への案内あんない(10) (2017ねん11月1にち). 2019ねん1がつ8にち閲覧えつらん
  78. ^ 仮想かそうマシンのための「仮想かそうTPM」――仮想かそうベースのセキュリティ(その2)”. @IT. vNextにそなえよ! 次期じきWindows Serverのココに注目ちゅうもく(35) (2015ねん12月1にち). 2019ねん1がつ8にち閲覧えつらん
  79. ^ a b c だい5かい仮想かそうでWindowsをよりセキュアに - しん機能きのう「Virtualized Based Security」とは(後編こうへん)”. IT Search+. 連載れんさい】MS ゆりか先生せんせいおしえるWindows 10 セキュリティのアレコレ. マイナビニュース (2016ねん7がつ5にち). 2019ねん1がつ8にち閲覧えつらん
  80. ^ a b c d OSレベルで脅威きょういふせぐWindows10のDevice Guardとは? (3/3)”. ITmedia エンタープライズ (2015ねん12月8にち). 2019ねん1がつ8にち閲覧えつらん
  81. ^ MCP教科書きょうかしょ Windows Server 2016(試験しけん番号ばんごう:70-740)”. p. 185. 2019ねん1がつ9にち閲覧えつらん
  82. ^ Windows Defender Application Control の紹介しょうかい”. マイクロソフト (2018ねん2がつ5にち). 2019ねん1がつ8にち閲覧えつらん
  83. ^ a b Windows Defender Device Guard with AppLocker”. マイクロソフト (2018ねん3がつ5にち). 2019ねん1がつ8にち閲覧えつらん
  84. ^ Windows 10 Fall Creators Update で削除さくじょされた機能きのうまたは推奨すいしょうされなくなった機能きのう”. マイクロソフト (2018ねん10がつ30にち). 2019ねん1がつ4にち閲覧えつらん
  85. ^ Azure Backup のかく機能きのう概要がいよう”. マイクロソフト (2018ねん8がつ2にち). 2019ねん1がつ4にち閲覧えつらん
  86. ^ Resource Manager デプロイ モデルで Windows Server または Windows クライアントを Azure にバックアップする”. マイクロソフト. 2018ねん8がつ5にち閲覧えつらん
  87. ^ 「システムの復元ふくげん」でWindows OSを以前いぜん正常せいじょう状態じょうたいもど”. @IT. Tech TIPS (2014ねん8がつ21にち). 2019ねん1がつ4にち閲覧えつらん
  88. ^ Pauli, Darren. “Microsoft's malware mitigator refreshed, but even Redmond says it's no longer needed”. 2016ねん6がつ1にち閲覧えつらん
  89. ^ Smith, Ms.. “DerbyCon: Former BlueHat prize winner will bypass Control Flow Guard in Windows 10”. Network World. 2016ねん6がつ1にち閲覧えつらん
  90. ^ Mimoso, Michael (2015ねん9がつ22にち). “Bypass Developed for Microsoft Memory Protection, Control Flow Guard”. Threatpost | The first stop for security news. 2016ねん6がつ1にち閲覧えつらん
  91. ^ だい8かい】Windows 10とWindows 7、セキュリティ機能きのうのココがちがう!”. ITSearch+. 連載れんさい】MS ゆりか先生せんせいおしえるWindows 10 セキュリティのアレコレ. マイナビニュース (2016ねん8がつ24にち). 2019ねん1がつ11にち閲覧えつらん
  92. ^ だい10かい】「Creators Update」はセキュリティもすごい(2)”. ITSearch+. 連載れんさい】MS ゆりか先生せんせいおしえるWindows 10 セキュリティのアレコレ. マイナビニュース (2017ねん5がつ17にち). 2019ねん1がつ11にち閲覧えつらん

参考さんこう文献ぶんけん

[編集へんしゅう]
括弧かっこない番号ばんごう初版しょはんがリリースされたとし
Windows
Windows Server
デジタル著作ちょさくけん管理かんり
暗号あんごう
関連かんれん項目こうもく
開発かいはつ終了しゅうりょう
Windows コンポーネント
管理かんりツール
アプリ
シェル
サービス
ファイルシステム
サーバ
アーキテクチャ
セキュリティ
互換ごかんせい
API
開発かいはつ終了しゅうりょう
ゲーム
アプリ
その
カテゴリ カテゴリ
https://ja.wikipedia.org/w/index.php?title=Windowsのセキュリティ機能きのう&oldid=101975166」から取得しゅとく