検索
連載
企業ユーザーに贈るWindows 10への乗り換え案内(57):

Windows 10 バージョン1903のWindows Defender新機能──改ざん防止

Windows 10の最新バージョンでは、「Windows Defenderウイルス対策」に「改ざん防止」という新機能が追加されました。「改ざん防止」とはどのようなセキュリティ機能なのか、どういう利点があるのかを紹介します。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
「企業ユーザーに贈るWindows 10への乗り換え案内」のインデックス

企業ユーザーに贈るWindows 10への乗り換え案内

「改ざん防止」はWindows Defenderウイルス対策の設定変更を抑止

 Windows 10 バージョン1903では、「Windows Defenderウイルス対策(Windows Defender Antivirus)」に「改ざん防止(Tamper Protection)」という新機能が追加されました。この機能は、ウイルス対策ソフトとしてWindows 10標準のWindows Defenderウイルス対策のみを利用している場合に使用できるものです。

 「改ざん防止」という名前からは、Windowsのシステムに対する改変や通信トラフィックの盗聴、改ざんを防止するような機能を想像する人もいるでしょう。しかし、そのような機能を提供するものではありません。「改ざん防止」とは、以下に挙げるWindows Defenderウイルス対策の設定変更を抑止する機能です。これらの設定は、セキュリティを維持するために重要な設定です。

  • リアルタイム保護(Real-Time Protection)
  • クラウド提供の保護(Cloud-Delivery Protection)
  • IOAV保護(IOAV Protection)
  • 動作の監視(Behavior Monitoring)
  • セキュリティインテリジェンス更新プログラム(Security Intelligence Updates)の削除

 この中で「IOAV保護」と「セキュリティインテリジェンスの更新」については、聞き慣れないものでしょう。補足しておきます。IOAV(IOfficeAntiVirus)保護は、Webブラウザによるダウンロードやメールの添付ファイルを開く際、ウイルススキャンの実行に使用されるインタフェースです。ダウンロード完了後に「セキュリティスキャンを実行中……」と表示されるのは、IOAV保護が有効になっているからです。セキュリティインテリジェンスの更新は、以前は「Windows Defender Antivirusの定義の更新」と呼ばれていたものです。

 「改ざん防止」機能は既定でオン(有効)になっています。設定を確認するには、「Windowsセキュリティ」アプリ(以前のバージョンのWindows 10では「Windows Defenderセキュリティセンター」という名称でした)で「ウイルスと脅威の防止」を開き、「ウイルスと脅威の防止の設定」にある「設定の管理」をクリックして、「改ざん防止」の設定項目を参照します(画面1)。

画面1
画面1 Windows Defenderウイルス対策の新機能「改ざん防止」は、既定でオン(有効)。オフにすることは推奨されない

 なお、Windows Defenderウイルス対策以外のサードベンダーのマルウェア対策製品がインストールされている場合、「改ざん防止」を含むWindows Defenderウイルス対策の設定項目にはアクセスできません。

 「改ざん防止」はオン/オフできますが、オフにすることは推奨されません。Windows 10 Enterprise E5サブスクリプションの場合は、オフにできないということです。Windows 10 Enterprise E5で「改ざん防止」をオフにできないのは、Windows Defenderウイルス対策をさらに強化する「Windows Defender Advanced Threat Protection(ATP)」で保護されるからでしょう。

 「改ざん防止」で保護される他の項目(リアルタイム保護など)も、「改ざん防止」がオン/オフであるかどうかに関係なく、「Windowsセキュリティ」アプリからオン/オフができます。ユーザーアカウント制御(User Account Control:UAC)で保護されていますが、管理者権限のあるアカウントであれば可能です。「改ざん防止」は、「Windowsセキュリティ」アプリを使用したユーザーによる変更を防止するものではないのです(画面2)。

画面2
画面2 「改ざん防止」がオンの状態でも、ユーザーが保護された項目をオフにすることは可能(UACプロンプトによる設定変更の許可は求められる)

 ただし、推奨されない設定がユーザーによって行われた場合は、「Microsoft-Windows-Windows Defender/Operational」ログにイベントID「5007」の情報イベントが記録されます(後出の画面7を参照)。

 「改ざん防止」が何から設定を保護するのかというと、次のような方法を用いた設定オフや定義ファイルの削除操作からです。マルウェアは活動を阻むウイルス対策を先に無効化しようとするでしょう。あるいは、ポリシー設定のミスがシステムを脆弱(ぜいじゃく)な状態にしてしまう可能性もあります。「改ざん防止」には、そうしたリスクを最小化する効果が期待できます。

  • MDM(モバイルデバイス管理)による設定オフ
  • 構成管理ツール(System Center Configuration Manager)による設定オフ
  • Windowsイメージの応答ファイルによる設定オフ
  • コマンドラインからの定義ファイルの削除
  • グループポリシーによる設定オフ
  • WMI(Windows Management Instrumentation)による設定オフ

 「改ざん防止」はレジストリの直接的な変更を防止する機能はありませんが、そもそもWindows Defenderウイルス対策の設定が格納される「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender」キーの既定のアクセス許可は、それを許しません。

 例えば、ローカル管理者であってもレジストリを変更することはできません。アクセス許可の緩いポリシー設定に対応するレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender」の変更については、「改ざん防止」でカバーされます(グループポリシーによる設定オフからの保護と同じ)。

 「改ざん防止」がオンになっていることにより、どのような効果があるのか、幾つかデモンストレーションをしてみましょう。

「改ざん防止」のデモ──コマンドラインからの設定変更の防止

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る