月曜日には、 新しい PC のホスト Microsoft の Copilot を搭載 明らかにした Windows 11 の新しいセキュリティ機能。「私たちは新しいセキュリティ機能を Windows 11 に組み込んだだけではありません。 Windows 11だが、デフォルトで有効になるセキュリティ機能も強化した」と同社はブログで説明した。
また: Microsoft はすべての Copilot+ PC が Apple の M3 MacBook に対抗すると発表しました
サイバーセキュリティが最先端を維持するためには、今が非常に重要な時期です。 マイクロソフト自身によると 研究2015年以降、パスワード攻撃は3,378%増加し、1秒あたり4,000件を超えています。同社は、ハードウェアとソフトウェアの両方をアップグレードし、開発者向けに機能を調整することで、企業レベルと個人レベルでWindowsをより安全にすることを目指しています。
ハードウェアの改善
リリースによると、まずMicrosoftは、すべてのCopilot+ PCをセキュアコアデバイスにすることで、「すぐに使える」ハードウェアセキュリティを強化しているという。 「セキュアコア PC は、チップからクラウドまでの保護に役立つ、高度なファームウェア保護機能と動的なルート オブ トラスト測定を提供します」とブログには記載されています。
新しい PC には、同社の Pluton も搭載されます。 ゼロトラスト-ベースのセキュリティ プロセッサ — デフォルトで有効になっており、初日からユーザーにさらに強力なセキュリティが組み込まれています。 Pluton は資格情報や個人データから暗号化キーに至るまであらゆるものを保護しており、これにより「サイバー攻撃者がマルウェアをインストールしたり、PC を物理的に所有したりした場合でも、削除が大幅に困難になる」と Microsoft は述べています。
また: MicrosoftのSurface ProとLaptopは究極の「AI PC」だが、Appleは心配だ
さらに、新しい Copilot+ PC には以下の機能が搭載されます。 Windows Hello 強化されたサインインセキュリティ (ESS)は、一般的なパスワードをより安全な生体認証サインインオプションに置き換えます。仮想化ベースのセキュリティ(VBS)などの特殊なハードウェアとソフトウェア(OSの脆弱性からセキュリティソリューションを保護する分離された仮想環境)を使用し、 トラステッド プラットフォーム モジュール 2.0ESS は、強化された通信チャネルにより生体認証データをより適切に保護します。
Copilot+ PC を購入する予定がない場合は、Windows 11 を実行している他のデバイスでも ESS を利用できます。
ソフトウェアの更新
Microsoft は、個々の顧客が独自のセキュリティへの取り組みに責任を持つことに依存するのではなく、Windows 11 のいくつかの新機能をデフォルトで有効にする予定です。 これらには、マルウェア シールド、資格情報の保護、アプリケーション保護が含まれており、2022 年のレポートによると、これらすべてがインシデントの 58% 削減につながったと Microsoft は述べています。
発表によると、多要素認証は、多要素認証に適応したサイバー攻撃者を打ち負かすにはもはや十分ではありません。 Microsoft は、ローカル セキュリティ機関 (LSA) 保護を含むいくつかのアップデートでこれをターゲットにしています。 LSA はユーザーを認証し、シングル サインオン (SSO) の資格情報を処理します。 LSA保護は「LSAが信頼できないコードをロードするのを防ぎ、信頼できないプロセスがLSAメモリにアクセスするのを防ぐ」ともブログには書かれている。
これまでは商用デバイスのみでデフォルトで有効でしたが、同社は現在、消費者向けデバイスでも LSA 保護をデフォルトで有効にしています。
また: マイクロソフト、Build 2024 で Azure AI Speech のアップグレードをリリース
Microsoft はまた、ユーザー認証を改善するために、脆弱性で知られる古いセキュリティ スイートである NT LAN Manager (NTLNM) を今年後半に廃止する予定です。
さらに、同社は VBS を使用してキーの保護を強化し、Windows Hello を強化しています。 デバイスの CPU を利用する前者は、ハードウェア ベースのセキュリティよりも優れた保護を意味します。 ブログによると、後者の場合、Windows Hello はパスキーを保護し、生体認証機能が組み込まれていないデバイスに対する「管理者レベルの攻撃」から資格情報を隔離できるようになりました。 高度なキー保護は、Windows Insiders 向けのパブリック プレビューで利用できるようになりました。
アプリの審査の強化
Microsoft はまた、Windows 開発者向けのアプリのセキュリティ向上を目的とした新機能も発表しました。 スマートアプリコントロールは、78 兆のセキュリティ信号でトレーニングされた AI モデルを使用して、アプリが安全かどうかを予測します。 この機能は一部のシステムでデフォルトで利用可能であり、マルウェアに接続されたアプリをブロックしながら既知のアプリを実行できます。
リリースでは、もう 1 つの機能である Trusted Signing は、「証明書のライフサイクルのあらゆる側面を管理することで」、更新を通じてアプリが Smart App Control で良好な状態を維持するのに役立つと説明されています。最近パブリック プレビューに移行したこの機能は、シームレスに使用できるように Azure DevOps および Github とも統合されています。
また、Win32 アプリの分離もプレビュー段階にあり、これにより、侵害が発生した場合にアプリ開発者が被害を封じ込め、ユーザーのプライバシーを保護することが容易になります。 この機能は Visual Studio 統合で使用できるようになりました。
また: 最高のオンラインデータ削除サービスを利用して、インターネットから自分自身を削除しましょう
さらに、Microsoft は、管理者権限がデバイスに展開される範囲を狭めることで、管理者のセキュリティを強化しています。 たとえば、アプリに特定のアクセス許可が必要な場合、この機能はユーザーに特定の承認を求めます。また、Windows Hello を使用すると、要求を簡単に承認または拒否できます。
「Windows は、カーネルやその他の重要なサービスへのジャストインタイムの管理者アクセスを、常にではなく、もちろんデフォルトでも、必要に応じて要求するように更新されています」と同社はリリースで述べている。この機能はまだプライベートプレビュー段階だが、Microsoft はまもなくパブリックプレビューに拡大すると述べている。
同社も次のように発表した。 VBS エンクレーブ機密性の高いワークロードを保護するのに役立つが、サードパーティのアプリ開発者に提供されるようになりました。ユーザーは、 エンクレーブ API。
強化されたコード
Microsoftはまた、増加する攻撃に対処するためにWindowsコードを強化すると発表した。 サードパーティによるドライバーのロードを防ぐ Windows 保護印刷モード (WPP) が、今後デバイスのデフォルトの印刷モードになります。
同社は、セキュリティの向上と悪用の減少を考慮してツールヒントの改善も行っています。
「ツールチップのライフサイクルを管理する責任は、使用されているそれぞれのアプリケーションに移管されました」とリリースには記載されています。 「現在、カーネルはカーソルのアクティビティを監視し、ツール ヒント ウィンドウの表示と非表示のカウントダウンを開始します。これらのカウントダウンが終了すると、カーネルはユーザー レベルの環境にツール ヒント ウィンドウを生成または削除するよう通知します。」
また: Microsoft の Build 2024: 開発者向けに知っておくべき 10 の簡単な発表
Microsoft はまた、クライアントに対してサーバー ID を確認するトランスポート層セキュリティ (TLS) サーバー認証が強化されていると発表しました。Windows は、2048 ビット以上の弱い暗号化キーとは対照的に、2048 ビット以上の RSA キーを持つ TLS 証明書のみを信頼するようになります。ソフトウェアはデフォルトで 1024 ビットをサポートしていました。
商用顧客向けの改善
同社はまた、Config Refresh、ファイアウォール、PDE (Personal Data Encryption) など、環境内で Windows をより安全にするためのアップデートを商用ユーザー向けに特別に提供しました。
Config Refresh を使用すると、管理者は「デバイスにチェックインせずにポリシー設定を再適用するスケジュールを設定できます」 Microsoft Intune または他のモバイル デバイス管理ベンダーと連携し、IT 管理者が設定したとおりに設定が維持されるように支援します。」とブログでは述べられています。更新はデフォルトでは 90 分ごとに設定されていますが、最長 30 分間隔で行われることもあり、メンテナンス中に一時停止することもできます。期間やトラブルシューティング。
また: Microsoft Azure がエンタープライズ生成 AI 向けに強化された RAG 製品「Models as a Service」を取得
Windows のファイアウォール構成サービス プロバイダー (CSP) は、全か無かのアプローチでルールを適用します。 「以前は、CSP がブロックからルールを適用する際に問題が発生した場合、CSP はそのルールを停止するだけでなく、後続のルールの処理も停止し、部分的に展開されたルール ブロックによる潜在的なセキュリティ ギャップが残っていました」とブログでは説明されています。 「ブロック内のいずれかのルールをデバイスに正常に適用できない場合、CSP は後続のルールの処理を停止します。[s] そして、その同じアトミック ブロックのすべてのルールがロールバックされ、部分的にデプロイされたルール ブロックの曖昧さが排除されます。
PDE は、Windows Hello for Business で PC のロックが解除されている場合にのみデータを復号化します。 現在プレビュー段階にあるこの機能は、2 層のデータ保護を維持し、BitLocker と組み合わせてセキュリティを強化します。
現在プライベート プレビュー中の Zero Trust DNS は、Windows デバイスが承認されたネットワークの宛先にのみ接続し、送信 IPv4 および IPv6 トラフィックをブロックすることを保証しています。