本記事は、Security Research & Defense のブログ "Moving Beyond EMET II – Windows Defender Exploit Guard" (2017 年 8 月 9 日 米国時間公開) を翻訳したものです。
2016 年 11 月に EMET の今後の予定と Windows 10 との関連性を紹介 (「Moving Beyond EMET」(英語情報) を参照) して以来、EMET を利用しているお客様と愛好家の皆様から、近づきつつある EMET のサポート終了について多くの貴重なご意見をいただきました。そのフィードバックに基づき Windows 10 Fall Creators Update で提供される、まったく新しい悪用保護と脅威の緩和機能の改善について発表します。
先日紹介した Windows Defender Exploit Guard (WDEG) (英語情報) によって、EMET が持つすべてのセキュリティ上の利点を Windows に直接組み入れる工程が完了します。この取り組みは、アンケートのデータ、カスタマー サポートへのお問い合わせ、および EMET のステークホルダーやセキュリティ愛好家とのやり取りで頻繁に話題に上がった 2 つの洞察に大きく影響を受けました。お客様が他の何よりも必要であると口をそろえたのは、(1) 緩和策設定を構成するためのユーザー フレンドリな UI および (2) Windows 10 上でレガシ アプリを保護する方法の 2 点です。
そのため、Windows 10 Fall Creators Update では Windows システムとアプリケーションの悪用緩和機能の監査、構成および管理を Windows Defender セキュリティ センター (WDSC) (英語情報) から直接行うことができるようになりました。これらの設定を活用するために Windows Defender ウイルス対策やその他の追加のソフトウェアを展開もしくはインストールする必要はありません。WDEG は、Fall Creators Update を実行しているすべての Windows 10 の PC 上で利用可能です。Windows Insider (英語情報) の皆様は、以下の簡単な手順を従い、WDEG をすぐに試すことができます。
- タスク バーの通知領域で WDSC のアイコンを右クリックし [開く] をクリックするか、スタート メニューから「Windows Defender セキュリティ センター」を検索します。
- Windows Defender セキュリティ センターで [アプリとブラウザー コントロール] をクリックします。
- 表示された画面の一番下の [悪用保護の設定] までスクロールします。
WDSC の新しいユーザー フレンドリなインターフェイスに加え、EMET を利用しているお客様の期待に沿って同様のレガシ アプリ保護策を追加しました。これによって、Windows 10 がサポートする緩和策と EMET が提供するすべての緩和機能は同等となりました。マイクロソフトでは、利用可能な機能の中で最も強力な保護策を提供するために制御フロー ガード (CFG) (英語情報) の使用を強く推奨しますが、多くの企業が業務運営のためにレガシなアプリに依存していることも理解しています。これらのアプリの多くは、今後 CFG でリコンパイルできないかもしれません。これらのユーザーは Exploit Guard でレガシ アプリの制御フロー保護を構成することで、モダン システム上のレガシ アプリを保護することができるようになりました。この制御フロー保護は、EMET で提供されているものと似ていますが、WDEG の一部として Windows 10 に直接組み込まれています。このレガシ アプリの制御フロー保護には、以下が含まれます。
- Export Address Filtering (EAF)
- Import Address Filtering (IAF)
- Validate API Invocation (CallerCheck)
- Simulate Execution (SimExec)
- Validate Stack Integrity (StackPivot)
お客様からよく寄せられたほかのご要望として、監査のサポートに関するものがありました。アプリケーションの互換性問題という副作用の影響を受けずに、緩和策を容易に展開し利用することができるよう、EMET のレガシ アプリ緩和策および Windows が提供する既存のネイティブな緩和策の両方に関して監査モードのサポートを導入しました。
EMET はいくつかの推奨構成が設定された状態で出荷されますが、私たちは、事業特有のニーズに対応するために EMET を利用しているお客様の多くがポリシーをカスタマイズしていることを把握しています。Windows Defender Exploit Guard への移行を促進するために、EMET の XML 設定ファイルを WDEG 用の Windows 10 緩和策ポリシーに変換する新しい PowerShell モジュールを追加しました。この PowerShell モジュール、および EMET の機能と Windows 10 のセキュリティ機能の関連性の詳細については、「Enhanced Mitigation Experience Toolkit に関連する Windows 10 の理解」のトピックを参照してください。
最後に、Windows Defender Exploit Guard には EMET から統合されたものよりもさらに多くの機能が含まれており、ホスト侵入防止やその他の WDEG コンポーネントについて近い将来、ブログ投稿で紹介する予定です。今後追加される機能としては、Windows のセキュリティ スタックを見渡す一元管理機能を提供するために、WDEG が近いうちに Windows Defender ATP (WDATP) と完全に統合されます。構成された WDEG 緩和策に対する侵害は WDATP に記録され、さらに高度な悪用検知の追加のシグナルとして使用されます。
Windows 10 の脅威の緩和策の詳細については、Microsoft Docs の「Windows 10 のセキュリティ機能を使用して脅威を軽減する」を参照してください。
- Nate Nunez, OS Security