トラステッド ブート (セキュア ブート + メジャー ブート)
Windows 11では、すべての PC で統合拡張ファームウェア インターフェイス (UEFI) のセキュア ブート機能を使用する必要があります。 Windows 11 デバイスが起動すると、セキュア ブートとトラステッド ブートが連携して、マルウェアと破損したコンポーネントの読み込みを防ぎます。 セキュア ブートは初期保護を提供し、トラステッド ブートはプロセスを続行します。
セキュア ブートは、Windows カーネルのトラステッド ブート シーケンスを介して、統合拡張ファームウェア インターフェイス (UEFI) から安全で信頼されたパスを作成します。 UEFI、ブートローダー、カーネル、およびアプリケーション環境間のブート シーケンス全体にわたる署名適用ハンドシェイクは、Windows ブート シーケンスに対するマルウェア攻撃をブロックします。
ファームウェア ルートキットのリスクを軽減するために、PC はブート プロセスの開始時にファームウェアのデジタル署名を検証します。 次に、セキュア ブートは、OS ブートローダーのデジタル署名とオペレーティング システムが起動する前に実行されるすべてのコードをチェックし、セキュア ブート ポリシーに従って署名とコードが妥協されておらず信頼されていないことを確認します。
トラステッド ブートは、セキュア ブートが開始するプロセスを続行します。 Windows ブートローダーは、読み込む前に Windows カーネルのデジタル署名を検証します。 Windows カーネルは、ブート ドライバー、スタートアップ ファイル、マルウェア対策製品の早期起動マルウェア対策 (ELAM) ドライバーなど、Windows スタートアップ プロセスの他のすべてのコンポーネントを検証します。 これらのファイルのいずれかが改ざんされた場合、ブートローダーは問題を検出し、破損したコンポーネントの読み込みを拒否します。 多くの場合、Windows は破損したコンポーネントを自動的に修理して、Windows の整合性を復元し、PC が正常に起動できるようにします。
詳細情報
Cryptography
暗号化では、コードを使用してデータを変換し、特定の受信者のみがキーを使用して読み取ることができるようにします。 暗号化では、目的の受信者を除くすべてのユーザーがデータを読み取らないようにするためのプライバシー、データが改ざんされないようにするための整合性、および通信がセキュリティで保護されていることを確認する ID を検証する認証が適用されます。 Windows の暗号化スタックは、チップからクラウドまで拡張され、Windows、アプリケーション、およびサービスがシステムシークレットとユーザー シークレットを保護できるようにします。
Windows の暗号化は、 連邦情報処理標準 (FIPS) 140 認定です。 FIPS 140 認定では、米国政府が承認したアルゴリズム (署名用の RSA、キー アグリーメントの NIST 曲線を使用した ECDH、対称暗号化用の AES、ハッシュ用の SHA2) のみが使用されていることを確認し、モジュールの整合性をテストして改ざんが発生しなかったことを証明し、エントロピ ソースのランダム性を証明します。
Windows 暗号化モジュールは、次のような低レベルのプリミティブを提供します。
- 乱数ジェネレーター (RNG)
- 対称および非対称暗号化 (NIST 標準素曲線 P-256、P-384、P-521 に対する 64 ビット増分および ECDSA での AES 128/256 および RSA 512 から 16,384 のサポート)
- ポスト量子アルゴリズム (ML-KEM、ML-DSA)
- ハッシュ (SHA-256、SHA-384、SHA-512、SHA-3*のサポート)
- 署名と検証 (OAEP、PSS、PKCS1 の埋め込みサポート)
- キー アグリーメントとキー派生 (NIST 標準素曲線 P-256、P-384、P-521、HKDF 上の ECDH のサポート)
Windows では、暗号化モジュールは、暗号化 API (CAPI) と、Microsoft のオープン ソース暗号化ライブラリ SymCrypt を利用する暗号化次世代 API (CNG) を通じてネイティブに公開されます。 SymCrypt は、Microsoft の透明性に対する Microsoft のコミットメントの一部であり、Microsoft の製品とサービスを信頼するために必要な機密情報とリソースを提供することを目的としたグローバルな Microsoft Government セキュリティ プログラムが含まれています。 このプログラムは、ソース コード、脅威と脆弱性の情報交換、Microsoft の製品とサービスに関する技術的なコンテンツに関与する機会、および 5 つのグローバルに分散された透明性センターへのアクセスを制御されたアクセスを提供します。 アプリケーション開発者は API を使用して、低レベルの暗号化操作 (BCrypt)、キー ストレージ操作 (NCrypt)、静的データ (DPAPI) の保護、シークレット (DPAPI-NG) の安全な共有を実行できます。
Windows には、SHA-3 ファミリのハッシュ関数と SHA-3 派生関数 (SHAKE、cSHAKE、KMAC) のサポートが含まれています。 これらは、国立標準技術研究所 (NIST) による最新の標準化されたハッシュ関数であり、Windows CNG ライブラリを使用して使用できます。
- サポートされている SHA-3 ハッシュ関数: SHA3-256、SHA3-384、SHA3-512 (SHA3-224 はサポートされていません)
- サポートされている SHA-3 HMAC アルゴリズム: HMAC-SHA3-256、HMAC-SHA3-384、HMAC-SHA3-512
- サポートされている SHA-3 派生アルゴリズム: 拡張出力関数 (XOF) (SHAKE128、SHAKE256)、カスタマイズ可能な XOF (cSHAKE128、cSHAKE256)、KMAC (KMAC128、KMAC256、KMACXOF128、KMACXOF256)。
量子後暗号化
今年の初めに、コア暗号化ライブラリ SymCrypt で 量子後 アルゴリズム (ML-KEM、 ML-DSA) のサポートを共有しました。 そのリリースに続き、CNG と証明書および暗号化メッセージング機能を通じて Windows Insider でサポートを受けていました。 このサポートを最新のWindows 11 ビルドに拡張することに興奮しています。
公開キーのカプセル化またはキー交換が必要なシナリオで ML-KEM を使用すると、今すぐ収穫の準備をし 、後の脅威を復号化 するのに役立ちます。
サポートされているパラメーター セットを次に示します。
| アルゴリズム | 公開キーのサイズ | 暗号テキスト のサイズ | 共有シークレット のサイズ | NIST セキュリティ レベル |
|---|---|---|---|---|
| ML-KEM 512 | 800 バイト | 768 バイト | 32 バイト | レベル 1 |
| ML-KEM 768 | 1,184 バイト | 1,088 バイト | 32 バイト | レベル 3 |
| ML-KEM 1024 | 1,568 バイト | 1,568 バイト | 32 バイト | レベル 5 |
暗号化 API: 次世代 (CNG) に ML-DSA を追加すると、開発者は、デジタル署名を使用して ID、整合性、または信頼性の検証を必要とするシナリオに対して PQC アルゴリズムの実験を開始できます。
サポートされているパラメーター セットを次に示します。
| アルゴリズム | 公開キーのサイズ | 秘密キーのサイズ | 署名サイズ | NIST セキュリティ レベル |
|---|---|---|---|---|
| ML-DSA-44 | 1,312 バイト | 2,560 バイト | 2,420 バイト | レベル 2 |
| ML-DSA-65 | 1,952 バイト | 4,032 バイト | 3,309 バイト | レベル 3 |
| ML-DSA-87 | 2,592 バイト | 4,896 バイト | 4,627 バイト | レベル 5 |
始める方法の詳細については、 暗号開発者のページ をご覧ください。
証明書
情報の保護と認証を支援するために、Windows では証明書と証明書の管理を包括的にサポートしています。 証明書、証明書信頼リスト (CTL)、証明書失効リスト (CRL) を表示および管理するには、組み込みの証明書管理コマンド ライン ユーティリティ (certmgr.exe) または Microsoft Management Console (MMC) スナップイン (certmgr.msc) を使用します。 Windows で証明書を使用するたびに、リーフ証明書とその信頼チェーン内のすべての証明書が失効または侵害されていないことがシステムによって検証されます。 マシン上の信頼されたルート証明書と中間証明書とパブリックに取り消された証明書は、公開キー 基盤 (PKI) 信頼の参照として機能し、Microsoft 信頼されたルート プログラムによって毎月更新されます。 信頼された証明書またはルートが取り消されると、すべてのグローバル デバイスが更新されるため、ユーザーは公開キー インフラストラクチャの脆弱性から Windows が自動的に保護されることを信頼できます。 クラウドおよびエンタープライズ展開の場合、Windows では、Active Directory の証明書をグループ ポリシーで自動登録および更新して、証明書の有効期限切れや構成ミスによる潜在的な停止のリスクを軽減する機能も提供します。
コードの署名と整合性
Windows ファイルが信頼でき、改ざんされていないことを確認するために、Windows コード整合性プロセスは、Windows カーネルで実行される各ファイルの署名を検証します。 Smart App Control または App Control for Business ポリシーを適用するシステムでは、Windows は、同様に実行されるすべてのユーザー モード バイナリにコード整合性検証を拡張します。 コード署名は、Windows プラットフォーム全体でファームウェア、ドライバー、ソフトウェアの整合性を確立するためのコアです。 コード署名は、コード署名証明書から秘密キーを使用してファイルのハッシュを暗号化し、その署名をファイルまたは署名のカタログに埋め込むことで、デジタル署名を作成します。 Windows コード整合性プロセスは、署名済みハッシュとハッシュを比較して署名済みファイルの整合性を検証し、署名者が信頼できる発行元であることを確認します。
Windows 環境では、Windows ブート コード、Windows カーネル コード、および Windows ユーザー モード アプリケーションのデジタル署名が評価されます。 コードの整合性を実行する前に、Secure Boot はブートローダー、Option ROM、およびその他のブート コンポーネントの署名を検証して、ファイルが変更されておらず、信頼できる信頼できる発行元から取得されていることを確認します。 Microsoft が発行しないドライバーの場合、カーネル モード コードの整合性によってカーネル ドライバーの署名が検証され、ドライバーが Windows によって署名されているか、 Windows ハードウェア互換性プログラム (WHCP) によって認定されている必要があります。 このプログラムは、サードパーティ製のドライバーがさまざまなハードウェアと Windows と互換性があり、ドライバーが検証済みのドライバー開発者からのものであることを保証します。
デバイス正常性構成証明
Windows デバイス正常性構成証明プロセスでは、静的なネットワーク ベースの境界からユーザー、資産、リソースにフォーカスをシフトするゼロ トラスト パラダイムがサポートされています。 構成証明プロセスは、デバイス、ファームウェア、ブート プロセスが良好な状態であり、企業リソースにアクセスする前に改ざんされていないことを確認します。 このプロセスでは、TPM に格納されているデータを使用してこれらの決定を行い、信頼の安全なルートを提供します。 この情報は、デバイスが信頼された状態にあることを確認するために、Azure Attestationなどの構成証明サービスに送信されます。 次に、Microsoft Intune[3] のようなクラウドネイティブデバイス管理ソリューションは、デバイスの正常性を確認し、条件付きアクセスのためにこの情報をMicrosoft Entra ID[3] に接続します。
Windows には、マルウェアや攻撃からユーザーを保護するのに役立つ多くのセキュリティ機能が含まれています。 ただし、セキュリティ コンポーネントは、プラットフォームが想定どおりに起動し、改ざんされていない場合にのみ信頼できます。 前述のように、Windows は、Unified Extensible Firmware Interface (UEFI) セキュア ブート、ELAM、DRTM、Trusted Boot、およびその他の低レベルのハードウェアとファームウェアのセキュリティ機能に依存して、PC を攻撃から保護します。 PC の電源を入れた瞬間からマルウェア対策が開始されるまで、Windows には、安全を保つために役立つ適切なハードウェア構成が用意されています。 ブートローダーと BIOS によって実装された測定ブートは、ブートの各ステップをチェーン方式で検証し、暗号化的に記録します。 これらのイベントは TPM にバインドされ、これは信頼のハードウェア ルートとして機能します。 リモート構成証明は、サービスがこれらのイベントを読み取って検証し、検証可能で偏りのない、改ざんに対する回復性の高いレポートを提供するメカニズムです。 リモート構成証明は、システムのブートの信頼された監査者であり、依存する当事者が信頼をデバイスとそのセキュリティにバインドできるようにします。
Windows デバイスでの構成証明とゼロ トラストに関連する手順の概要を次に示します。
- ファイルの読み込み、特別な変数の更新など、ブート プロセスの各手順では、ファイル ハッシュや署名などの情報が TPM プラットフォーム構成レジスタ (PCR) で測定されます。 トラステッド コンピューティング グループの仕様では、測定値がバインドされ、記録できるイベントと各イベントの形式が決定されます。 このデータは、電源投入時のデバイス セキュリティに関する重要な情報を提供します。
- Windows が起動すると、構成証明 (または検証ツール) は TPM に対して、測定ブート ログと共に PCR に格納されている測定値を取得するように要求します。 これらの測定値は、Azure Attestation サービスに送信される構成証明の証拠を形成します。
- Azure証明書サービスは、チップセットで使用可能なキーまたは暗号化資料を使用して TPM を検証します。
- Azure Attestation サービスは、デバイスが信頼された状態であることを確認するために、上記の情報を受け取ります。
詳細情報
Windows セキュリティ ポリシーの設定と監査
セキュリティ ポリシー設定は、全体的なセキュリティ戦略において重要な役割を果たします。 Windows には、IT 管理者がorganization内の Windows デバイスやその他のリソースを保護するために使用できる包括的なセキュリティ設定ポリシーのセットが用意されています。 1 つ以上のデバイスでセキュリティ ポリシー設定を構成して、以下を制御できます。
- ネットワークまたはデバイスへのユーザー認証
- ユーザーがアクセスできるリソース
- ユーザーまたはグループのアクションをイベント ログに記録するかどうか
- グループのメンバーシップ
セキュリティ監査は、ネットワークと資産の整合性を維持するために使用できる最も強力なツールの 1 つです。 監査は、価値の高いターゲットに対する攻撃、ネットワークの脆弱性、脅威を特定するのに役立ちます。 セキュリティ関連イベントのカテゴリを指定して、構成サービス プロバイダー (CSP) またはグループ ポリシーを使用して、organizationのニーズに合わせた監査ポリシーを作成できます。
最初に Windows をインストールすると、すべての監査カテゴリが無効になります。 有効にする前に、次の手順に従って、効果的なセキュリティ監査ポリシーを作成します。
- 最も重要なリソースとアクティビティを特定します。
- 追跡する必要がある監査設定を特定します。
- 各リソースまたは設定に関連する利点と潜在的なコストを評価します。
- これらの設定をテストして、選択内容を検証します。
- 監査ポリシーを展開および管理するための計画を作成します。
詳細情報
Windows で保護された印刷
Windows で保護された印刷は、互換性を最大化し、ユーザーを優先する最新かつ安全な印刷システムを提供します。 これにより、Windows モダン 印刷スタックを使用してデバイスが排他的に印刷できるようにすることで、印刷エクスペリエンスが簡素化されます。
Windows で保護された印刷の利点は次のとおりです。
- PC のセキュリティの強化
- PC アーキテクチャに関係なく、簡素化された一貫性のある印刷エクスペリエンス
- 印刷ドライバーを管理する必要がなくなります
Windows で保護された印刷は、Mopria 認定プリンターでのみ動作します。 既存のプリンターの多くは既に互換性があります。
詳細情報
Windows 用 Rust
Rust は、安全性、パフォーマンス、コンカレンシーに焦点を当てることで知られる最新のプログラミング言語です。 これにより、null ポインター逆参照やバッファー オーバーフローなどの一般的なプログラミング エラーが回避され、セキュリティの脆弱性やクラッシュにつながる可能性があります。 Rust は、独自の所有権システムを通じてこの保護を実現し、ガベージ コレクターを必要とせずにメモリの安全性を確保します。 Windows のコードベースの安全性と信頼性を高めるために、Windows カーネルへの Rust の統合を拡張しています。 この戦略的な動きは、Windows の品質とセキュリティを向上させるために最新のテクノロジを採用するという当社のコミットメントを強調しています。
詳細情報
Sysmon 機能
Sysmon 機能は近日中に Windows に提供される予定です。 Windows の Sysmon 機能は、エンタープライズ セキュリティ チーム、サード パーティのセキュリティ ベンダー、およびその他のパートナーによって評価される、アクティブ化が容易で、豊富でカスタマイズ可能な脅威検出シグナルを提供します。 Windows での Sysmon 機能の今後のリリースは、操作の簡素化、展開の負担の軽減、Windows ログの可視性の大幅な向上に役立ちます。 この機能により、セキュリティ チームは脅威をより迅速かつ効率的に特定できます。
詳細情報