注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
Microsoft には、カーネルで実行されるコードに関する厳格な要件があります。 そのため、悪意のあるアクターは、カーネルでマルウェアを実行するために、正当で署名されたカーネル ドライバーの脆弱性を悪用しています。 Windows プラットフォームの多くの強みの 1 つは、独立系ハードウェア ベンダー (IHV) や OEM との強力なコラボレーションです。 Microsoft は、お客様にとって最高レベルのドライバー セキュリティを確保するために、IHV とセキュリティ コミュニティと緊密に連携しています。 ドライバーの脆弱性が見つかった場合は、パートナーと協力して、迅速にパッチが適用され、エコシステムにロールアウトされるようにします。 脆弱なドライバー ブロックリストは、次のいずれかの属性を使用して、Windows エコシステム全体で Microsoft 開発以外のドライバーに対するシステムを強化するために設計されています。
- Windows カーネルで特権を昇格させるために攻撃者によって悪用される可能性がある既知のセキュリティ脆弱性
- マルウェアの署名に使用される悪意のある動作 (マルウェア) または証明書
- 悪意のないが、Windows セキュリティ モデルを回避し、攻撃者が Windows カーネルの特権を昇格させる可能性がある動作
ドライバーは、Microsoft セキュリティ インテリジェンスドライバーの提出ページでセキュリティ分析のために Microsoft に送信できます。 ドライバーの提出の詳細については、「 新しい Microsoft 脆弱で悪意のあるドライバー レポート センターを使用してカーネルのセキュリティを強化する」を参照してください。 ドライバーが修正された後のブロック ルールの更新など、問題を報告したり、ブロックリストに変更を要求したりするには、Microsoft セキュリティ インテリジェンス ポータルにアクセスします。
注
ドライバーをブロックすると、デバイスやソフトウェアが誤動作し、まれにブルー スクリーンが発生する可能性があります。 脆弱なドライバー ブロックリストは、脆弱性が見つかったすべてのドライバーをブロックするとは限りません。 Microsoft は、脆弱なドライバーからのセキュリティ リスクと互換性と信頼性への潜在的な影響のバランスを取ってブロックリストを生成しようとします。 常に、Microsoft では、可能な限りセキュリティに対して明示的な許可リスト アプローチを使用することをお勧めします。
Microsoft の脆弱なドライバー ブロックリスト
Windows 11 2022 更新プログラムでは、脆弱なドライバー ブロックリストはすべてのデバイスに対して既定で有効になっており、Windows セキュリティ アプリを使用してオンまたはオフにすることができます。 Windows Server 2016を除き、脆弱なドライバー ブロックリストは、メモリ整合性 (ハイパーバイザーで保護されたコード整合性または HVCI とも呼ばれます)、スマート アプリ制御、または S モードがアクティブな場合にも適用されます。 ユーザーはWindows セキュリティ アプリを使用して HVCI にオプトインでき、ほとんどの新しいWindows 11 デバイスでは HVCI が既定でオンになっています。
注
Windows セキュリティは OS とは別に更新され、すぐに出荷されます。 脆弱なドライバーブロックリストトグルを備えたバージョンは、最終的な検証リングにあり、すぐにすべての顧客に出荷されます。 最初は、構成状態のみを表示でき、トグルが淡色表示されます。トグルをオンまたはオフにする機能には、今後の Windows 更新プログラムが付属します。
Windows Insider の場合、HVCI、Smart App Control、または S モードが有効になっている場合、Windows セキュリティ設定を使用して Microsoft の脆弱なドライバー ブロックリストをオンまたはオフにするオプションが淡色表示されます。 Microsoft の脆弱なドライバー ブロックリストをオフにする前に、HVCI またはスマート アプリ制御を無効にするか、デバイスを S モードから切り替えて、デバイスを再起動する必要があります。
ブロックリストは、Windows の新しいメジャー リリースごとに更新されます(通常、1 年あたり 1 ~ 2 回)。 現在のブロックリストは、Windows Updateからのオプションの更新プログラムとして、Windows 10 20H2 ユーザーと Windows 11 21H2 ユーザーでも使用できるようになりました。 Microsoft は、定期的な Windows サービスを通じて将来の更新プログラムを公開することがあります。
常に最新のドライバー ブロックリストを必要とするお客様は、App Control for Business を使用して、最新の推奨ドライバー ブロックリストを適用することもできます。 便宜上、最新の脆弱なドライバー ブロックリストのダウンロードと、この記事の最後にコンピューターに適用する手順を提供します。
アプリ コントロールを使用して脆弱なドライバーをブロックする
Microsoft では、 HVCI または S モードを有効にして、デバイスをセキュリティ上の脅威から保護することをお勧めします。 この設定が不可能な場合は、既存の App Control for Business ポリシー内 のドライバーの一覧 をブロックすることをお勧めします。 十分なテストを行わずにカーネル ドライバーをブロックすると、デバイスやソフトウェアが誤動作し、まれにブルー スクリーンが発生する可能性があります。 最初に 監査モード でこのポリシーを検証し、監査ブロック イベントを確認することをお勧めします。
重要
Microsoft では、脆弱な署名付きドライバーをディスクに書き込むのを防ぐために、攻撃対象の Surface Reduction (ASR) ルール [悪用される脆弱な署名付 きドライバーの悪用をブロックする] を有効にすることもお勧めします。 ASR 規則では、システム上に既に存在するドライバーの読み込みはブロックされませんが、 Microsoft の脆弱なドライバー ブロックリスト を有効にするか、このアプリコントロール ポリシーを適用すると、既存のドライバーの読み込みが妨けられます。
脆弱なドライバー ブロックリスト バイナリをダウンロードして適用する手順
脆弱なドライバー ブロックリストを適用する場合は、次の手順に従います。
- アプリ制御ポリシー更新ツールをダウンロードする
- 脆弱なドライバー ブロックリスト バイナリをダウンロードして抽出する
- 監査のみのバージョンまたは適用されるバージョンを選択し、ファイルの名前を SiPolicy.p7b に変更します
- SiPolicy.p7b を %windir%\system32\CodeIntegrity にコピーする
- 上記の手順 1 でダウンロードしたアプリ制御ポリシー更新ツールを実行して、コンピューター上のすべてのアプリコントロール ポリシーをアクティブ化して更新します
ポリシーがコンピューターに正常に適用されたことをチェックするには:
- イベント ビューアーを開きます。
- アプリケーションとサービス ログの参照 - Microsoft - Windows - CodeIntegrity - Operational
- [ 現在のログのフィルター] を選択します。..
- "<すべてのイベント ID>" を "3099" に置き換え、[OK] を選択します。
- PolicyNameBuffer と PolicyIdBuffer が、この記事のブロックリスト アプリ制御ポリシー XML の下部にある [名前] と [Id] PolicyInfo 設定と一致する 3099 イベントを探します。 注: 他のアプリ制御ポリシーも存在する場合、コンピューターに複数の 3099 イベントが存在する可能性があります。
注
ポリシーによってブロックされる脆弱なドライバーが既に実行されている場合は、それらのドライバーがブロックされるようにコンピューターを再起動する必要があります。 再起動せずに新しいアプリ制御ポリシーをアクティブ化しても、実行中のプロセスはシャットダウンされません。
脆弱なドライバー ブロックリスト XML
推奨されるブロックリスト xml ポリシー ファイルは、 Microsoft ダウンロード センターからダウンロードできます。
このポリシーには、[ すべて許可] ルールが含まれています。 お使いのバージョンの Windows で App Control の複数のポリシーがサポートされている場合は、既存のアプリコントロール ポリシーと共にこのポリシーを展開することをお勧めします。 このポリシーを別のポリシーとマージする予定の場合は、他のポリシーで明示的な許可リストが適用されている場合は、マージする前に [すべて許可 ] ルールを削除する必要がある場合があります。 詳細については、「 アプリコントロール拒否ポリシーを作成する」を参照してください。
注
Windows Server 2016でこのポリシーを使用するには、新しいオペレーティング システムを実行しているデバイスでポリシー XML を変換する必要があります。