Microsoft の脆弱なドライバー ブロックリスト: 概要と使用方法

今日では、 コンピュータセキュリティ これは、あらゆるユーザーやシステム管理者にとって最優先事項の 1 つです。脆弱性を悪用しようとする新たな脅威が絶えず出現します。そこで Microsoft の脆弱なドライバー ブロックリスト o Microsoft の脆弱なドライバー ブロックリスト。最新バージョンの Windows で特別な重要性を獲得した機能。

Windowsのセキュリティで最も繊細な部分の一つは コントローラーまたはドライバー。その小さいながらも重要なソフトウェアは、あらゆる種類の 恐ろしい攻撃など BYOVD（「脆弱なドライバーを自分の手で運転する」） この記事では、このブロック リストについて知っておくべきこととその仕組みについて説明します。

Microsoft の脆弱なドライバー ブロックリストとは何ですか?

Microsoftの脆弱なドライバーブロックリストは Windowsに組み込まれたセキュリティ機能 そして、主な保護ソリューションとして、 Microsoft Defender。その目的は、オペレーティング システムへの危険なドライバーの読み込みと実行を防ぐことです。これらのドライバーは通常、Microsoft 自身ではなくサードパーティによって開発されており、セキュリティ上の欠陥があったり、悪意を持って設計されている可能性があり、高度な攻撃の理想的な入り口となります。

リストは次のようになります 一種の「ブラックリスト」 以下の特性の 1 つ以上を満たすコントローラが組み込まれているもの。

• 認識された脆弱性: 脆弱性を悪用されると、Windows カーネルで権限を昇格したり、保護をバイパスしたりする可能性があるドライバー。
• 悪意のある行為: 損害を引き起こしたり、マルウェアをインストールしたりする可能性のあるコードが含まれているドライバー、または悪意のあるソフトウェアに関連する証明書で署名されているドライバー。
• Windows セキュリティ モデル違反: 必ずしも悪意があるわけではないが、オペレーティング システムのセキュリティ制限を回避できるドライバー。

つまり、マイクロソフトのブロックリストは 潜在的に危険な運転者が運転するのを防ぐ予防シールドデジタル署名と有効な証明書がある場合でも同様です。これにより、Windows 保護の最も重要な層の 1 つであるカーネルが強化され、サイバー犯罪者の活動が大幅に複雑化します。

ブロックリストの仕組み：コンピュータを保護する仕組み

La Microsoft の脆弱なドライバー ブロックリスト 静的な要素ではありませんが、 常に更新される生きたメカニズム。 Microsoft は、ハードウェア製造元 (IHV) および OEM と連携して、ドライバー エコシステムを積極的に監視し、脅威となるコンポーネントを特定してブロックします。

ドライバーが脆弱、悪意がある、または Windows セキュリティ標準と互換性がないと判断された場合、そのドライバーはリストに追加され、ブロックリストがアクティブなコンピューターでの読み込みが自動的にブロックされます。これは、システムのバージョンと構成に応じて、いくつかの方法で実行されます。

• メモリ整合性（HVCIまたは ハイパーバイザー保護されたコード整合性): 有効にすると (多くの新しい Windows 11 PC では既定で有効)、ブロックリストはそれに含まれるドライバーをブロックすることによって有効になります。
• セーフモード: より制御された安全な環境を誇る S モードで実行されている Windows デバイスでも、ブロックリストがデフォルトで有効になっています。
• Windows Defender のアプリケーション制御 (App Control for Business): 管理者が独自のセキュリティ ポリシーを通じて推奨リストを適用できるようにします。
• Windows セキュリティ (システム アプリ)>: Windows 11 22H2 以降、この機能は既定で有効になっており、[デバイス セキュリティ] [コア分離] インターフェイスから管理できます。

ブロックリストは具体的にどのドライバーをブロックするのでしょうか?

すべてのドライバーがブロックリストの対象となるわけではなく、 特定の客観的基準を満たし、潜在的な危険性があるもの。 ドライバーがこのリストに追加される最も一般的な理由は次のとおりです。

• セキュリティ上の脆弱性の存在 知られており、文書化されています。
• アクティブな攻撃でその使用が検出されているランサムウェア、マルウェア、または高度な持続的脅威による悪用などが含まれます。
• 悪意のあるキャンペーンに関連する証明書の使用 デジタル署名用です。
• Windows セキュリティモデルのバイパスを可能にする動作ただし、これは典型的なマルウェアではありません。

リストに含まれる可能性のある他の名前としては、ディスク ユーティリティ、高度なハードウェア管理プログラム、仮想化ソフトウェアの古いドライバー、さらにはセキュリティが侵害された特定の周辺機器のドライバーなどがあります。

ブロックリストの更新とサポート

Microsoftの脆弱なドライバーブロックリストの大きな強みの一つは、 これは生きたリストであり、時間の経過とともに維持されます。 Microsoft は、Windows の新しいメジャー バージョンごとにこれを更新します (通常は、メジャー アップデートで年に 1 回または 2 回)。さらに、新たな脅威が発生した場合には、Windows Update を通じて、または手動でダウンロードして、特定のパッチをリリースすることもできます。

ブロックリストは非常に高いレベルの防御力を提供しますが、 これを有効化すると、ハードウェアまたはソフトウェアの互換性や動作に特定の副作用が生じる可能性があります。 たとえば、特定のデバイスに不可欠なドライバーがブロックされている場合、デバイスが正常に動作しなくなり、まれにブルー スクリーン (BSOD) が発生することもあります。

このように、 Microsoft では、永続的なブロックを強制する前に、まず監査モードでポリシーを検証し、ブロック イベントを確認することを推奨しています。 エンタープライズ環境では、これは App Control と対応するポリシーを通じて実行され、どのドライバーがブロックされるかを監視し、ケースバイケースで決定を下すことができます。

原則として、ブロックリストは誤検知を最小限に抑えるために十分に洗練されており、 潜在的な互換性の問題に対する保護のバランスをとります。 ただし、非常に特殊なハードウェアや古いソフトウェアを搭載したシステムでは、予期しない競合が発生する可能性があります。その場合は、影響を受けるドライバーの削除または更新について話し合うことができるように、Microsoft チャネルを通じて問題を報告することをお勧めします。

Microsoft の脆弱なドライバー ブロックリストを有効または無効にする方法

Windowsのバージョンとデバイスの設定に応じて、 ブロックリストはデフォルトで有効または無効にできます。 Windows 11 バージョン 22H2 のリリース以降、この機能はすべてのデバイスで有効になっていますが、手動で管理することもできます。

そこに ブロックリストの状態を制御する主な方法は 2 つあります。

• Windowsセキュリティインターフェースから:
  • Windows セキュリティ アプリを開きます (スタート メニューで検索)。
  • 「デバイスセキュリティ」セクションに移動し、「コア分離」に進みます。
  • その画面で、必要に応じて「Microsoft の脆弱なドライバー ブロックリスト」オプションを有効または無効にします。
  • 古いバージョン (Windows 10 または 11 21H2) では、オプションが表示されないか、最初に HVCI を有効にする必要がある場合があります。
• Windowsレジストリの使用:
  • レジストリ エディター (regedit.exe) を開きます。
  • HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/CI/Config に移動します。
  • DWORD 値「VulnerableDriverBlocklist」を編集または作成し、機能を有効にするには 1 を割り当て、無効にするには 0 を割り当てます。

変更後、設定を有効にするためにコンピューターを再起動することをお勧めします。

ユーザーと企業への推奨事項

Microsoft の脆弱なドライバー ブロックリストによって提供される保護を最大限に活用するには、ホーム ユーザーとシステム管理者の両方がいくつかの簡単な手順に従う必要があります。 良い実践例:

• オペレーティングシステムを常に最新の状態に保ってください新しいバージョンでは、ブロックリストと Windows カーネル保護に重要な改善が組み込まれていることが多いためです。
• ブロックリストがアクティブかどうかを定期的に確認する Windows セキュリティ アプリケーションから (特に大規模なシステム更新や設定の変更後)。
• エンタープライズ環境では、App Control for Businessポリシーを展開します。 すべてのデバイスが最新バージョンのリストを継承していることを確認し、永続的なブロックを実装する前に潜在的な問題を監視します。
• まず監査モードでポリシーを検証する互換性の競合を最小限に抑え、誤検知の可能性を解決します。
• Microsoftのセキュリティ情報にご注目ください 影響を受ける可能性のある新しいドライバーについて知るには、ハードウェアの製造元に問い合わせてください。
• 疑わしいドライバーをマイクロソフトに提出する 公式ツールとポータルを使用して、世界的な保護の継続的な改善に貢献します。

Microsoft の脆弱なドライバーブロックリストの高度な管理: ダウンロードと手動適用

上級ユーザーや企業向けに、マイクロソフトは次のような機能を提供しています。 ダウンロード ポータルからバイナリ形式または XML 形式のブロックリストの最新バージョンをダウンロードします。 これは、最大限の制御が必要な場合や、セキュリティやコンプライアンス上の理由から自動更新のみに依存したくない場合に役立ちます。

通常の手順は次のとおりです。

1. ポリシー更新ツールをダウンロードする App Control.
2. 脆弱なドライバー ブロックリストのバイナリを取得して抽出します。
3. 適切なファイル (監査バージョンまたは適用バージョン) を選択し、名前を SiPolicy.p7b に変更します。
4. SiPolicy.p7b を %windir%/system32/CodeIntegrity の場所にコピーします。
5. 更新ツールを実行して、すべての App Control ポリシーをアクティブ化し、更新します。

コンピューターを再起動した後、Windows イベント ビューアーの CodeIntegrity ログで 3099 イベントを確認することで、ポリシーが正しく適用されたことを確認できます。

ユーザーエクスペリエンスへの影響と既知の問題

利点があるにもかかわらず、すべてが明るいわけではありません。 ブロックリストの管理は、特に高度にカスタマイズされたニーズを持つシステムでは、エンドユーザーに不便をもたらす可能性があります。 最も一般的な問題は通常、次のとおりです。

• 古いハードウェアやレガシープログラムとの非互換性 開発が中止され、ドライバーが新しい安全基準を満たすように更新されていないもの。
• 誤検知の可能性 完全に合法だが異常なドライバーをブロックし、デバイスを動作不能にする可能性があります。
• ブルースクリーン・オブ・デス（BSOD）の事例 重要なブート要素が誤ってブロックされた場合。

ブロックリストが今日不可欠な理由

BYOVD攻撃、忘れられたドライバーの悪用、そしてマルウェアの巧妙化により、 システムコアの保護 これまで以上に重要です。サイバー犯罪者は、あらゆる抜け穴を悪用できることを証明しており、脆弱なドライバーは、他のセキュリティ対策を事実上無効にしたり操作したりできるほど低レベルで動作する、最も危険なバックドアの 1 つです。

ベンダーやセキュリティコミュニティと連携した集中型の動的ブロックリストを維持するというマイクロソフトの戦略は、 個人ユーザーと大規模組織の両方に影響を与える脅威に対する最善の対応。

Microsoft の脆弱なドライバー ブロックリストをアクティブかつ最新の状態に保つことは、Windows のセキュリティを強化し、サイバー犯罪者による侵入を困難にする最もシンプルで効果的な方法の 1 つです。管理者はこれを他の保護ポリシーと組み合わせて使用​​し、ホーム ユーザーは Windows セキュリティの設定を定期的に確認することをお勧めします。これにより、データとシステムの保護と安心感が大幅に向上します。