Windows HelloをUACに統合 ～Microsoftが「管理者保護」をテスト開始

新しいセキュリティ機能「管理者保護」

　米Microsoftは1月16日（現地時間）、「Windows 11 Insider Preview」Build 27774をCanaryチャネルでリリースした。本ビルドでは、昨年11月にアナウンスされていた新しいセキュリティ機能「管理者保護」が実装されている。

　「管理者保護」（Administrator protection）は、管理者権限の奪取をもくろむ攻撃に対処するため、MicrosoftがWindows 11に導入する新しいプラットフォームセキュリティ機能だ。これは最小特権の原則に基づいて設計されており、UACで管理者への昇格が許可されると、システムが生成したプロファイルで区切られた非表示のユーザーアカウントを用いて、ジャストインタイムな（その場だけの）管理者トークンを生成する。このトークンはプロセスが終了すると破棄されるため、管理者特権の使いまわしがないことが保証される。マルウェアによるセッションの乗っ取りを防止するため、管理者への昇格にはユーザー操作が必須だが、この煩わしさは「Windows Hello」の統合により解決される。顔認証や指紋認証でロックを解除できるため、操作はシンプルだ。

　つまり、「管理者保護」は以下の3要素がカギとなっている。

• ジャストインタイムの昇格：ユーザーに特権は付与されず、その場限りの昇格権限が付与されるため、管理者権限の使いまわしを避けることが可能
• プロファイルの分離：ユーザーレベルのマルウェアが昇格セッションを乗っ取ることがないように、プロファイルを分離してセキュリティ境界とする
• 自動昇格なし：すべての管理者操作はユーザーが対話的に承認する必要がある。「Windows Hello」との統合により、セキュリティの向上とシンプルな操作性を両立

ジャストインタイムの昇格の仕組み

　信頼されていないアプリケーションや署名されていないアプリケーションを実行する際の昇格ダイアログもデザインが少し変更されるようで、アプリ名とその説明までが、黄色く色分けされる領域に表示されるようになる。

昇格ダイアログのデザイン

　「管理者保護」はグループポリシーや「Microsoft Intune」などのモバイル デバイス管理（MDM）ソリューションを用いることで、簡単に組織へ導入することが可能。本ビルドで「Windows セキュリティ」アプリに導入されたオプションを用いれば、ユーザー側でも有効化できる。ただし、OSの再起動が必要だ。

「管理者保護」は「Windows セキュリティ」アプリで有効化可能

　同社は「Windows Hello」の刷新を計画中だが、「管理者保護」はそれとあわせ、いずれWindows 11の次世代セキュリティ機能の中核となるだろう。将来的には既定で有効化される予定だ。