Windows10 改ざん防止の動作について

もうそろそろリリースとなるWindows10の1903ですが、このバージョンよりTamper Protectionという改ざん防止機能が搭載される予定であるのはご存知でしょうか。

Windows セキュリティのウイルスと脅威の防止、ウイルスと脅威の防止の設定 - 設定の管理内にある機能です。

f:id:mohessu:20190522012742p:plain

f:id:mohessu:20190522012722p:plain

f:id:mohessu:20190522012656p:plain

これが1903より提供が開始される機能となるのですが、これだけでは何のことやらさっぱりわかりません。笑

この機能の詳細情報を見ると少しだけどういったものかわかるかと思います。

https://support.microsoft.com/ja-jp/help/4490103/windows-10-prevent-changes-to-security-settings-with-tamper-protection

f:id:mohessu:20190522013655p:plain

上記図の反転させたところですが、「悪意のあるアプリによって Windows Defender ウイルス対策の重要な設定 (リアルタイム保護やクラウド提供の保護など) が変更されないよう、保護することができます。」とあります。

Windows Defenderのリアルタイム保護などをオフにできなくする機能ということですね。

それだけだと単なる設定ができなくなるだけのツールですが、この機能の面白いところは、Windows セキュリティを経由すると設定をオフにでき、Windows セキュリティを経由しないとリアルタイム保護などをオフにできないという特性を持っているところです。

言葉だけだと何のことやらだと思うので、実際に動作させてみましょう。

以下のレジストリを追加し、値を1にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
DisableAntiSpyware

f:id:mohessu:20190522014829p:plain

これはリアルタイム保護を行わせないようにするレジストリ設定ですが、この設定をオンにし、再起動を行います。

すると、1度目の再起動ではリアルタイム保護がオフとなりますが、もう一度再起動すると自動的にオンになりました。

f:id:mohessu:20190522022451p:plain

ちなみに、Windows セキュリティアプリ上ではリアルタイム保護をオフに設定することができます。

これがこの改ざん防止のすごいところで、マルウェアなどの外部アプリがセキュリティ機能をオフにしようとしても、自動的に拒否してくれるという動きになっています。

1903はまだInsider Previewなのでリリースまでに動きが変わるかもしれませんが、マルウェア対策としてはかなり良い機能に仕上がりそうです。

概念はとても良いので、1回目の再起動でリアルタイム保護が一時的に切れる点が改修されてくることを信じたいですね。

音楽:ニケ15歳