Windowsの新しい 管理者保護モード Murachi Akira aka Hebikuzure

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://x.com/hebikuzure 2024/11/23 2 Murachi Akira aka Hebikuzure

目次 • Windows の管理者権限 • User Account Control (UAC) • 管理者保護モード • 管理者保護モードの構成 • 管理者保護モードの動作 • 参考情報 • まとめ 2024/11/23 Murachi Akira aka Hebikuzure 3

Windows の管理者権限 2024/11/23 Murachi Akira aka Hebikuzure 4

2024/11/23 Murachi Akira aka Hebikuzure 5 Administrators 管理タスクをすべて実行できる

Windows の管理者権限 • 組み込みの Administrators グループに割り当てられている権限 • 権限の実体はセキュリティ ポリシーの「セキュリティの設定」での割り当て の集合 • [ローカル ポリシー] – [ユーザー権利の割り当て] • 既定の NTFS アクセス権でもフル コントロールが割り当てられる 2024/11/23 Murachi Akira aka Hebikuzure 6

管理者権限 • 「管理者権限」は Windows NT 系の考え方 • 9x 系には「管理者」という概念が無かった • Windows XP でコンシューマ向けも NT 系に変更 • コンシューマや組織内の一般ユーザーの日常利用に 管理者権限は不要では？ • 「Users」・「Power Users」を使えば良い…のでは？ 2024/11/23 Murachi Akira aka Hebikuzure 7

権限の比較 Administrators 管理タスクをすべて実行できる Power Users 一部の管理タスクを実行できる Users 管理タスクは実行できない 2024/11/23 Murachi Akira aka Hebikuzure 8

実際には… • Power Users から完全な管理者権限に昇格可能 思ったほど Power Users は安全ではない • Users は管理タスクがまったく行えないので不便 XP では「ユーザーの切り替え」（Fast User Switching）で 管理者に切り替えてサインインすることで管理タスクを実行 これだと結局管理者権限でサインインしていることになる 2024/11/23 Murachi Akira aka Hebikuzure 9

Microsoft は考えた… • ユーザーが常に Administrators でサインインするのは危険 マルウェアへの感染、不正侵入などのリスクが高い • Power Users は失敗 できないことがあって面倒なくせに意外と危険 • 管理者を兼ねた個人ユーザーに Users で使わせるのは不便過ぎて現 実的ではない • 管理者だからといってセキュリティリテラシーが高いとは限らない • 管理者アカウントをもっと安全に利用できる方法はないか？ 2024/11/23 Murachi Akira aka Hebikuzure 10

一方、Unix / Linux なら • su / sudo がある！ • root ユーザーでログインしなくても、su / sudo コマンドで root 権限 での実行が可能 ※ ユーザーが wheel や sudoers に属している必要がある 2024/11/23 Murachi Akira aka Hebikuzure 11

User Account Control (UAC) 2024/11/23 Murachi Akira aka Hebikuzure 12

2024/11/23 Murachi Akira aka Hebikuzure 13 UAC! UAC!

UAC！ UAC！ • ユーザーアカウント制御（UAC） • Windows Vista で導入 • ユーザーが管理タスクを実行する際にプロンプトで許可を求める • 許可には Administrators の権限が必要 • Users でサインインしている場合、承認には Administrators の資 格情報が必要 2024/11/23 Murachi Akira aka Hebikuzure 14

ユーザートークンと管理者トークンの分離 • Administrators もサインイン時はユーザートークンでリソースにアクセス • UAC プロンプトの「昇格」で管理者トークンが利用可能になる 2024/11/23 Murachi Akira aka Hebikuzure 15

UAC のプロンプト Users での UAC Administrators での UAC 2024/11/23 Murachi Akira aka Hebikuzure 16

UAC の問題点 • 既定では Administrators ユーザーは 1 Click で UAC を承認できる • Windows Hello / Hello for Business と統合されていない 2024/11/23 Murachi Akira aka Hebikuzure 17 承認するのが簡単すぎ パスワードしか使えない

UAC の問題点 • 管理者トークンはもともと管理者ユーザーが持っているもの • 利用される管理者トークンはログオンセッション内で永続的 2024/11/23 Murachi Akira aka Hebikuzure 18 UAC は単に「利用の確認」でしかない トークンの窃盗のリスクがある

管理者保護モード 2024/11/23 Murachi Akira aka Hebikuzure 19

2024/11/23 Murachi Akira aka Hebikuzure 20 Administrator protection!

管理者保護モード • UAC の問題点を改善し、より安全に管理者アカウントを利用できるよ うにする仕組み • System Managed Administrator Accounts (SMAA) による 分離された管理者トークンの利用と破棄 • SMAA は管理者承認モードにより自動作成されるパスワードレスの管理者権 限ローカルアカウント • 独立したプロファイルとレジストリハイブを持つ • ドメインアカウントの管理者もローカルアカウントの SMAA を利用 • Windows Hello との統合 2024/11/23 Murachi Akira aka Hebikuzure 21

SMAA の管理者トークン • 管理者承認モードで昇格を承認すると、承 認した管理者アカウントではなく SMAA の 管理者トークンが利用される 2024/11/23 Murachi Akira aka Hebikuzure 22

Windows Hello との統合 2024/11/23 Murachi Akira aka Hebikuzure 23 • 昇格プロンプトで資格情報を与える際、 Windows Hello（PIN / 指紋認証 / 顔認証）が利用できる

「管理者権限で実行」の変化 2024/11/23 Murachi Akira aka Hebikuzure 24 管理者 ユーザー 管理者ユーザー自身の 管理者トークン 管理者 ユーザー UAC 管理者承認モード無効 管理者 ユーザー SMAAの 管理者トークン SMAA UAC 管理者承認モード有効 管理者 ユーザー 実行 実行

管理者保護モードの特徴 • Just-in-time の管理者トークン 必要な時に必要な間だけ利用可能な管理者トークン • 分離され保護されたシステム管理管理者アカウント（SMAA） 昇格されたセッションへのユーザーレベルからの侵入の防止 • 自動昇格なし すべての管理操作を対話形式で承認する必要 • Windows Hello との統合 PIN / 生体認証での承認操作が可能 2024/11/23 Murachi Akira aka Hebikuzure 25

管理者保護モードのメリット • セキュリティの強化 • すべての管理タスクへの明示的な承認を要求により偶発的な変更やマルウェア による変更を防止します。潜在的に有害なアクションが発生する前に認識するこ とで、サイバー脅威に対する追加の防御層となります。 • 明示的なユーザー制御 • ユーザーが明示的に承認することで、承認されたアプリのみがシステムを変更で きるようになり、偶発的または悪意のある変更のリスクが軽減されます。 • マルウェアの軽減 • マルウェアが管理者権限をサイレントに取得できなくなるため、攻撃のキルチェー ンを断ち切ります 2024/11/23 Murachi Akira aka Hebikuzure 26

管理者保護モードの構成 2024/11/23 Murachi Akira aka Hebikuzure 27

管理者保護モードの構成方法 • 「Windows セキュリティ」のユーザー インターフェース（Preview） • 一般ユーザー向け • 有効 / 無効の切り替えのみ • グループ ポリシーの構成 • IT 管理者、上級ユーザー向け • 管理者承認モードの詳細な動作を構成可能 2024/11/23 Murachi Akira aka Hebikuzure 28

Windows セキュリティ 2024/11/23 Murachi Akira aka Hebikuzure 29

Windows セキュリティ 2024/11/23 Murachi Akira aka Hebikuzure 30

グループ ポリシー • [コンピューターの構成] - [セキュリティの設定] - [セキュリティ オプション] 2024/11/23 Murachi Akira aka Hebikuzure 31

セキュリティ オプション 2024/11/23 Murachi Akira aka Hebikuzure 32

関連する設定（１） • 管理者承認モードの種類を構成する 2024/11/23 Murachi Akira aka Hebikuzure 33

2024/11/23 Murachi Akira aka Hebikuzure 34

関連する設定（２） • Administrator Protection を使用して実行している管理者に対す る昇格時のプロンプトの動作 2024/11/23 Murachi Akira aka Hebikuzure 35

2024/11/23 Murachi Akira aka Hebikuzure 36

関連する設定（３） • 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 （UAC 全般への設定） 2024/11/23 Murachi Akira aka Hebikuzure 37

関連する設定（４） • 管理者承認モードですべての管理者を実行する （UAC 全般への設定） 2024/11/23 Murachi Akira aka Hebikuzure 38

管理者保護モードの動作 2024/11/23 Murachi Akira aka Hebikuzure 39

管理操作の開始 2024/11/23 Murachi Akira aka Hebikuzure 40

承認要求 2024/11/23 Murachi Akira aka Hebikuzure 41

Demo 2024/11/23 Murachi Akira aka Hebikuzure 42

参考情報 2024/11/23 Murachi Akira aka Hebikuzure 43

参考情報 • Evolving the Windows User Model – A Look to the Past | Microsoft Community Hub • Evolving the Windows User Model – Introducing Administrator Protection | Microsoft Community Hub • Administrator protection on Windows 11 | Microsoft Community Hub 2024/11/23 Murachi Akira aka Hebikuzure 44

注意事項 • Intune の「エンドポイント特権管理」は現在管理者保護モードとの互 換性がありません。 • エンドポイント特権管理のデプロイに関する考慮事項 | Microsoft Learn 「Administrator Protection は現在、エンドポイント特権管理から開始され た昇格をサポートしていません。 組織が昇格を処理するために標準ユーザーが EPM に依存しているデバイスで Administrator Protection を有効にすると、 昇格は失敗します。 今後のリリースでは、この問題の解決に取り組んでいま す。」 2024/11/23 Murachi Akira aka Hebikuzure 45

まとめ 2024/11/23 Murachi Akira aka Hebikuzure 46

管理者保護モード • Windows での管理者の特権についての新しいテクノロジー • システム管理管理者アカウント（SMAA）による特権行使 • 分離された管理者トークンによるセキュリティの強化 • 管理作業への管理者承認の強化と合理化 • 管理者のより明示的な承認の要求 • Windows Hello と統合されたエクスペリエンス 2024/11/23 Murachi Akira aka Hebikuzure 47

2024/11/23 Murachi Akira aka Hebikuzure 48 ありがとうございました