microsoftがwindows 11の管理者保護のテストを拡大し、insidersがwindows security設定からこのセキュリティ機能を有効にできるようになりました。これは、2023年10月にcanary channelのwindows 11 insiders向けプレビュービルドで初めて導入された機能です。\n\nこの管理者保護機能は、隠れた「ジャストインタイム」昇格メカニズムとwindows hello認証プロンプトを使用します。管理者権限が必要な場合のみそれを解除し、重要なシステムリソースへのアクセスをブロックします。 この機能を有効化すると、ログインしている管理者ユーザーは標準のユーザー権限のみを持ち、新しいアプリをインストールする際やレジストリを変更する際にはwindows helloを使ってPINや生体認証による認証を求められます。 これにより、マルウェアや攻撃者が重要なリソースにアクセスしてシステムを侵害する可能性が低くなります。 \n\n”administrative protectionが有効になっている場合、ユーザーが信頼できない未署名アプリケーションを昇格させるための承認要求プロンプトは、アプリの説明に下がる拡張された色分け領域が追加されます。”とwindows insiderチームは木曜日に述べました。\n\nこの機能はデフォルトでオフになっており、IT管理者によってグループポリシーやモバイルデバイス管理(MDM)ツールを通じて有効化する必要がありますが、最近のアップデートではユーザー自身がwindows security設定からも有効化できるようになりました。\n\n”administrator protectionは、windows security設定のアカウント保護タブから有効にでき、これによりIT管理者の助けを必要とせずにユーザーがこの機能を有効化できるようになります。”とwindows insiderチームは付け加えました。 “この設定を変更するには、windowsの再起動が必要です。” \n\n新しいセキュリティ機能は現在、windows 11 insider preview build 27774をインストールしたcanary channelのインサイダーに利用可能です。\n\n最近、マイクロソフトは2025年初頭にwindows 11 insider programコミュニティ向けに新しい”quick machine recovery”機能を導入することを発表しました。これにより、システム管理者はwindows updateによる「ターゲットフィックス」によって起動できなくなったデバイスをリモートで修正する手助けをします。 さらに、管理者がPCの設定を事前設定された構成に復元するための新機能であるconfig refreshのwindows 11サポートを追加する計画もあります。 そして、すべてのDNSクエリを信頼できるDNSサーバーを通じてリダイレクトするように設計されたzero trust DNSも計画されています。\n\n11月以降、マイクロソフトはwindows 365とwindows 11 enterprise 24H2クライアントデバイスでホットパッチングをテストし始めており、これはwindowsがセキュリティ更新をダウンロードし、再起動せずにバックグラウンドでインストールできるようにします。\n\nこれらの機能のいくつかは、2023年11月に発表されたマイクロソフトのsecure future initiative(sfi)サイバーセキュリティエンジニアリング努力の一環として導入されています。\n\n今回の管理者保護機能の拡大は、個人のユーザーだけでなく、IT部門にとっても大きな進展です。今後、ユーザーのセキュリティ意識が高まり、さらに安全な利用ができることが期待されます。
