Microsoft Windows 365 をセキュアに運用するためのガイダンスとは?

Microsoft shares guidance on securing Windows 365 Cloud PCs

2021/08/22 BleepingComputer — 今週の初めに Microsoft は、Windows 365 Cloud PC のセキュリティ確保に関するガイダンスと、ビルトインされているセキュリティ機能の詳細情報を公開した。このガイダンスでは、Windows 365 Business およびWindows 365 Enterprise サブスクリプションに登録された Cloud PC を保護するために顧客ができることが説明されている。

Principal Program Manager for Windows 365 である Christiaan Brinkhoff は、「物理的な PC と同様に、すべての Cloud PC には、Microsoft Defender が搭載されており、初めて起動されたときからデバイスを保護する。また、Cloud PC は、Windows Update for Business を介して、Windows 10 の最新累積更新プログラムで自動的に更新される、ギャラリー・イメージを用いてプロビジョニングされる」と述べている。

Windows 365 Cloud PC のセキュリティ

エンドユーザーに対して、ローカル管理者権限が自動的に付与される Windows 365 Business を選択する中小企業の場合、IT 管理者は標準的な IT セキュリティ・プラクティスに従い、また、Microsoft Endpoint Manager を用いて、それぞれのユーザーをデバイス上の標準ユーザーに設定することを推奨する。そのためには、以下のステップを踏む必要がある。

・Microsoft Endpoint Manager に各デバイスを登録するよう、自動登録を用いてコンフィグレーションする。

・Local Administrators グループを管理する。詳細については、Azure Active Directory を用いる。(Azure AD, see How to manage the local administrators group on Azure AD joined devices)。Microsoft Endpoint Manager を用いた例としては、Microsoft MVP である Peter van der Woude の投稿を参照してほしい。

・Microsoft Defender Attack surface reduction (ASR) ルールの有効化を検討する。ASR ルールは、Windows の local security authority subsystem からのクレデンシャル盗用をブロックするなど、特定のセキュリティ上の懸念に対する、防御の軽減策の詳細を提供する。ASR ルールを有効にする方法の詳細については、Enable attack surface reduction rules を参照してほしい。

Windows 365 Enterprise Cloud PC は、すべて Microsoft Endpoint Manager に登録されているため、セキュリティを確保する必要がある IT 管理者は、その作業を簡単できる。また、Microsoft Defender Antivirus アラートのレポート機能や、Microsoft Defender for Endpoint の研修機能もオプションで提供されている。また、Windows 365 Enterprise PC のエンドユーザーは、デフォルトで自動的に標準ユーザーとして設定されるが、管理者は必要に応じて、ユーザーごとに例外を設定することも可能だ。Cloud PC のセキュリティを高めるために、Microsoft は Windows 365 Enterprise の顧客に対して以下のアドバイスを提供している。

・Windows 10 の標準的なセキュリティ・プラクティスに従い、ローカル管理者権限を用いて、Cloud PC にログオンする人を制限する。

・Microsoft Endpoint Manager から Cloud PC に対して、Windows 365 セキュリティ・ベースラインを導入し、Microsoft Defender を活用し、すべての Cloud PC を含むエンドポイントに対して徹底した防御を提供する。Windows 365 の セキュリティ・ベースラインでは、前述の ASR ルールが有効にされる。

・Azure AD の条件付きアクセスをデプロイし、多要素認証 (MFA) やユーザー/サインインのリスク軽減などの、Cloud PC に対する安全な認証を実現する。

仮想化された Windows 365 サービスでは、Trusted Launch (セキュアブートと TPM 2.0 をオンにすることで VM のセキュリティを強化する技術) がバンドルされた Azureから Cloud PC をストリーミングしている。しかし、Windows 365 は、顧客の Cloud PC を保護を目的としてはす、まだ、この技術を利用していない。Microsoft は、Windows 365 が利用できる全ての す Azure リージョンで、今年の後半には Windows 11 と同時に導入する予定だ。

Windows 365 のセキュリティに関する問題点

Azure Virtual Desktop上で動作する Microsoft Windows 365 サービスは、8月2日に一般提供が開始されたばかりだが、すでにセキュリティ研究者たちは、顧客のネットワークを攻撃にさらすセキュリティ上の脆弱性を発見している。Microsoft の Cloud PC の試そうとして、この2ヶ月間の無料仮想 PC を手に入れようとする人々が殺到し、無料トライアルを使い果たしてしまった。

先週のこと、Mimikatz の生みの親である Benjamin Delpy は BleepingComputer に対して、Mimikatz の助けを借りることで、ログインしたユーザー の Microsoft Azure 認証情報を、Microsoft Windows 365 Cloud PC サービス上に、平文でダンプする方法を見つけたと語った。この方法を実行するためには、攻撃者は Administrator 権限と Azure アカウントの認証情報を必要とするが、フィッシングおよび、Cloud PC 上のリモート・アクセス・プログラム、PrintNightmare の特権昇格バグなどを組み合わせることで、すぐに実行できたという。

攻撃者は、Windows 365 の認証情報を手に入れると、他の Microsoft のサービスを経由して、企業ネットワークに侵入することができる。Benjamin Delpy は、このような攻撃を防御するためには、2FA や、スマートカード、Windows Hello、Windows Defender Remote Credential Guard などを使用スべきだとしている。しかし、残念ながら、いまの Microsoft は、これらのセキュリティ機能を Windows 365 上に提供していない。

Windows がクラウドにあり、リモートから使えるなんて、とてもイイ感じですよね。ただ、クラウドにあればあったで、さまざまなトラブルも出てきます。時間の経過とともに解消されるはずですが、ちょっと気になる内容です。先日のポスト「Windows 365 から Microsoft Azure クレデンシャル情報を平文でダンプ」も合わせてど〜ぞ。

%d bloggers like this: