Microsoftは2017年6月15日(現地時間)、Windows 10 バージョン1703(Creators Update)のセキュリティベースライン/zipファイルを公開したことを、公式ブログで報告した。現時点ではドラフトレベルとなり、同社はユーザーからのフィードバックを求めている。
以前のMicrosoftは「セキュリティ コンプライアンス マネージャー」というツールを用いてセキュリティ設定を行うことを推奨していたが、Windows 8.1やWindows Server 2012 R2をリリースしたタイミングで同ツールを廃止し、GPO(Group Policy Object)バックアップやGPOレポート、Excelワークシート、WMIフィルター、そして設定を適用するスクリプトを含むセキュリティベースラインに切り替えた。
Windows 10 バージョン1607用(Anniversary Update)セキュリティベースラインとの相違点は以下のとおり。
・SMB v1プロトコルを無効化
・「信頼できないフォントのブロック」設定の削除
・インターネットおよび制限付きサイトアクセス時のVBScript無効化
・「ネットワーク認証のパスワードと資格情報の格納を許可しない」設定を削除
・Internet ExplorerにおけるTLS 1.0サポート無効化とTLS 1.1/1.2の許可
・管理対象のコンピュータで既定のホームグループとXboxサービスの無効化
・潜在的に望ましくないアプリケーションに対するWindows Defenderの保護有効化
Microsoftは2週間以内に内容を確定し、公式のセキュリティベースラインをリリースすることを明らかにしている。
「信頼できないフォントのブロック」設定を破棄した理由として、Microsoftは最新のWindows 10では、サンドボックス化したユーザーモードプロセスでfontdrvhost.exeを実行し、リスクが軽減したことを挙げている(font blockingの有/無 画像は公式ブログより抜粋) |
阿久津良和(Cactus)