Windows Vista でのセキュリティと安定性の強化
Microsoft® Windows Vista® では、セキュリティ、安定性、および復元性が強化されています。このドキュメントでは、これらの機能強化をサポートする新機能と変更された機能について説明します。
セキュリティ、安定性、および復元性の強化の概要
Windows Vista は、Microsoft Windows XP Service Pack 2 (SP2) および Microsoft Windows Server™ 2003 Service Pack 1 (SP1) オペレーティング システムに組み込まれたセキュリティ強化を基盤として構築されています。このような機能強化により、攻撃を受ける確率が低下し、企業は自社のネットワークを安全に管理および分離できます。
Windows Vista では、連携するようにデザインされた一連の方法を使用して、機能強化されたセキュリティ メカニズムを提供します。こうしたセキュリティの強化点には、次のようなものがあります。
| • | プラットフォームのセキュリティの問題点の大幅な削減。これは、Windows Vista によって攻撃を受ける確率が低下し、既知の攻撃ベクトルを簡単に検出して修正または緩和できるようにする機能が提供されたことで実現されます。 |
| • | システムやアプリケーションの整合性を向上し、破損または感染したコードが実行されないようにする新機能。これにより、エンド ユーザーが悪意のあるコードや不完全なコードを実行することでもたらされる脅威が軽減されます。 |
Windows Vista で強化された信頼性と復元性により、障害を防ぎ、ユーザーへの影響を軽減できます。Windows Vista では、インストールや再起動に失敗し、システム、アプリケーション、サービスなどが応答を停止したり失敗した場合の信頼性と復元性が大幅に向上しています。また、ソフトウェア更新をインストールする際に必要な再起動の回数が、これまでよりも少なくなります。
システムの分離と復元性
Windows Vista は、企業が自社のネットワークを安全に管理および分離するのに役立ちます。攻撃者や悪意のあるソフトウェア (別名 "マルウェア") によってもたらされるセキュリティやプライバシーに対する脅威は、Windows XP のリリース以降大きく増加しています。通常、悪意のあるソフトウェアは、ハード ドライブ領域 (Program Files ディレクトリやレジストリなど) に書き込まれ、知らないうちにインストールされて、自動的に実行されます。その後、ポートをインターネットに向けて開くと、他のコンピュータ上に自身のコピーを作成します。
悪意のあるソフトウェアによる被害やその他の悪影響は、次のような原因によって生じる可能性があります。
| • | ユーザーの個人情報を盗用する。 |
| • | コンピュータへの侵入経路を開く。 |
| • | コンピュータを使用して悪意のある動作を実行する。これには、スパムの送信や分散サービス拒否 (DDoS) 攻撃を行うプラットフォームとしてコンピュータを使用することも含まれます。 |
ここで使用している分離と復元性という用語は、Windows Vista が攻撃者や悪意のあるソフトウェアからシステムを保護する方法を説明しています。Windows Vista には、分離と復元性をサポートするために、スパイウェア対策スキャン ツール、ポートや不要なトラフィックをブロックするファイアウォール保護機能、保護が強化された Web ブラウザ、および許可されていないユーザーがコンピュータを起動したりコンピュータからファイルを取得することを困難にする機能が用意されています。
ウイルスや不要なソフトウェアからの保護
ウイルスやその他の悪意のあるソフトウェアは、ユーザーのコンピュータに侵入し、明確な同意なしにユーザーに関する情報の収集を試みます。
Windows Vista ヘアップグレードまたは移行する際、オペレーティング システムでは、これまでに分かっているウイルスや悪意のあるソフトウェアの痕跡を使用して、それらを検出および削除します。
注 :Windows Vista へのアップグレードおよび移行のプロセスでは、ウイルスや他の悪意のあるソフトウェアをコンピュータから削除しますが、この機能をウイルス対策ソフトウェアの実行に代わる手段とは考えないでください。
ファイアウォールと Service Hardening プラットフォーム
悪意のあるソフトウェアは、多くの場合、Windows サービスに含まれるセキュリティの問題を利用して、ユーザーのコンピュータを危険にさらそうとします。Windows Vista には、Microsoft Windows Service Hardening と呼ばれる新しいプラットフォーム サービスがあります。このサービスは、ファイル システム内、レジストリ内、およびネットワーク上の重要な Windows サービスを監視し、悪意のあるソフトウェアがコンピュータに存在したり、他のコンピュータに広がろうとしていることを示す異常な兆候を検出します。
Windows Vista ファイアウォールでは、ネットワーク ルールが強化されています。Windows Service Hardening サービスでは、ファイル システムに関連するルールなど、その他のルールが強化されています。ファイアウォールは、Service Hardening のルールに定義されている異常な動作を検出すると、その動作のブロックを試みます。ファイアウォールのその他の機能強化として、不要なソフトウェアや悪意のあるソフトウェアがネットワーク経由で通信できないようにする送信フィルタ、および最新のセキュリティ更新プログラムがインストールされていないシステムに対しても例外を許可しないファイアウォール モードの自動有効化があります。このような機能強化が、コンピュータをウイルスの感染から防ぐのに役立ちます。また、悪意のあるソフトウェアの蔓延を防止するのにも役立ちます。
次の表は、このようなセキュリティ強化をサポートする機能をまとめたものです。
| 機能 | 説明 | 利点 |
Windows Service Hardening | 書き込みを制限するトークンに各サービスを関連付けます。このトークンは、サービスの操作要件を上回るリソースへのアクセスを拒否します。このようなリソースには、プログラム ファイル、レジストリ、ネットワークなどが含まれます。 | 攻撃者や悪意のあるソフトウェアが Windows サービスを侵害した後に行う可能性のある操作を制限することで、悪意のあるソフトウェアによる攻撃に対する復元性が強化されます。 |
送信フィルタ | 企業管理者がグループ ポリシーを使用して構成できる双方向の制御をパーソナル ファイアウォールに追加します。 | プライバシー情報の制御を管理し、不要なソフトウェアや悪意のあるソフトウェアがネットワーク経由で通信できないようにします。 |
適切なソフトウェアの更新がインストールされるまでのブロック | システムの復元やアップグレード後、オペレーティング システムに最新のソフトウェア更新がインストールされるまで、ファイアウォールの "例外を許可しない" モードを自動的に有効にします。 | 復元やアップグレード時に悪意のあるソフトウェアがセキュリティの問題を利用できないようにします。 |
Web ブラウズのセキュリティ強化
疑うことを知らないユーザーを攻撃者が悪用できるとすれば、コンピュータを使用してインターネットを参照することは危険になる場合があります。多くのインターネット Web サイトは、スパイウェアやその他の悪意のあるソフトウェアを使用してシステムを危険にさらそうとする悪意のあるコードを抱えています。エンド ユーザーの個人データは、電子メールの "フィッシング" やスプーフィング サイトによる攻撃に常にさらされています。Windows Vista に同梱されている Internet Explorer 7 は、暗号化された接続と暗号化されていない接続のどちらでも、エンド ユーザーがインターネット接続経由でデータを入力する前に警告を行うことで、プライベート データの保護を支援します。また、ユーザーがスプーフィングの疑いがあるサイトに移動する場合にも警告を行います。さらに、Internet Explorer 7 では、Web ブラウザの拡張機能を実行する場合の安全性も強化されています。
Web ブラウザ拡張機能は、アドオン ツールバーのように優れているものもありますが、スパイウェアのような不適切なものもあります。Windows Vista では、初めてブラウザの拡張機能を実行する場合はユーザーの同意が必要になります。これにより、スパイウェアが密かにインストールされることを防止できます。
Internet Explorer 7 では、セキュリティとプライバシーに関して、悪意のあるソフトウェアからの保護、拡張の制御、および個人データの保護という 3 つの分野を重視しています。次のセクションでは、これらの各分野について詳しく説明します。
悪意のあるソフトウェアからの保護
悪意のあるソフトウェアの作成者は、さまざま方法を使用して、ユーザーに悪意のあるソフトウェアを実行させます。Internet Explorer 7 には、悪意のあるソフトウェアからユーザーを保護するのに役立つ新機能があります。たとえば、改訂後のアーキテクチャでは、クロスドメインが悪用される可能性が最小限に抑えられます。また、悪意のあるソフトウェアによってブラウザが制御されたり、変更された場合、ユーザーはそのブラウザの設定を工場出荷時の設定に戻すこともできます。
次の表では、悪意のあるソフトウェアや他のセキュリティの問題からコンピュータを保護できるようにする、Internet Explorer 7 の機能について説明します。
| 機能 | 説明 | 利点 |
統合 URL パーサー (CURL) | Internet Explorer の URL 解析を 1 つのオブジェクトに統一し、セキュリティ チェックの回避とユーザーのスプーフィングを引き起こす可能性のある URL 解析の矛盾をなくします。 | クロスドメインが悪用されるリスクが軽減されます。 |
Microsoft 出荷時の設定へのリセット | 悪意のあるソフトウェアの影響を受けた場合にブラウザを元の設定に戻すオプションです。 | 感染が除去されます。 |
拡張の制御
Microsoft ActiveX® コントロールやブラウザ ヘルパー オブジェクト (BHO) など、Internet Explorer 7 の拡張メカニズムは、Microsoft 以外の製造元が、統合検索ツール バーなど、強力な新機能をブラウザに追加する際に使用されてきました。ただし、この拡張モデルは、スパイウェアや他の悪意のあるソフトウェアのインストールにも使用できます。エンド ユーザーは Internet Explorer 7 によって、ブラウザの拡張をより細かく制御できるようになります。また、ブラウザに追加される新しい拡張機能をユーザーが承認するかどうかも確認します。Windows XP Service Pack 2 (SP2) と同様に、アドオンは Internet Explorer アドオン マネージャで管理されます。
次の表では、拡張の制御を強化するのに役立つ機能について説明します。
| 機能 | 説明 | 利点 |
アドオンを使用しない Internet Explorer 7 の実行 | 拡張機能を実行できないようにするか、管理者が許可した拡張機能のみ実行できるようにします。 | アドオンが問題に関係しているかどうかを判断する場合に役立ちます。また、アドオンを必要としないサイトを参照する場合やアドオン (スパイウェアなど) が実行されていないことをユーザーが確認する場合にも役立ちます。 |
個人データの保護
エンド ユーザーが無意識のうちに自分の個人データを ("フィッシング" 攻撃や "スプーフィング" 攻撃などの) 危険にさらしてしまうような攻撃が増加しています。Internet Explorer 7 には、こうした危険からの保護に役立つ機能があります。次の表では、これらの機能について説明します。
| 機能 | 説明 | 利点 |
Secure Sockets Layer (SSL) UI | セキュリティが保護されたサイトをユーザーが参照している場合にアドレス バーを強調表示し、ユーザーがサイトのセキュリティ証明書の有効性を簡単にチェックできるようにします。 | この情報は、コンピュータに対するサイトのセキュリティ リスクを判断する際に役立ちます。 |
"履歴情報の消去" | キャッシュされたすべてのデータ (履歴、ブラウザ キャッシュ、フォーム データなど) を、1 回クリックするだけで消去できます。 | 他のユーザーが同じコンピュータを使用している場合にユーザーのプライバシーを保護します。 |
パレンタル コントロール | コンテンツの選別、時間制限、ログ記録を行います。ユーザーが既知のフィッシング サイトを参照したときにそれを通知し、参照したすべてのサイトを報告します。 | 監視や制限をグローバルに、またはユーザーごとに有効にできます。 |
BitLocker Drive Encryption
BitLocker Drive Encryption は、Windows Vista オペレーティング システムでのハードウェア ベースの新しいセキュリティ機能で、コンピュータのデータ保護を強化します。この機能では、Trusted Platform Module (TPM) を使用して、ユーザー データを保護したり、Windows Vista を実行するコンピュータがオフライン、紛失、または盗難時に改ざんされないようにします。TPM は、通常、コンピュータのマザーボードに追加されるマイクロチップです。TPM は、キー、パスワード、およびデジタル証明書を格納します。TPM に情報を格納することで、外部ソフトウェアの攻撃や物理的な盗難からの保護を強化します。
データは、Windows ボリューム全体を暗号化することで保護されます。BitLocker Drive Encryption は、暗号化キーをハード ドライブから削除して TPM に格納することで、SYSKEY を含めて、Windows パーティション全体を暗号化できます。起動プロセス中に、暗号化されたパーティションのロックを解除するキーは TPM からリリースされます。このキーは、オペレーティング システムの整合性が確立された後にのみリリースされます。これにより、オフライン システムの改ざんや別のオペレーティング システムをブートする試みからの保護を強化できます。
BitLocker Drive Encryption は、互換性のある TPM を搭載していないコンピュータでも使用できます。この方法で BitLocker Drive Encryption を使用すると、フル ボリューム暗号化が実現されますが、キーおよびパスワードを TPM に格納するというセキュリティは加えられません。互換性のある TPM を搭載していないコンピュータで BitLocker Drive Encryption を使用する場合、ユーザーはスタートアップ キーを作成し、コンピュータを再起動するたびに、ボリュームのロックを解除するためにそのキーを提供する必要があります。
次の表では、BitLocker Drive Encryption とその利点について説明します。
| 機能 | 説明 | 利点 | ||||||||||||
BitLocker Drive Encryption |
|
| ||||||||||||
セキュリティ管理
情報技術 (IT) プロフェッショナルが、社内コンピュータのセキュリティの構成と社内のセキュリティ ポリシーへの準拠の確認を担当します。また、エンド ユーザーに複雑なセキュリティ措置を負わせることなくコンピュータを生産性の高いツールにできるコンピューティング環境を提供する必要があります。IT プロフェッショナルには、社内のデスクトップ コンピュータのセキュリティを保護し、エンド ユーザーが通常業務を遂行する際にそのセキュリティを維持するためのツールが必要です。IT プロフェッショナルは、Windows Vista のセキュリティ管理を利用して、すべての社内コンピュータでのセキュリティの構成ミスを監視して、セキュリティの状態を報告できます。
Network Access Protection
最近企業のネットワークを攻撃してきたワームや悪意のあるソフトウェアの多くは、ソフトウェアの更新が適切にインストールされていないコンピュータを利用し、そのコンピュータが企業ネットワークから切り離されている間に感染します。その後、感染したコンピュータが仮想プライベート ネットワーク (VPN) 経由で接続されたり、社内に戻ってネットワークに接続されたときに、ネットワーク上の他のコンピュータへの攻撃を開始します。
インターネット接続に使用される標準的な企業ファイアウォールはこの種の脅威から保護できませんが、Windows Vista の Network Access Protection (NAP) サービスは、このような脅威からの保護に役立ちます。このような脅威から保護するために、組織がクライアントの状態 (ソフトウェアの更新状態や最新のウイルス スキャン プログラムの署名など) の要件を設定できるようにして、クライアントがネットワークに接続する際にこれらの要件を確認します。クライアントが状態の要件を満たしていない場合は、その条件を満たすまでネットワークへの接続を許可されません。NAP を構成して、状態の要件を満たしていないクライアントを別の検疫領域 (検疫サーバー) に割り当てることができます。ユーザーは、この領域で事態の改善を図る機会が提供されます。
注 :NAP には、NAP サーバー コンポーネントを含む、Windows Server™ (コード ネーム "Longhorn") オペレーティング システムの機能とサポートが必要です。
次の表では、NAP とその利点について説明します。
| 機能 | 説明 | 利点 |
Network Access Protection (NAP) | ネットワーク リソースへのアクセスを試みるすべてのクライアントが社内のセキュリティ ポリシー (最新のウイルス対策プログラムの署名、現在のセキュリティ更新プログラム、推奨のファイアウォール構成など) に従うようにクライアントの状態を調査、評価、および確認します。また、問題のあるクライアントの修復を実現し、クライアントがネットワークに接続している間は継続的にポリシーに準拠するようにします。 | IT プロフェッショナルは、クライアントからのネットワーク接続を受け入れる前に、そのクライアントのセキュリティ ポリシーへの準拠を定義または制御できます。また、ネットワークに接続する際にセキュリティ ポリシー (ヘルス ポリシー) に準拠し、コンピュータがネットワークに接続している間は継続的にそのポリシーに準拠させることで、社内リソースが危険にさらされるリスクが軽減されます。 |
セキュリティ更新プログラムの強化
セキュリティ更新プログラムのインストールには時間がかかる場合があります。Windows Vista では、新しい "ホットパッチ" サポートを使用してこの問題に対処できます。"ホットパッチ" サポートにより、再起動する必要なくセキュリティ更新プログラムをインストールできます。
次の表では、ホットパッチの利点について説明します。
| 機能 | 説明 | 利点 |
ホットパッチ | セキュリティ更新プログラムをディスクにインストールしてからメモリに読み込むことで、実行中のプロセスにコードを挿入できます。 | 再起動する必要なくセキュリティ更新プログラムをインストールできるようにして、サービスの中断を少なくします。 |
Windows セキュリティ センター
Windows セキュリティ センターは、Windows Vista のセキュリティの新機能を、ユーザーや小規模企業のエンド ユーザーがすぐに利用できるようにするユーザー インターフェイスです。これには、Windows XP SP2 に含まれるすべての機能が含まれていますが、Windows Vista のセキュリティ強化により可能になった他の機能も追加されています。Windows セキュリティ センターにより、ウイルスやその他の攻撃に対するコンピュータの防御状態が監視され、ユーザーはコンピュータが重要なセキュリティ更新プログラムを自動的にダウンロードしてインストールするように設定されているかどうかを確認することもできます。管理されたネットワークの場合、既定では無効になっています。
次の表では、Windows セキュリティ センターの機能について説明します。
| 機能 | 説明 | 利点 |
ファイアウォールの検出 | 管理されていないコンピュータの既存のネットワーク保護機能 (Windows ファイアウォールや Microsoft 以外のソフトウェア ファイアウォール) を検出し、設定を調整するリンクを使用して状態を有効または無効に設定します。 | ユーザーに、冗長なファイアウォール保護を無効にするオプションを提供します。保護が検出されない場合は、通知用のユーザー インターフェイスにより、Windows ファイアウォールを再度有効にしてネットワーク保護を確保するようにユーザーに通知されます。 |
ウイルス対策の保護 | 管理されていないコンピュータの既存のウイルス対策ソフトウェアを検出し、ウイルス対策が無効になっている場合、推奨方法へのリンクを使用して状態を有効または無効に設定します。 | ウイルス対策ソフトウェアがインストールされ、それがアクティブであるかどうかをユーザーに示します。 |
自動更新の状態 | 設定を調整するリンクを使用して状態を有効または無効に設定します。 | ユーザーは、コンピュータが重要なセキュリティ更新プログラムを自動的にダウンロードしてインストールするように設定できます。 |
User Account Control
User Account Control (UAC) は、Windows Vista の一連の新しいインフラストラクチャ テクノロジです。これは、組織が優れた管理デスクトップを展開してマルウェアの影響を軽減するのに役立ちます。UAC では、すべてのユーザーが標準ユーザー アカウントでアプリケーションやタスクを実行することを要求するので、管理者レベルのアクセスが承認されたプロセスのみに制限されます。また、デスクトップをロックダウンできます。これにより、標準ユーザーは許可されていないアプリケーションをインストールできなくなり、不注意にシステム設定を変更できなくなります。
Windows Vista では、2 つのユーザー レベルとして標準ユーザーと管理者があります。標準ユーザーは、ユーザー アカウントを使用してアプリケーションを実行する、Users グループのメンバです。管理者ユーザーは、管理者アカウントを使用してアプリケーションを実行する、ローカル Administrators グループのメンバです。ユーザーがアプリケーションを起動すると、アプリケーションの実行時に、そのユーザーが所属するグループのアクセス トークンとそれに関連する管理者特権が適用されます。つまり、Administrators グループのメンバが起動したアプリケーションは、ローカル管理者に割り当てられたすべての権限と特権で実行されます。同様に、Users グループのメンバが同じアプリケーションを起動すると、そのアプリケーションは標準ユーザーに割り当てられた権限と特権で実行されます。
Windows Vista では、ほとんどのアプリケーションに "管理者" トークンまたは "標準" トークンのいずれかが指定されます。Windows Vista は、アプリケーションを管理用アプリケーションであると特定できない場合、既定で標準アプリケーションとして起動します。管理用アプリケーションであると特定されたアプリケーションを起動する前に、ユーザーは特権が昇格されたユーザーとしてアプリケーションを実行することに同意するように求められます。この機能は、"Admin Approval Mode (管理承認モード)" と呼ばれます。ユーザーがローカル Administrators グループのメンバでも、既定では、同意が求められます。これは、管理者の資格を必要とするアプリケーションやシステム コンポーネントが実行時にアクセス許可を要求するまで、管理者ではなく標準ユーザーとして実行されるためです。このプロセスを "昇格" と呼びます。
ユーザーがシステム設定に影響する操作 (アプリケーションのインストールなど) を行おうとするときにそのユーザーに通知することによって、悪意のあるソフトウェアによる影響を軽減できます。Windows Vista では、ユーザーが適切な資格情報を指定すると、標準のアプリケーションやプロセスによる攻撃から管理用アプリケーションを保護する手段が取られます。管理者がアプリケーションのインストールを許可する必要があるため、許可されていないアプリケーションを自動的にインストールすることはできません。さらに、標準ユーザーは、システム全体に影響するオペレーティング システムの設定を変更できません。
次の表では、UAC のサポートする機能について説明します。
| 機能 | 説明 | 利点 |
同意の要求 | 完全な管理者レベルの資格を使用してアプリケーションを起動するために、ユーザーに同意を求めたり、資格情報を取得する際に、ユーザーの対話型デスクトップに表示します。SYSTEM アクセス許可で実行されます。 | ユーザーは、システム特権が必要な場合 (アプリケーションをインストールする場合など) にログオフせずに管理者の資格情報を入力することができます。 |
仮想化 | UAC では、仮想化により、コンピュータごとのファイルやレジストリの書込み操作が、エラー発生時にユーザーごとに区別された場所にリダイレクトされます。読み取り操作は、最初に、仮想化された場所またはユーザーごとに区別された場所にリダイレクトされ、次に、コンピュータごとに区別された場所にリダイレクトされます。 | UAC との互換性を持つことのできない約 20% のレガシ アプリケーションは、ユーザーにアクセス許可を昇格させることを求めずに、正常に実行されます。 |
管理ユーザー向け分割トークン | システム特権を持つユーザーが対話的なログオンを実行する際に、完全な特権を持つ "管理者" トークンを作成し、管理権限と管理グループを除去して第 2 の "標準" トークンを作成します。 | 管理権限 (ローカル管理者アカウントを除く) を持つユーザーにも悪意のあるソフトウェアに対する組み込みの保護機能が用意されます。 |
認証
パスワードは、現在、最も一般的な認証方法です。ただし、このような一要素認証の使用には多くの制限があります。覚えやすく短いパスワードは、攻撃者が簡単に特定できますが、長くて複雑なパスワードは覚えにくいため、エンド ユーザーが書き留めてしまうことが多くなります。
Windows Vista では、バイオメトリクスやトークンなど、代替の認証方法を追加するために改良されたアーキテクチャが導入されます。
次の表では、認証機能と利点について説明します。
| 機能 | 説明 | 利点 |
Winlogon の再構築されたアーキテクチャ | 独立系ソフトウェア ベンダや組織は、資格情報プロバイダを作成することにより、バイオメトリクスやトークンなどの独自の認証方法を実装できます。資格情報プロバイダ モデルは、Graphical Identification and Authorization (GINA) の置き換えよりもはるかに単純です。 | 資格情報プロバイダは、GINA の置き換えよりもはるかに簡単に作成できます。また、複数のプロバイダを共存させることもできます。 |
承認
承認されたユーザーのみが機密データにアクセスできるようにすることが容易になることには重要な意味があります。Windows Vista では、権限の管理に関する機能が強化されています。これにより、知的財産を一貫して管理することができます。開発者は、デジタル コンテンツに関連する権限と条件を表すために、XrML (Extensible Rights Markup Language) に対するサポートを検索します。開発者向けにアクセス制御リストが新しくマネージ コードで実装されます。
次の表では、Windows Vista に同梱されている承認機能の利点について説明します。
| 機能 | 説明 | 利点 |
Windows Rights Management Services (RMS) クライアント | スマート カードの統合、より長いキー、および企業間 (B2B) の特殊情報の交換のサポートを提供します。 | 企業ユーザーが重要なデジタル情報を制御および保護するのに役立ちます。 |
承認マネージャ | 役割ベースのアクセス制御 (RBAC) で必要なアプリケーションのサポートを強化し、役割の定義と割り当ての制御を強化します。 | スケーラビリティとパフォーマンスが大幅に向上します。 |
XrML (eXtensible Rights Markup Language) | XrML 2.0 および XrML 1.2 をサポートします。これらは、デジタル コンテンツに関連する権限や条件を表すために使用されます。 | XrML により、優れた権限の説明、複雑な階層、および組み込みセキュリティが提供されます。この組み込みセキュリティでは、複雑なソフトウェア ライセンスのシナリオが可能になり、宣言によるポリシーを使用した新しいデジタル ライセンス ビジネス モデルを展開できます。 |
マネージ アクセス制御リスト (MACL) | Microsoft .NET Framework では新しくマネージ コードでアクセス制御リストを実装できるようになります。 | アプリケーションのセキュリティを向上し、コード内のオブジェクトのセキュリティ保護を容易にする、開発者向けのクラスの新しいライブラリが含まれます。 |
資格情報の管理
多くの組織にとって、資格情報 (パスワードや証明書など) および資格情報を保持するハードウェア (スマート カードなど) の管理が課題になります。Windows Vista には、新しいデジタル ID 管理システム (DIMS) や新しい証明書登録プロセスなど、移動ユーザーの資格情報管理をサポートするのに役立つ新しいツールがあります。スマート カードは、セルフサービス暗証番号 (PIN) リセット ツールなどの新しいスマート カード管理ツールを使用してより簡単に展開できます。小規模企業やユーザーの場合は、現在、[Stored User Names and Passwords (ユーザー名およびパスワードの保存)] で格納された資格情報をバックアップおよび復元することができます。
次の表では、強化された資格情報管理をサポートする機能の利点について説明します。
| 機能 | 説明 | 利点 |
[Stored User Names and Passwords (ユーザー名およびパスワードの保存)] の強化 | ユーザーの資格情報をバックアップおよび復元します。 | ドメインに接続していないユーザーおよび信頼関係のない複数のドメイン内のリソースにアクセスする必要のあるユーザーが、簡単にネットワーク リソースにアクセスできます。 |
X.509 の登録 | 開発者向けの機能豊富なアプリケーション プログラミング インターフェイス (API) クラスや優れたユーザー エクスペリエンスを使って、登録プロセスを刷新しました。 | クライアントの証明書管理機能、管理者の証明書登録管理機能、ヘルプ デスク技術者の登録に関する問題の解決機能が向上します。 |
デジタル ID 管理システム (Digital Identity Management System) | Microsoft Active Directory® フォレスト内の証明書と資格情報の移動、およびエンド ツー エンドの証明書ライフサイクル管理シナリオを提供します。 | 移動ユーザープロファイルを使用する必要なく、X.509 証明書の移動が実現します。ユーザーは、フォレスト内のすべてのコンピュータに 1 組の証明書を使用および管理できます。 |
スマート カードの管理 | セルフサービス 暗証番号(PIN) リセット ツールなどの展開と管理のツールを提供し、スマート カードをより簡単に管理できるようにします。 | スマート カード開発者にとって一般的な API モデルなので、ツールの開発が簡単になります。 |
暗号化サービス
暗号化は、Windows の認証と承認の各サービスの重要な要素です。Windows Vista は、多くの政府や組織が要求してきた Crypto Next Generation (CNG) サービスを提供します。初回リリースでは、CNG により、Secure Sockets Layer/Transport Layer Security (SSL/TLS) やインターネット プロトコル セキュリティ (IPsec) 用の新しいアルゴリズムを Windows に追加できるようになります。また、Windows Vista には、新しいセキュリティ プロセッサが用意されており、権限管理などのサービスについての決定事項を信頼できるようにします。
次の表では、暗号化サービスをサポートする機能とその利点について説明します。
| 機能 | 説明 | 利点 |
暗号化ファイル システム (EFS) | スマート カードに EFS キーを保存できるようにします。 | 管理者がネットワーク上で EFS を管理する機能が強化されます。 |
Crypto Next Generation (CNG) | 新しいアルゴリズムをシステムに簡単に追加できるようにする API とインフラストラクチャを提供します。SSL/TLS と IPSec をサポートします。 | 米国政府は、2007 年までにすべてのアプリケーションで Suite B 暗号化インフラストラクチャを実現することを要求しています。CNG は、Windows Vista でこれらの新機能を実装します。 |
セキュリティ プロセッサ | アプリケーションやプロセスがアクセス元のコンポーネントを信頼できるようにするモジュール形式の認証を提供します。 | コードとコード マニフェストの整合性を実現します。 |
スマート カード インフラストラクチャ | 一般的なカード モジュールを使用してあらゆる種類のカードに共通の暗号化サービス プロバイダ (CSP) を提供し、ドメインへの参加をサポートします。 | 共通の CSP により、スマート カードをより簡単に取得および展開できます。 |