2018/05/18

保護されたプロセス(Protected Process)か否かの確認方法(NOD32 に関する追記あり)

Windows 10 の次期バージョン(RS5)では、ウイルス対策ソフトは「保護されたプロセス(Protected Process)」として実行するように Windows セキュリティ センター サービス(Security Center、wscsvc.dll のこと。SecurityHealthService の Windows Defender セキュリティ センターとは別もの)に登録することが要求されるようになるそうです。Insider Build 17672 からそうなっているそうです(非対応ソフトのために回避策あり)。

Announcing Windows 10 Insider Preview Build 17672 (MAY 16, 2018)
[URL] https://blogs.windows.com/windowsexperience/2018/05/16/announcing-windows-10-insider-preview-build-17672/

保護されたプロセスであるかないかは、Windows Sysinternals の Process Explorer(Procexp)(公式ダウンロード ページ)で確認できます。プロセス一覧のカラーが鮮やかなピンク(既定では表示されません)、「Protected」列(既定では表示されません)、「Security」タブの「Protected:」の値で確認できます。

Windows 10 バージョン 1803 に先日(5/9)正式対応したばかりの ESET NOD32 Antivirus v11.1 はというと、Windows 10 バージョン 1803 上では保護されたプロセスではなかった(↑Windows 10 バージョン 1803 +ekrn.exe)。

Windows Defender Antivirus は、もちろん既に対応済み(↓Windows 10 バージョン 1803 の MsMpEng.exe と NisSrv.exe、確か Windows 8.1 から対応済み)。

RS5 リリース時には、アップグレード時にいろんなマルウェア対策ソフトが引っ掛かるかもね。NOD32 さんは RS5 までに対応してくれることを期待。ていうか、現時点で対応しているのは、Windows 8.1 以降 と Windows Server 2016 以降の Windows Defender (ウイルス対策とネットワーク検査システム)くらいだと思う(サードベンダーも対応しているのあるかもしれないけど、私は知らない)。 5/21追記)Insider Build 17672 にしたら、NOD32 Antivirus v.11が保護されたプロセスとして実行されてました。現在のバージョン 1803 で保護されたプロセスで実行されているかどうかとはまた別の話のよう。
Windows 8.1のときに「保護されたプロセス」倶楽部(細かく言うと、Process Protected Light:PPL)と入会規約はできてたけど、これまでは実質内部者しか入会認めてなかったけど、Windows 10の次のバージョン(RS5)から資格のある外部者(Early-Launch AntiMalware:ELAM対応など)にも門戸を開いて、特別な保護(プロセス/スレッド情報の参照制限、プロセス停止不可など)をしてあげるみたいな感じなのかな(想像)。

保護されたプロセス(Protected Process)とはどういうものなのか、提供されるようになった経緯などの解説は、『インサイド Windows 第 7 版 上』(日経BP社)にもちろん書かれています。「第 3 章 プロセスとジョブ-3.3 保護されたプロセス(Protected Process)」や「第 4 章 スレッド-実習:Process Explorerを使用して保護されたプロセスのスレッドの情報を参照する」など。

新刊『インサイド Windows 第 7 版 上』本日発売(PR)(2018/04/27)

1 件のコメント:

山市 良 さんのコメント...

Windows 10 ver 1809 では、保護されたプロセス要件の実施は見送られたみたい。既定で無効になってました。HKLM\SOFTWARE\Microsoft\Security Center\Feature に DisableAvCheck (DWORD) = 1 が設定されています(新規、アップグレードどちらも)。