GartnerのKleynhans氏は、「この機能は、組織内を移動するデータを暗号化する。もし誤ったファイルを添付した電子メールを誤った宛先に送信し、組織外に流出してしまったとしても、読み取ることはできず、そのデータは暗号化される。しかし、組織内の人は問題なく中身を読むことができる」と述べている。
MicrosoftはWindows 10に関して、個人データに影響を及ぼすことなく企業データだけを端末から消去できる機能や、問題の追跡や是正措置のために使用できる監査ログの機能を強調してきた。モバイル端末管理(MDM)システムと併用して、「Office」ユニバーサルアプリ内の企業データを保護することも可能になる。
Device Guardこの機能を使えば、従来のデスクトップアプリや「Windows Store」アプリ、社内用アプリにかかわらず、信頼できるソフトウェア以外は端末で実行できないように制限をかけることができる。
Microsoftによると、この機能により、Windowsカーネルを乗っ取った攻撃者に悪意のあるコードを実行される「可能性も大幅に低くなる」という。
「Device Guard」はWindows 10 Enterpriseの新しい仮想化ベースのセキュリティを利用して、プロセスを制御する「Code Integrity」サービスをMicrosoft Windowsカーネル自体から分離する。これにより、同サービスで企業の管理するポリシーで定義された署名を利用して、信頼できるものを特定することができる。
GartnerのKleynhans氏は、「OSをそのハードウェアにロックすることができる。そのハードウェアでは、それ以外のものは何もブートできない」と語っている。
「すべて消去して、何か別のものをマシンにリロードすることを、不可能ではないにせよ極めて困難にすることができる」(同氏)
Microsoftによると、このホワイトリスト的なアプローチはマルウェア、特にコードを改変してアンチウイルスソフトウェアで検出されないようにするソフトウェアがマシン上で実行されるのを阻止するのに効果的だという。ハードウェアに組み込まれた技術と仮想化を利用して、Code Integrityサービスをサンドボックス化することは、Windowsをカーネルレベルで攻撃して、従来のウイルスおよびマルウェア対策に干渉することもあるエクスプロイトの阻止にも役立つだろう。
Device Guardには、さまざまなハードウェア機能やソフトウェア設定が必要だ。具体的には、2.3.1以降のUEFIのほか、「Intel VT-x」や「AMD-V」「SLAT」といった仮想化拡張機能が有効になっている必要もある。さらに、64ビット版のWindows、「Intel VT-d」や「AMD-Vi」などのIOMMU、「TPM 2.0」、BIOSロックも必要である。
Hewlett-Packard(HP)やAcer、Lenovo、東芝、富士通などが、こうしたMicrosoftの新しいセキュリティコントロール向けに設計されたシステムを製造する予定だ。
プロビジョニングパッケージこの機能を利用すれば、Window 10マシンを過去のWindowバージョンよりもシンプルにセットアップすることができる。
IT管理者はOSの構成、インストールすべきアプリや証明書を決定し、端末をMDMスイートに登録、ユーザーの権限などを設定するプロビジョニングパッケージルールを構成できる。