Microsoftは2017年7月末に、主に教育分野向けのWindows 10の新しいエディション(SKU)である「Windows 10 S」のISOイメージをMSDN(Microsoft Developer Network)サブスクライバーに対して公開しました。また、8月に入ると、Windows 10 Pro、Pro Education、Enterprise、Educationの正規ライセンスを持つユーザーに対して、そのPCをWindows 10 Sにアップグレードしてテストできるツール(実体は「アップグレードアシスタント」によるダウンロードと新規インストール)を公開しました。

皆さんは、Windows 10 Sについてご存じですか。「ストアから入手したアプリだけを実行でき、コマンドプロンプトやPowerShellは使えない」という特徴を知っている人も多いと思います。先に指摘しておきますが“ストアアプリだけを実行可能”という特徴から、Windows 8にあったARMプロセッサ版「Windows RT」の新しいバージョンと思っている人がいるかもしれませんが全く違います。

Windows 10 Sは99%以上(この数字は単なる表現であり、適当なものです)がWindows 10 Proと同じものであり、実行可能な操作が制限され、ロックダウンされたものです。これについては、筆者の個人的な評価レポートをブログにまとめています。

さて、Windows 10 Sで許可されていないアプリケーション(例えば、Windows標準の「コマンドプロンプト」)を実行しようとすると、メッセージが表示されて、ブロックされます(Microsoft Edge経由でダウンロードしたプログラムを実行しようとした場合は、もっとグラフィカルな表示になります)。メッセージこそ異なりますが、Device Guardでブロックされたときの様子とよく似ていませんか。

実際、Device Guardを構成した場合と同様に、ブロックされた履歴はイベントログの「Microsoft-Windows-CodeIntegrity/Operational」ログに、ソース「CodeIntegrity」、イベントID「3081」のエラーとして記録されていました。エラーの中身は「that did not meet the Enterprise Signing Level requirements or violated code integrity policy.」(エンタープライズ署名レベルの要件を満たしていないか、コード整合ポリシーに違反しています)となっています。ちなみに、「イベントビューアー」の使用はWindows 10 Sでもブロックされません。

MicrosoftはWindows 10 Sの提供に先立ち、Device Guardのコード整合性ポリシーを利用して、Windows 10 Sと同等のブロック機能をテストすることができる、カスタマイズ済みのコード整合性ポリシーを提供していました。以下のチュートリアルに「To do test your app, you can apply a Device Guard Code Integrity policy on a device that is running Windows 10 Pro」と書いてある通り、Device Guardのコード整合性ポリシーをWindows 10 Proに適用できるのです。チュートリアルに従って実際に試してみると、確かにブロックされました。ブロックされたときのメッセージは、Windows 10 EnterpriseでDevice Guardを構成したときと全く同じです。

 

 

 

【関連記事】

思わぬ落とし穴……ストアで買った「Adobe Photoshop」が「Windows 10 S」で動かない

MS、「Windows 10 Pro for Workstations」発表--今秋リリース