Windows 11 の「カーネルモードハードウェア強制スタック保護」とは

このページでは、「カーネルモードハードウェア強制スタック保護」の機能と使用するための条件、および「オン」にした場合のデメリットを紹介します。

「カーネルモードハードウェア強制スタック保護」とは

「カーネルモードハードウェア強制スタック保護」は、Windows 11の「コア分離」というセキュリティ機能の一部であり、カーネルモードでのバッファオーバーフロー攻撃を防ぐための強力なセキュリティ機能です。

コア分離には、いくつかの機能が含まれており、その一つに「メモリ整合性」があります。

「カーネルモードハードウェア強制スタック保護」は、このメモリ整合性の一部として提供されています。

アプリケーションやゲームがローカル CPU のハードウェアを使用してコードを保護することを可能にし、その目的は、プログラム実行時にアプリケーションコードが格納されるメモリスタックを保護することです。

カーネルモードで実行されているコードの場合、CPUは、要求されたリターンアドレスを、シャドウスタックに格納されているアドレスの2番目のコピーを使用して確認し、攻撃者によって悪意のあるコードを実行するアドレスとして代用されるのを防ぎます。

Microsoft

「ローカルセキュリティ機関の保護」と合わせて使用するとセキュリティが強化されますので、企業などでは「オン」にしておくことをおすすめします。

注意！ Win11「ローカルセキュリティ機関の保護」が有効かどうかを確認する方法

「カーネルモードハードウェア強制スタック保護」機能を使用するための条件

「カーネルモードハードウェア強制スタック保護」は、BIOS での設定が必要な場合があり、サポートされていない CPU では使用することができません。

前提条件

• Windows 11 2022 更新プログラム以降
• Windows セキュリティ アプリ バージョン 1000.25330.0.9000 以降
• Intel Control-Flow Enforcement Technology (CET) または AMD Shadow Stacks をサポートするハードウェア。
  • Intel の場合、第 11 世代 Intel Core Mobile プロセッサと AMD Zen 3 Core (以降)。
• 仮想化ベースのセキュリティ (VBS) とハイパーバイザーによって適用されるコード整合性 (HVCI) が有効になります。

Microsoft

「カーネルモードハードウェア強制スタック保護」の機能を使用するためには、比較的新しい CPU が必要であり、次のような場合は設定で「オン」にすることができません。

• 古いアンチチートプログラム（ゲーム用）がインストールされている
• 古いキーボードやマウスのドライバーがインストールされている
• 特定のアプリ、または互換性のないドライバーがインストールされている

その場合は、「互換性のないドライバーとサービスを確認する」をクリックして確認します。

互換性のないドライバーとサービスが表示されていますので、それらを削除することで「カーネルモードハードウェア強制スタック保護」機能を使用することができるようになります。

また、メモリ整合性を「オン」にする必要があります。

メモリ整合性が有効でない場合、「カーネルモードハードウェア強制スタック保護」機能を使用することはできません。

「カーネルモードハードウェア強制スタック保護」を「オン」にするデメリット

「カーネルモードハードウェア強制スタック保護」を「オン」にするデメリットは、特定のアプリケーションが正常に機能しなくなる場合があるということです。

特定のドライバーのインストール及び読み込みができなくなるので、例えば、今まで問題なく動作していたプリンターなどのデバイスが動かなくなってしまう可能性があります。

筆者の環境では「Epic Games」の「フォートナイト」が起動できなくなることを確認しています。

「フォートナイト」をインストールした後に「カーネルモードハードウェア強制スタック保護」を「オン」にできたとしても、「フォートナイト」を起動することができません。

「Epic Games」のアンチチートプログラムも同様に読み込むことができなくなります。

このように、特定のアプリやデバイスが動かなくなるというデメリットがあるので注意が必要です。

「カーネルモードハードウェア強制スタック保護」は、企業におすすめの機能なので、個人で使用する PC で「オン」にする必要はないでしょう。