More Related Content Similar to System Center 2012, Endpoint Protectionの運用 (20) System Center 2012, Endpoint Protectionの運用2. 自己紹介
Copyright 2013 Sophia Network Ltd.2
Microsoft MVP for Directory Services
(2006~2014)
マイクロソフト認定トレーナー
(1997~)
ブログ
Always on the clock
@sophiakunii
株式会社ソフィアネットワーク 所属
ブログ + 連載
3. リリースされました
System Center 2012 Configuration Manager Service Pack 1
評価ガイド - System Center 2012 Endpoint Protection 管理編
http://bit.ly/16pOC0g
Copyright 2013 Sophia Network Ltd.3
4. System Center Endpoint Protection (SCEP) とは?
マイクロソフトが提供するクライアント向けマルウェア対策ソフトウェアで、
かつてはForefrontのブランドで提供されていた
現在では、System Center Configuration Manager 2012の
コンポーネントとして提供されている
定義ファイルはマイクロソフト(Microsoft Update)から提供
Copyright 2013 Sophia Network Ltd.4
2005年
2007年
2010年 2012年
7. マルウェアの現状
米国の戦略国際問題研究所(CSIS: Center for Strategic and
International Studies)が2013年2月に発表した調査報告書では、
マルウェアの現状について次のような報告がなされている
成功したセキュリティ侵害の90%以上は最も基本的なテクニックのみ使用
難しい/高価な対策でなければ防げないセキュリティ侵害はたったの3%
96%のセキュリティ侵害は単純または中程度の管理策の実施により防げた
75%の攻撃は公開された脆弱性を利用しており、日々のパッチ作業で防げた
参考元:Raising the Bar for Cybersecurity
http://csis.org/publication/raising-bar-cybersecurity
Copyright 2013 Sophia Network Ltd.7
26. 定義ファイルの構成
C:¥ProgramData¥Microsoft¥Microsoft Antimalware¥Definition Updatesフォルダーに保存
Copyright 2013 Sophia Network Ltd.26
定義ファイル 説明
MpAvBase.vdm
ファイルには、ウイルス対策の基本定義モジュールが含まれます。このファイルは通常はマイクロソフトによって月に 1
回だけ更新され、差分定義の作成に使用される基本ウイルス情報が含まれます。
MpAvDlta.vdm
ファイルには、ウイルス対策の差分定義モジュールが含まれます。このファイルは通常はマイクロソフトによって 1 日に
何回も更新され、最後のウイルス対策ベースが作成されてから発生したすべての変更が含まれます。
MpAsBase.vdm
ファイルには、スパイウェア対策の基本定義モジュールが含まれます。このファイルは通常はマイクロソフトによって月に
1 回だけ更新され、差分定義の作成に使用される基本のスパイウェア ソフトウェア情報および他の迷惑を及ぼす
可能性のあるソフトウェアの情報が含まれます。
MpAsDlta.vdm
ファイルには、スパイウェア対策の差分定義モジュールが含まれます。このファイルは通常はマイクロソフトによって 1
週間に何回も更新され、最後のスパイウェア対策ベースが作成されてから発生したすべての変更が含まれます。
MpEngine.dll
ファイルには、マイクロソフトのマルウェア対策エンジンが含まれます。前記の .vdm ファイルは、マルウェア対策エンジ
ンがシステム リソースでマルウェアを検索するときに参照されます。システム リソースとしては、ファイル、プロセス、レジ
ストリ キーなどがあります。このファイルは、通常は月に 1 回だけ更新されます。
サポート技術情報 KB977939より※このほか、Network Inspection Systemのシグネチャがあります。
35. セキュアブート
Copyright 2013 Sophia Network Ltd.35
Windows 7 BIOS
OS Loader
(Malware)
3rd Party Drivers
(Malware)
Anti-Malware
Software Start
Windows Logon
Windows 8 Native UEFI
Windows 8
OS Loader
Anti-Malware
Software Start
3rd Party Drivers Windows Logon
• マルウェアはWindows起動前に起動が可能
• マルウェアは検出される前に自身を隠す動作が可能
• マルウェア対策ソフトが起動する前に感染してしまう
• セキュアブートはブート時にマルウェア対策ソフトを起動可能
• Early Load Anti-Malware (ELAM) ドライバによって実現
• サードパーティのドライバが実行される前にマルウェア対策ソフトを起動し、
ELAM ドライバ経由でマルウェアスキャンを実行
36. Measured ブート
Copyright 2013 Sophia Network Ltd.36
Windows 8 UEFI
Windows 8
OS Loader
Windows
Kernel &
Drivers
Anti-Malware
Software
3rd Party
Drivers
Remote
Attestation
Windows 7 BIOS
MBR & Boot
Sector
OS Loader
Kernel
Initialization
3rd Party
Drivers
Anti-Malware
Software Start
• 起動中のブートプロセスの改ざんはBitLocker + TPMを
有効にしていたときだけチェックできていた
• TPMに起動コンポーネントを格納し、起動時に前回起動時と
起動コンポーネントが異なるかチェック
• すべての起動コンポーネントが対象
43. MAPS (Microsoft Active Protection Service)
マイクロソフトが提供するサービスで
PCで発見したマルウェアのサンプル
をマイクロソフトへ提供し、その内容に
基づいて新たな定義ファイルを作成する
動作概要
1. ヒューリスティックスキャンの結果、
悪質「と思われる」プロセスを検出
2. MAPSからサンプルを要求
3. MAPSへサンプルを提出
4. サンプルをもとにシグネチャを作成・提供
(定義ファイル取得のタイミングを待たずに
リアルタイムで取得可能)
Copyright 2013 Sophia Network Ltd.43
RESEARCHERS REPUTATION
REAL-TIME
SIGNATURE
DELIVERY
BEHAVIOR
CLASSIFIERS
Microsoft Active
Protection Service
Properties/
Behavior
Real-time
signature
Sample
request
Sample
submit
1 2 3 4