Submit Search
Upload
プラットフォームセキュリティin Windows ブートタイム保護 概要編
•
8 likes
•
3,908 views
Yurika Kakiuchi
Follow
勉強会資料:プラットフォームセキュリティin Windows ブートタイム保護 概要編
Read less
Read more
Software
Report
Share
Report
Share
1 of 27
Download now
Download to read offline
Recommended
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
TAKUYA OHTA
自動化を支えるCI/CDツールの私の選択 ~何をするためにCI/CDツールを選ぶか~
自動化を支えるCI/CDツールの私の選択 ~何をするためにCI/CDツールを選ぶか~
Recruit Lifestyle Co., Ltd.
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
これから始める人のための自動化入門 〜Ubuntu Jujuを使って〜
これから始める人のための自動化入門 〜Ubuntu Jujuを使って〜
VirtualTech Japan Inc.
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
TAKUYA OHTA
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
まだ脆弱性対応で手間取ってるの?Nessusを使ってみよう
まだ脆弱性対応で手間取ってるの?Nessusを使ってみよう
Suguru Ito
Recommended
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
TAKUYA OHTA
自動化を支えるCI/CDツールの私の選択 ~何をするためにCI/CDツールを選ぶか~
自動化を支えるCI/CDツールの私の選択 ~何をするためにCI/CDツールを選ぶか~
Recruit Lifestyle Co., Ltd.
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
これから始める人のための自動化入門 〜Ubuntu Jujuを使って〜
これから始める人のための自動化入門 〜Ubuntu Jujuを使って〜
VirtualTech Japan Inc.
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
TAKUYA OHTA
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
まだ脆弱性対応で手間取ってるの?Nessusを使ってみよう
まだ脆弱性対応で手間取ってるの?Nessusを使ってみよう
Suguru Ito
ネットワークエンジニア的Ansibleの始め方
ネットワークエンジニア的Ansibleの始め方
akira6592
ARM Trusted FirmwareのBL31を単体で使う!
ARM Trusted FirmwareのBL31を単体で使う!
Mr. Vengineer
OpenStack & Ansible で実現する自動化
OpenStack & Ansible で実現する自動化
Hideki Saito
WPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャン
OWASP Nagoya
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
TAKUYA OHTA
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編
abend_cve_9999_0001
できる!KickstartとAnsible!
できる!KickstartとAnsible!
Wataru NOGUCHI
サーバ構築を自動化する 〜Ansible〜
サーバ構築を自動化する 〜Ansible〜
Yui Ito
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
TAKUYA OHTA
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
Kuniyasu Suzaki
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(応用編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(応用編)
シスコシステムズ合同会社
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコシステムズ合同会社
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
wind06106
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
Hironobu Isoda
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
TAKUYA OHTA
KubernetesバックアップツールVeleroとちょっとした苦労話
KubernetesバックアップツールVeleroとちょっとした苦労話
imurata8203
vSphere環境での自動化とテスト
vSphere環境での自動化とテスト
富士通クラウドテクノロジーズ株式会社
[AKIBA.AWS] VPN接続とルーティングの基礎
[AKIBA.AWS] VPN接続とルーティングの基礎
Shuji Kikuchi
Yocto bspを作ってみた
Yocto bspを作ってみた
wata2ki
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Microsoft Tech Summit 2017
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
TAKUYA OHTA
More Related Content
What's hot
ネットワークエンジニア的Ansibleの始め方
ネットワークエンジニア的Ansibleの始め方
akira6592
ARM Trusted FirmwareのBL31を単体で使う!
ARM Trusted FirmwareのBL31を単体で使う!
Mr. Vengineer
OpenStack & Ansible で実現する自動化
OpenStack & Ansible で実現する自動化
Hideki Saito
WPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャン
OWASP Nagoya
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
TAKUYA OHTA
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編
abend_cve_9999_0001
できる!KickstartとAnsible!
できる!KickstartとAnsible!
Wataru NOGUCHI
サーバ構築を自動化する 〜Ansible〜
サーバ構築を自動化する 〜Ansible〜
Yui Ito
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
TAKUYA OHTA
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
Kuniyasu Suzaki
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(応用編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(応用編)
シスコシステムズ合同会社
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコシステムズ合同会社
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
wind06106
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
Hironobu Isoda
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
TAKUYA OHTA
KubernetesバックアップツールVeleroとちょっとした苦労話
KubernetesバックアップツールVeleroとちょっとした苦労話
imurata8203
vSphere環境での自動化とテスト
vSphere環境での自動化とテスト
富士通クラウドテクノロジーズ株式会社
[AKIBA.AWS] VPN接続とルーティングの基礎
[AKIBA.AWS] VPN接続とルーティングの基礎
Shuji Kikuchi
Yocto bspを作ってみた
Yocto bspを作ってみた
wata2ki
What's hot
(20)
ネットワークエンジニア的Ansibleの始め方
ネットワークエンジニア的Ansibleの始め方
ARM Trusted FirmwareのBL31を単体で使う!
ARM Trusted FirmwareのBL31を単体で使う!
OpenStack & Ansible で実現する自動化
OpenStack & Ansible で実現する自動化
WPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャン
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編
できる!KickstartとAnsible!
できる!KickstartとAnsible!
サーバ構築を自動化する 〜Ansible〜
サーバ構築を自動化する 〜Ansible〜
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(応用編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(応用編)
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
KubernetesバックアップツールVeleroとちょっとした苦労話
KubernetesバックアップツールVeleroとちょっとした苦労話
vSphere環境での自動化とテスト
vSphere環境での自動化とテスト
[AKIBA.AWS] VPN接続とルーティングの基礎
[AKIBA.AWS] VPN接続とルーティングの基礎
Yocto bspを作ってみた
Yocto bspを作ってみた
Similar to プラットフォームセキュリティin Windows ブートタイム保護 概要編
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Microsoft Tech Summit 2017
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
TAKUYA OHTA
Sec014 ゼロデイ攻撃やラ
Sec014 ゼロデイ攻撃やラ
Tech Summit 2016
Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311
Kuniyasu Suzaki
Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311
guestec25d2
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
Takashi Kanai
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
S06_Microsoft Surface と Microsoft 365 が実現するモダン エンドポイント デバイス セキュリティ [Microsoft...
S06_Microsoft Surface と Microsoft 365 が実現するモダン エンドポイント デバイス セキュリティ [Microsoft...
日本マイクロソフト株式会社
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
2009-03-24 第3回セキュアVMシンポジウム
2009-03-24 第3回セキュアVMシンポジウム
Takahiro Shinagawa
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
Toshiharu Harada, Ph.D
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
kumo2010
Bitvisorをベースとした既存Windowsのドライバメモリ保護
Bitvisorをベースとした既存Windowsのドライバメモリ保護
Kuniyasu Suzaki
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
日本マイクロソフト株式会社
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Ruo Ando
App controllerとwindows azure packで作る大規模プライベートクラウド
App controllerとwindows azure packで作る大規模プライベートクラウド
Takashi Kanai
SCCM を用いた OS 展開
SCCM を用いた OS 展開
Yutaro Tamai
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
de:code 2017
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
Shinichiro Kawano
新登場! Windows Defender Application Guard 解説 ~ Microsoft Edge がセキュア ブラウザーに!?~
新登場! Windows Defender Application Guard 解説 ~ Microsoft Edge がセキュア ブラウザーに!?~
TAKUYA OHTA
Similar to プラットフォームセキュリティin Windows ブートタイム保護 概要編
(20)
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
Sec014 ゼロデイ攻撃やラ
Sec014 ゼロデイ攻撃やラ
Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311
Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
S06_Microsoft Surface と Microsoft 365 が実現するモダン エンドポイント デバイス セキュリティ [Microsoft...
S06_Microsoft Surface と Microsoft 365 が実現するモダン エンドポイント デバイス セキュリティ [Microsoft...
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
2009-03-24 第3回セキュアVMシンポジウム
2009-03-24 第3回セキュアVMシンポジウム
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
Bitvisorをベースとした既存Windowsのドライバメモリ保護
Bitvisorをベースとした既存Windowsのドライバメモリ保護
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
【de:code 2020】 リモートワークの端末を安全に使ってもらおう どこがパワフル Microsoft Endpoint Manager の Wi...
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
App controllerとwindows azure packで作る大規模プライベートクラウド
App controllerとwindows azure packで作る大規模プライベートクラウド
SCCM を用いた OS 展開
SCCM を用いた OS 展開
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
新登場! Windows Defender Application Guard 解説 ~ Microsoft Edge がセキュア ブラウザーに!?~
新登場! Windows Defender Application Guard 解説 ~ Microsoft Edge がセキュア ブラウザーに!?~
プラットフォームセキュリティin Windows ブートタイム保護 概要編
1.
プラットフォーム セキュリティ in
Windows ブートタイム保護 概要編 Yurika Kakiuchi Security Program Manager Security Response Team Microsoft Corporation CISSP @Eurekaberry
2.
セキュリティ境界の変化 [Archive] Ten Immutable
Laws Of Security (Version 2.0) https://docs.microsoft.com/en-us/archive/blogs/rhalbheer/ten-immutable-laws-of-security-version-2-0 © Copyright Microsoft Corporation. All rights reserved. 2
3.
Malicious code cannot persist
on a device. Violations of promises are observable. All apps and system components have only the privilege they need. All code executes with integrity. User identities cannot be compromised, spoofed, or stolen. Attacker with casual physical access cannot modify data or code on the device. © Copyright Microsoft Corporation. All rights reserved. 3
4.
ブート時の保護 in Windows
概要 © Copyright Microsoft Corporation. All rights reserved. 4
5.
管理者 Microsoft Defender ATP Intelligent Security
Graph Intelligence from security partners Microsoft Threat Research Telemetry Microsoft SoC クライアント Microsoft Intune Azure AD Windows Defender Antivirus: マルウェアスキャン、検出 Windows Defender Firewall: ネットワークファイアウォール Windows Defender SmartScreen: 悪意のあるサイトのブロック Windows Defender System Guard: プラットフォームの整合性の保証機能の総称 Windows Defender Device Guard: デバイスの保護とロックダウン機能 Windows Defender Exploit Guard: エクスプロイト緩和機能 Windows Defender Credential Guard: 資格情報の保護 (Virtualized based Security) Windows Defender Application Guard: アプリケーションの分離と保護 Windows defender Application Control: アプリケーションのロックダウン機能 (Device Guard の一部) © Copyright Microsoft Corporation. All rights reserved. 5
6.
Windows Defender System
Guard ブート時および起動中の整合性を担保し、 アテステーションによる検証を可能とする技術の総称 Secure Boot, Secure Launch KMCI Windows Defender Credential Guard Windows Defender Device Guard Windows Defender Exploit Guard Virtualized TPM © Copyright Microsoft Corporation. All rights reserved. 6
7.
ブート時の保護 in Windows
概要 © Copyright Microsoft Corporation. All rights reserved. 7
8.
Secure Boot Windows
8 以降 SRTM 各ブートのコンポーネントを順次検証 OEMが製造時に NV-RAM に検証のた めのデータを格納、signature database db, revoked signature database dbx, Key Enrollment database KEK, platform key (PK). Microsoft KEK UEFI ファームウェアへの信頼が低下 FEFI rootkit (Lojax) reported by ESET © Copyright Microsoft Corporation. All rights reserved. 8 TCGLogs
9.
Secure Launch (Windows
10 1809+) DRTM, (Intel TXT, AMD, Qualcomm) UEFI への侵害を前提に、UEFIに依存しない安全なブート 動的に Root of trust measurement を実行 Code integrity Policy, Hypervisor, kernel hashes, UEFI Vars, etc… © Copyright Microsoft Corporation. All rights reserved. 9
10.
System Management Mode
(SMM) protection SMMによるリスク 高い特権 (ring-2) で実行され、OSには見えない Secure Launch やVBS のバイパスのリスクがある Intel Runtime BIOS Resilience を活用した保護 Paging Protection SMM エントリーポイント、メモリマップ、ページプロパティ のロックダウン OS/HV メモリへのアクセスを防止 SMM hardware supervision and attestation Microsoft SMM Paging Audit © Copyright Microsoft Corporation. All rights reserved. 10 BootCode/BootData MMIO SMRAM Reseved ACPINvs RuntimeCode/RuntimeData ACPI Reclaim BootCode/BootData LoaderCode/LoaderData
11.
Windows DMA-r Attack
Protection (Windows 1809+) DMAを介した攻撃からの防御 IOMMU を利用 新たに接続された Thunderbolt™ 3 デバイスをユーザーがログインし ロック解除するまで、 ブロック ブート時のIOMMU (See Project Mu) Connect peripheral New devices are enumerated and functioning OSUser Peripheral Drivers opted- in DMAr? Yes Enable DMAr for the peripherals No User logged in AND Screen unlocked? No Wait for user to login/ unlock screen Yes © Copyright Microsoft Corporation. All rights reserved. 11
12.
ブート時の保護 in Windows
概要 © Copyright Microsoft Corporation. All rights reserved. 12
13.
Virtualization-based security (VBS) •
Windows 10+ の多くのセキュリティ機能の基礎 • Hypervisor, SLAT, IOMMU をベースとした 仮想化による保護技術 © Copyright Microsoft Corporation. All rights reserved. 13
14.
Hypervisor-protected Code Integrity
(HVCI) Virtualization based Security を利用した カーネルドライバのコード整合性 SLAT を利用したメモリ管理 整合性チェックをVTL1で実行 アサインされたメモリはRX only Mode-Based Execute (MBE) control Extended Page Tables (EPT) XU for user pages XS for supervisor pages KMS and UMX hardware bits Windows 10 1803以降既定で有効 (MBEC/Kaby Lake+) © Copyright Microsoft Corporation. All rights reserved. 14
15.
Early Launch Anti-Malware
(ELAM) マイクロソフトが認定する特定のAVドライバ Microsoft Virus Initiative (MVI) Windows Hardware Quality Lab (WHQL) signed 他の3rd Party カーネルドライバよりも先に起動 ELAMが他のドライバを検証しカーネルが ロード・初期化判断 © Copyright Microsoft Corporation. All rights reserved. 15 TCGLogs
16.
ブート時の保護 in Windows
概要 © Copyright Microsoft Corporation. All rights reserved. 16
17.
Windows Defender Device
Guard デバイスのロックダウン 機能 KMCI UMCI +VBS = HVCI Windows Defender Application Control (WDAC) © Copyright Microsoft Corporation. All rights reserved. 17
18.
Windows Defender Exploit
Guard エクスプロイトを緩和し、Attack Surfaceを減少させる技術 © Copyright Microsoft Corporation. All rights reserved. 18
19.
Kernel Data Protection
Virtualization Based Security (VBS) を利用したKernel Data Corruption からの保護 カーネルのエクスプロイトの多くが System Structure Corruption エクスプロイトに利用されやすい data structures を対象 Static KDP: Static Data 保護 Dynamic KDP:Read-Only Pool Allocation © Copyright Microsoft Corporation. All rights reserved. 19
20.
ブート時の保護 in Windows
概要 © Copyright Microsoft Corporation. All rights reserved. 20
21.
Measured Boot UEFIを使ってファームウェアやブートローダ、 ブートドライバなどのハッシュを記録
そしてスタートアッププロセスの最後に、アテ ステーションサーバ(検証サーバ)でブートの 正当性の検証を行う TPM Platform Crypto-Provider Toolkit from Microsoft Research Microsoft Enterprise Security MVP Dan Griffin’s Measured Boot Tool. © Copyright Microsoft Corporation. All rights reserved. 21
22.
Windows Defender System
Guard Runtime Attestation Windows 実行中に実施するデ バイスのコード整合性の検証 Runtime report by WDSG RA Boot State, Measured boot log VBS Enclave内で生成された鍵ペア のプライベート鍵で署名 パブリック鍵は ASで署名されセッ ション証明書 ( Microsoft CA) Session report by AS デバイスの状態レポート © Copyright Microsoft Corporation. All rights reserved. 22
23.
UEFI Scanner • SPI
Flash のファームウェアを 読み出し、スキャンする • EPP Scanner: 悪意のあるマル ウェアの検出 • 例: Lojax DXE driver • EDR Anomaly detector • EDR にテレメトリを提供する • アノマリ検出を実行しMDATP ポー タルにアラートを出す Chipset Configuration Assessment Chipsetの構成をチェック EDR – Anomaly detector Telemetry sent to EDR backend alert ML model EPP Scanner EPP detection alert © Copyright Microsoft Corporation. All rights reserved. 23
24.
© Copyright Microsoft
Corporation. All rights reserved. 24
25.
プラットフォーム セキュリティのいま プラットフォームセキュリティの重要性が増加
CPS(Cyber-Physical System) ゼロ トラスト エクスプロイトの低レイヤー化とセキュリティ境界の変化 ハードウェアが提供するセキュリティの進化に伴う新たなセキュリティへの期待 新たなセキュリティ境界、効率の向上 OEM, Silicon Venders との協業 対応デバイスの課題 :Secure Core PC による取り組み © Copyright Microsoft Corporation. All rights reserved. 25
26.
Boot time protection Phase
Key Technologies Boot: Pre-Windows boot Power ON • Secure Boot (SRTM) • Secure Launch (DRTM) • SMM Protection • DMA Protection UEFI Config. Firmware VMM boot Windows Bootloader Boot: Windows Hypervisor & Windows Kernel Windows Kernel • Virtualized Based Security • Hypervisor-Protected Code Integrity (HVCI) • ELAM • Kernel DMA Protection • System Guard with DRTM Windows Drivers Windows System Files Anti-malware Drivers Boot: Drivers & other components 3rd party drivers • Device Guard • Exploit Guard • Kernel Data Protection System Defenses Services Login Measurement Measured Boot (Security Service 起動まで) WDSG Runtime Attestation UEFI Scanner © Copyright Microsoft Corporation. All rights reserved. 26
27.
© Copyright Microsoft
Corporation. All rights reserved.
Download now