Yurika Kakiuchi, profile picture
Uploaded byYurika Kakiuchi
PDF, PPTX3,952 views

プラットフォームセキュリティin Windows ブートタイム保護 概要編

勉強会資料:プラットフォームセキュリティin Windows ブートタイム保護 概要編

Embed presentation

Download as PDF, PPTX
プラットフォーム セキュリティ in Windows ブートタイム保護 概要編 Yurika Kakiuchi Security Program Manager Security Response Team Microsoft Corporation CISSP @Eurekaberry
セキュリティ境界の変化 [Archive] Ten Immutable Laws Of Security (Version 2.0) https://docs.microsoft.com/en-us/archive/blogs/rhalbheer/ten-immutable-laws-of-security-version-2-0 © Copyright Microsoft Corporation. All rights reserved. 2
Malicious code cannot persist on a device. Violations of promises are observable. All apps and system components have only the privilege they need. All code executes with integrity. User identities cannot be compromised, spoofed, or stolen. Attacker with casual physical access cannot modify data or code on the device. © Copyright Microsoft Corporation. All rights reserved. 3
ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 4
管理者 Microsoft Defender ATP Intelligent Security Graph Intelligence from security partners Microsoft Threat Research Telemetry Microsoft SoC クライアント Microsoft Intune Azure AD Windows Defender Antivirus: マルウェアスキャン、検出 Windows Defender Firewall: ネットワークファイアウォール Windows Defender SmartScreen: 悪意のあるサイトのブロック Windows Defender System Guard: プラットフォームの整合性の保証機能の総称 Windows Defender Device Guard: デバイスの保護とロックダウン機能 Windows Defender Exploit Guard: エクスプロイト緩和機能 Windows Defender Credential Guard: 資格情報の保護 (Virtualized based Security) Windows Defender Application Guard: アプリケーションの分離と保護 Windows defender Application Control: アプリケーションのロックダウン機能 (Device Guard の一部) © Copyright Microsoft Corporation. All rights reserved. 5
Windows Defender System Guard  ブート時および起動中の整合性を担保し、 アテステーションによる検証を可能とする技術の総称  Secure Boot, Secure Launch  KMCI  Windows Defender Credential Guard  Windows Defender Device Guard  Windows Defender Exploit Guard  Virtualized TPM © Copyright Microsoft Corporation. All rights reserved. 6
ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 7
Secure Boot  Windows 8 以降  SRTM  各ブートのコンポーネントを順次検証  OEMが製造時に NV-RAM に検証のた めのデータを格納、signature database db, revoked signature database dbx, Key Enrollment database KEK, platform key (PK).  Microsoft KEK  UEFI ファームウェアへの信頼が低下  FEFI rootkit (Lojax) reported by ESET © Copyright Microsoft Corporation. All rights reserved. 8 TCGLogs
Secure Launch (Windows 10 1809+)  DRTM, (Intel TXT, AMD, Qualcomm)  UEFI への侵害を前提に、UEFIに依存しない安全なブート  動的に Root of trust measurement を実行  Code integrity Policy, Hypervisor, kernel hashes, UEFI Vars, etc… © Copyright Microsoft Corporation. All rights reserved. 9
System Management Mode (SMM) protection  SMMによるリスク  高い特権 (ring-2) で実行され、OSには見えない  Secure Launch やVBS のバイパスのリスクがある  Intel Runtime BIOS Resilience を活用した保護  Paging Protection  SMM エントリーポイント、メモリマップ、ページプロパティ のロックダウン  OS/HV メモリへのアクセスを防止  SMM hardware supervision and attestation  Microsoft SMM Paging Audit © Copyright Microsoft Corporation. All rights reserved. 10 BootCode/BootData MMIO SMRAM Reseved ACPINvs RuntimeCode/RuntimeData ACPI Reclaim BootCode/BootData LoaderCode/LoaderData
Windows DMA-r Attack Protection (Windows 1809+)  DMAを介した攻撃からの防御  IOMMU を利用  新たに接続された Thunderbolt™ 3 デバイスをユーザーがログインし ロック解除するまで、 ブロック  ブート時のIOMMU (See Project Mu) Connect peripheral New devices are enumerated and functioning OSUser Peripheral Drivers opted- in DMAr? Yes Enable DMAr for the peripherals No User logged in AND Screen unlocked? No Wait for user to login/ unlock screen Yes © Copyright Microsoft Corporation. All rights reserved. 11
ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 12
Virtualization-based security (VBS) • Windows 10+ の多くのセキュリティ機能の基礎 • Hypervisor, SLAT, IOMMU をベースとした 仮想化による保護技術 © Copyright Microsoft Corporation. All rights reserved. 13
Hypervisor-protected Code Integrity (HVCI)  Virtualization based Security を利用した カーネルドライバのコード整合性  SLAT を利用したメモリ管理  整合性チェックをVTL1で実行  アサインされたメモリはRX only  Mode-Based Execute (MBE) control  Extended Page Tables (EPT)  XU for user pages  XS for supervisor pages  KMS and UMX hardware bits  Windows 10 1803以降既定で有効 (MBEC/Kaby Lake+) © Copyright Microsoft Corporation. All rights reserved. 14
Early Launch Anti-Malware (ELAM)  マイクロソフトが認定する特定のAVドライバ  Microsoft Virus Initiative (MVI)  Windows Hardware Quality Lab (WHQL) signed  他の3rd Party カーネルドライバよりも先に起動  ELAMが他のドライバを検証しカーネルが ロード・初期化判断 © Copyright Microsoft Corporation. All rights reserved. 15 TCGLogs
ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 16
Windows Defender Device Guard  デバイスのロックダウン 機能  KMCI  UMCI  +VBS = HVCI  Windows Defender Application Control (WDAC) © Copyright Microsoft Corporation. All rights reserved. 17
Windows Defender Exploit Guard  エクスプロイトを緩和し、Attack Surfaceを減少させる技術 © Copyright Microsoft Corporation. All rights reserved. 18
Kernel Data Protection  Virtualization Based Security (VBS) を利用したKernel Data Corruption からの保護  カーネルのエクスプロイトの多くが System Structure Corruption  エクスプロイトに利用されやすい data structures を対象  Static KDP: Static Data 保護  Dynamic KDP:Read-Only Pool Allocation © Copyright Microsoft Corporation. All rights reserved. 19
ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 20
Measured Boot  UEFIを使ってファームウェアやブートローダ、 ブートドライバなどのハッシュを記録  そしてスタートアッププロセスの最後に、アテ ステーションサーバ(検証サーバ)でブートの 正当性の検証を行う  TPM Platform Crypto-Provider Toolkit from Microsoft Research  Microsoft Enterprise Security MVP Dan Griffin’s Measured Boot Tool. © Copyright Microsoft Corporation. All rights reserved. 21
Windows Defender System Guard Runtime Attestation  Windows 実行中に実施するデ バイスのコード整合性の検証  Runtime report by WDSG RA  Boot State, Measured boot log  VBS Enclave内で生成された鍵ペア のプライベート鍵で署名  パブリック鍵は ASで署名されセッ ション証明書 ( Microsoft CA)  Session report by AS  デバイスの状態レポート © Copyright Microsoft Corporation. All rights reserved. 22
UEFI Scanner • SPI Flash のファームウェアを 読み出し、スキャンする • EPP Scanner: 悪意のあるマル ウェアの検出 • 例: Lojax DXE driver • EDR Anomaly detector • EDR にテレメトリを提供する • アノマリ検出を実行しMDATP ポー タルにアラートを出す  Chipset Configuration Assessment  Chipsetの構成をチェック EDR – Anomaly detector Telemetry sent to EDR backend alert ML model EPP Scanner EPP detection alert © Copyright Microsoft Corporation. All rights reserved. 23
© Copyright Microsoft Corporation. All rights reserved. 24
プラットフォーム セキュリティのいま  プラットフォームセキュリティの重要性が増加  CPS(Cyber-Physical System)  ゼロ トラスト  エクスプロイトの低レイヤー化とセキュリティ境界の変化  ハードウェアが提供するセキュリティの進化に伴う新たなセキュリティへの期待  新たなセキュリティ境界、効率の向上  OEM, Silicon Venders との協業  対応デバイスの課題 :Secure Core PC による取り組み © Copyright Microsoft Corporation. All rights reserved. 25
Boot time protection Phase Key Technologies Boot: Pre-Windows boot Power ON • Secure Boot (SRTM) • Secure Launch (DRTM) • SMM Protection • DMA Protection UEFI Config. Firmware VMM boot Windows Bootloader Boot: Windows Hypervisor & Windows Kernel Windows Kernel • Virtualized Based Security • Hypervisor-Protected Code Integrity (HVCI) • ELAM • Kernel DMA Protection • System Guard with DRTM Windows Drivers Windows System Files Anti-malware Drivers Boot: Drivers & other components 3rd party drivers • Device Guard • Exploit Guard • Kernel Data Protection System Defenses Services Login Measurement Measured Boot (Security Service 起動まで) WDSG Runtime Attestation UEFI Scanner © Copyright Microsoft Corporation. All rights reserved. 26
© Copyright Microsoft Corporation. All rights reserved.

More Related Content

PDF
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
byTAKUYA OHTA
 
PDF
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
byTAKUYA OHTA
 
PDF
Sec013 その資格情報、簡
byTech Summit 2016
 
PPTX
Microsoft Intune を用いたパッチ管理
byYutaro Tamai
 
PDF
【第1回EMS勉強会】Autopilot設計時のポイント
byyokimura
 
PDF
S03_まずはここから!Microsoft 365 E3 でセキュリティの第一歩を踏み出す [Microsoft Japan Digital Days]
by日本マイクロソフト株式会社
 
PDF
Intuneによるパッチ管理
bySuguru Kunii
 
PDF
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
byTAKUYA OHTA
 
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
byTAKUYA OHTA
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
byTAKUYA OHTA
 
Sec013 その資格情報、簡
byTech Summit 2016
 
Microsoft Intune を用いたパッチ管理
byYutaro Tamai
 
【第1回EMS勉強会】Autopilot設計時のポイント
byyokimura
 
S03_まずはここから!Microsoft 365 E3 でセキュリティの第一歩を踏み出す [Microsoft Japan Digital Days]
by日本マイクロソフト株式会社
 
Intuneによるパッチ管理
bySuguru Kunii
 
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
byTAKUYA OHTA
 

What's hot

PPTX
PenTesterが知っている危ないAWS環境の共通点
byzaki4649
 
PDF
Active Directory 侵害と推奨対策
byYurika Kakiuchi
 
PDF
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
byNTT DATA Technology & Innovation
 
PDF
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
byTAKUYA OHTA
 
PDF
IT エンジニアのための 流し読み Windows - Windows 共有 PC モード
byTAKUYA OHTA
 
PPTX
OpenStackで始めるクラウド環境構築入門
byVirtualTech Japan Inc.
 
PDF
Dockerを支える技術
byEtsuji Nakai
 
PPTX
Azure Active Directory 利用開始への第一歩
byYusuke Kodama
 
PDF
パスワードのいらない世界へ~NTTドコモにおけるFIDO認証導入事例とエコシステムへの貢献
byFIDO Alliance
 
PDF
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
byTAKUYA OHTA
 
PDF
Javaはどのように動くのか~スライドでわかるJVMの仕組み
byChihiro Ito
 
PPTX
Hybrid Azure AD Join 動作の仕組みを徹底解説
byYusuke Kodama
 
PDF
そんなトランザクションマネージャで大丈夫か?
bytakezoe
 
PDF
Making Cassandra more capable, faster, and more reliable (at ApacheCon@Home 2...
byScalar, Inc.
 
PDF
統計情報のリセットによるautovacuumへの影響について(第39回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
祝!PostgreSQLレプリケーション10周年!徹底紹介!!
byNTT DATA Technology & Innovation
 
PDF
MesonでPostgreSQLをビルドしてみよう!(第39回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PDF
FIDOのキホン
byYahoo!デベロッパーネットワーク
 
PDF
とある診断員とAWS
byzaki4649
 
PenTesterが知っている危ないAWS環境の共通点
byzaki4649
 
Active Directory 侵害と推奨対策
byYurika Kakiuchi
 
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
byNTT DATA Technology & Innovation
 
IT エンジニアのための 流し読み Windows 10 - 超概要!Windows Defender シリーズ
byTAKUYA OHTA
 
IT エンジニアのための 流し読み Windows - Windows 共有 PC モード
byTAKUYA OHTA
 
OpenStackで始めるクラウド環境構築入門
byVirtualTech Japan Inc.
 
Dockerを支える技術
byEtsuji Nakai
 
Azure Active Directory 利用開始への第一歩
byYusuke Kodama
 
パスワードのいらない世界へ~NTTドコモにおけるFIDO認証導入事例とエコシステムへの貢献
byFIDO Alliance
 
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
byTAKUYA OHTA
 
Javaはどのように動くのか~スライドでわかるJVMの仕組み
byChihiro Ito
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
byYusuke Kodama
 
そんなトランザクションマネージャで大丈夫か?
bytakezoe
 
Making Cassandra more capable, faster, and more reliable (at ApacheCon@Home 2...
byScalar, Inc.
 
統計情報のリセットによるautovacuumへの影響について(第39回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
祝!PostgreSQLレプリケーション10周年!徹底紹介!!
byNTT DATA Technology & Innovation
 
MesonでPostgreSQLをビルドしてみよう!(第39回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
FIDOのキホン
byYahoo!デベロッパーネットワーク
 
とある診断員とAWS
byzaki4649
 

Similar to プラットフォームセキュリティin Windows ブートタイム保護 概要編

PDF
[Japan Tech summit 2017] DEP 003
byMicrosoft Tech Summit 2017
 
PDF
Sec014 ゼロデイ攻撃やラ
byTech Summit 2016
 
PDF
S06_Microsoft Surface と Microsoft 365 が実現するモダン エンドポイント デバイス セキュリティ [Microsoft...
by日本マイクロソフト株式会社
 
PDF
「NISTIR 8320 ハードウェア対応セキュリティ: クラウド・エッジコンピューティングのユースケース向け プラットフォームセキュリティの階層型アプ...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
[MR14] Windows 10 を クラウドで提供。 本邦初公開! Citrix XenDesktop Essentials の全容解明 ~ Citr...
byde:code 2017
 
PDF
Bitvisorをベースとした既存Windowsのドライバメモリ保護
byKuniyasu Suzaki
 
PDF
VMware vSphereとプラットフォーム・セキュリティー
byNaruhide Tonesaku
 
PDF
Virtual Machine Security on Cloud Computing 20090311
byKuniyasu Suzaki
 
PDF
Cloud VM Security on Cloud Computingi 20090311
byguestec25d2
 
PDF
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策
byTAKUYA OHTA
 
PDF
ハードウェア対応型セキュリティ動向とハイブリッド環境の鍵管理 (2024年4月3日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点
bydecode2016
 
PDF
Interact2015:Host Guardian Service ってなに?(仮)
bywind06106
 
PDF
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方
byMPN Japan
 
PDF
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
by日本マイクロソフト株式会社
 
PDF
2009-03-24 第3回セキュアVMシンポジウム
byTakahiro Shinagawa
 
PDF
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
byKuniyasu Suzaki
 
PDF
Sec015 クライアントへの
byTech Summit 2016
 
PPTX
Microsoft 365 で両立するセキュリティと働き方改革
byHiroyuki Komachi
 
PDF
仮想化技術によるマルウェア対策とその問題点
byKuniyasu Suzaki
 
[Japan Tech summit 2017] DEP 003
byMicrosoft Tech Summit 2017
 
Sec014 ゼロデイ攻撃やラ
byTech Summit 2016
 
S06_Microsoft Surface と Microsoft 365 が実現するモダン エンドポイント デバイス セキュリティ [Microsoft...
by日本マイクロソフト株式会社
 
「NISTIR 8320 ハードウェア対応セキュリティ: クラウド・エッジコンピューティングのユースケース向け プラットフォームセキュリティの階層型アプ...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
[MR14] Windows 10 を クラウドで提供。 本邦初公開! Citrix XenDesktop Essentials の全容解明 ~ Citr...
byde:code 2017
 
Bitvisorをベースとした既存Windowsのドライバメモリ保護
byKuniyasu Suzaki
 
VMware vSphereとプラットフォーム・セキュリティー
byNaruhide Tonesaku
 
Virtual Machine Security on Cloud Computing 20090311
byKuniyasu Suzaki
 
Cloud VM Security on Cloud Computingi 20090311
byguestec25d2
 
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策
byTAKUYA OHTA
 
ハードウェア対応型セキュリティ動向とハイブリッド環境の鍵管理 (2024年4月3日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点
bydecode2016
 
Interact2015:Host Guardian Service ってなに?(仮)
bywind06106
 
JPC2018[I4]クラウド時代のセキュリティ プラットフォームの作り方
byMPN Japan
 
S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]
by日本マイクロソフト株式会社
 
2009-03-24 第3回セキュアVMシンポジウム
byTakahiro Shinagawa
 
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
byKuniyasu Suzaki
 
Sec015 クライアントへの
byTech Summit 2016
 
Microsoft 365 で両立するセキュリティと働き方改革
byHiroyuki Komachi
 
仮想化技術によるマルウェア対策とその問題点
byKuniyasu Suzaki
 

プラットフォームセキュリティin Windows ブートタイム保護 概要編

  • 1.
    プラットフォーム セキュリティ inWindows ブートタイム保護 概要編 Yurika Kakiuchi Security Program Manager Security Response Team Microsoft Corporation CISSP @Eurekaberry
  • 2.
    セキュリティ境界の変化 [Archive] Ten ImmutableLaws Of Security (Version 2.0) https://docs.microsoft.com/en-us/archive/blogs/rhalbheer/ten-immutable-laws-of-security-version-2-0 © Copyright Microsoft Corporation. All rights reserved. 2
  • 3.
    Malicious code cannot persiston a device. Violations of promises are observable. All apps and system components have only the privilege they need. All code executes with integrity. User identities cannot be compromised, spoofed, or stolen. Attacker with casual physical access cannot modify data or code on the device. © Copyright Microsoft Corporation. All rights reserved. 3
  • 4.
    ブート時の保護 in Windows概要 © Copyright Microsoft Corporation. All rights reserved. 4
  • 5.
    管理者 Microsoft Defender ATP Intelligent SecurityGraph Intelligence from security partners Microsoft Threat Research Telemetry Microsoft SoC クライアント Microsoft Intune Azure AD Windows Defender Antivirus: マルウェアスキャン、検出 Windows Defender Firewall: ネットワークファイアウォール Windows Defender SmartScreen: 悪意のあるサイトのブロック Windows Defender System Guard: プラットフォームの整合性の保証機能の総称 Windows Defender Device Guard: デバイスの保護とロックダウン機能 Windows Defender Exploit Guard: エクスプロイト緩和機能 Windows Defender Credential Guard: 資格情報の保護 (Virtualized based Security) Windows Defender Application Guard: アプリケーションの分離と保護 Windows defender Application Control: アプリケーションのロックダウン機能 (Device Guard の一部) © Copyright Microsoft Corporation. All rights reserved. 5
  • 6.
    Windows Defender SystemGuard  ブート時および起動中の整合性を担保し、 アテステーションによる検証を可能とする技術の総称  Secure Boot, Secure Launch  KMCI  Windows Defender Credential Guard  Windows Defender Device Guard  Windows Defender Exploit Guard  Virtualized TPM © Copyright Microsoft Corporation. All rights reserved. 6
  • 7.
    ブート時の保護 in Windows概要 © Copyright Microsoft Corporation. All rights reserved. 7
  • 8.
    Secure Boot  Windows8 以降  SRTM  各ブートのコンポーネントを順次検証  OEMが製造時に NV-RAM に検証のた めのデータを格納、signature database db, revoked signature database dbx, Key Enrollment database KEK, platform key (PK).  Microsoft KEK  UEFI ファームウェアへの信頼が低下  FEFI rootkit (Lojax) reported by ESET © Copyright Microsoft Corporation. All rights reserved. 8 TCGLogs
  • 9.
    Secure Launch (Windows10 1809+)  DRTM, (Intel TXT, AMD, Qualcomm)  UEFI への侵害を前提に、UEFIに依存しない安全なブート  動的に Root of trust measurement を実行  Code integrity Policy, Hypervisor, kernel hashes, UEFI Vars, etc… © Copyright Microsoft Corporation. All rights reserved. 9
  • 10.
    System Management Mode(SMM) protection  SMMによるリスク  高い特権 (ring-2) で実行され、OSには見えない  Secure Launch やVBS のバイパスのリスクがある  Intel Runtime BIOS Resilience を活用した保護  Paging Protection  SMM エントリーポイント、メモリマップ、ページプロパティ のロックダウン  OS/HV メモリへのアクセスを防止  SMM hardware supervision and attestation  Microsoft SMM Paging Audit © Copyright Microsoft Corporation. All rights reserved. 10 BootCode/BootData MMIO SMRAM Reseved ACPINvs RuntimeCode/RuntimeData ACPI Reclaim BootCode/BootData LoaderCode/LoaderData
  • 11.
    Windows DMA-r AttackProtection (Windows 1809+)  DMAを介した攻撃からの防御  IOMMU を利用  新たに接続された Thunderbolt™ 3 デバイスをユーザーがログインし ロック解除するまで、 ブロック  ブート時のIOMMU (See Project Mu) Connect peripheral New devices are enumerated and functioning OSUser Peripheral Drivers opted- in DMAr? Yes Enable DMAr for the peripherals No User logged in AND Screen unlocked? No Wait for user to login/ unlock screen Yes © Copyright Microsoft Corporation. All rights reserved. 11
  • 12.
    ブート時の保護 in Windows概要 © Copyright Microsoft Corporation. All rights reserved. 12
  • 13.
    Virtualization-based security (VBS) •Windows 10+ の多くのセキュリティ機能の基礎 • Hypervisor, SLAT, IOMMU をベースとした 仮想化による保護技術 © Copyright Microsoft Corporation. All rights reserved. 13
  • 14.
    Hypervisor-protected Code Integrity(HVCI)  Virtualization based Security を利用した カーネルドライバのコード整合性  SLAT を利用したメモリ管理  整合性チェックをVTL1で実行  アサインされたメモリはRX only  Mode-Based Execute (MBE) control  Extended Page Tables (EPT)  XU for user pages  XS for supervisor pages  KMS and UMX hardware bits  Windows 10 1803以降既定で有効 (MBEC/Kaby Lake+) © Copyright Microsoft Corporation. All rights reserved. 14
  • 15.
    Early Launch Anti-Malware(ELAM)  マイクロソフトが認定する特定のAVドライバ  Microsoft Virus Initiative (MVI)  Windows Hardware Quality Lab (WHQL) signed  他の3rd Party カーネルドライバよりも先に起動  ELAMが他のドライバを検証しカーネルが ロード・初期化判断 © Copyright Microsoft Corporation. All rights reserved. 15 TCGLogs
  • 16.
    ブート時の保護 in Windows概要 © Copyright Microsoft Corporation. All rights reserved. 16
  • 17.
    Windows Defender DeviceGuard  デバイスのロックダウン 機能  KMCI  UMCI  +VBS = HVCI  Windows Defender Application Control (WDAC) © Copyright Microsoft Corporation. All rights reserved. 17
  • 18.
    Windows Defender ExploitGuard  エクスプロイトを緩和し、Attack Surfaceを減少させる技術 © Copyright Microsoft Corporation. All rights reserved. 18
  • 19.
    Kernel Data Protection Virtualization Based Security (VBS) を利用したKernel Data Corruption からの保護  カーネルのエクスプロイトの多くが System Structure Corruption  エクスプロイトに利用されやすい data structures を対象  Static KDP: Static Data 保護  Dynamic KDP:Read-Only Pool Allocation © Copyright Microsoft Corporation. All rights reserved. 19
  • 20.
    ブート時の保護 in Windows概要 © Copyright Microsoft Corporation. All rights reserved. 20
  • 21.
    Measured Boot  UEFIを使ってファームウェアやブートローダ、 ブートドライバなどのハッシュを記録 そしてスタートアッププロセスの最後に、アテ ステーションサーバ(検証サーバ)でブートの 正当性の検証を行う  TPM Platform Crypto-Provider Toolkit from Microsoft Research  Microsoft Enterprise Security MVP Dan Griffin’s Measured Boot Tool. © Copyright Microsoft Corporation. All rights reserved. 21
  • 22.
    Windows Defender SystemGuard Runtime Attestation  Windows 実行中に実施するデ バイスのコード整合性の検証  Runtime report by WDSG RA  Boot State, Measured boot log  VBS Enclave内で生成された鍵ペア のプライベート鍵で署名  パブリック鍵は ASで署名されセッ ション証明書 ( Microsoft CA)  Session report by AS  デバイスの状態レポート © Copyright Microsoft Corporation. All rights reserved. 22
  • 23.
    UEFI Scanner • SPIFlash のファームウェアを 読み出し、スキャンする • EPP Scanner: 悪意のあるマル ウェアの検出 • 例: Lojax DXE driver • EDR Anomaly detector • EDR にテレメトリを提供する • アノマリ検出を実行しMDATP ポー タルにアラートを出す  Chipset Configuration Assessment  Chipsetの構成をチェック EDR – Anomaly detector Telemetry sent to EDR backend alert ML model EPP Scanner EPP detection alert © Copyright Microsoft Corporation. All rights reserved. 23
  • 24.
    © Copyright MicrosoftCorporation. All rights reserved. 24
  • 25.
    プラットフォーム セキュリティのいま  プラットフォームセキュリティの重要性が増加 CPS(Cyber-Physical System)  ゼロ トラスト  エクスプロイトの低レイヤー化とセキュリティ境界の変化  ハードウェアが提供するセキュリティの進化に伴う新たなセキュリティへの期待  新たなセキュリティ境界、効率の向上  OEM, Silicon Venders との協業  対応デバイスの課題 :Secure Core PC による取り組み © Copyright Microsoft Corporation. All rights reserved. 25
  • 26.
    Boot time protection PhaseKey Technologies Boot: Pre-Windows boot Power ON • Secure Boot (SRTM) • Secure Launch (DRTM) • SMM Protection • DMA Protection UEFI Config. Firmware VMM boot Windows Bootloader Boot: Windows Hypervisor & Windows Kernel Windows Kernel • Virtualized Based Security • Hypervisor-Protected Code Integrity (HVCI) • ELAM • Kernel DMA Protection • System Guard with DRTM Windows Drivers Windows System Files Anti-malware Drivers Boot: Drivers & other components 3rd party drivers • Device Guard • Exploit Guard • Kernel Data Protection System Defenses Services Login Measurement Measured Boot (Security Service 起動まで) WDSG Runtime Attestation UEFI Scanner © Copyright Microsoft Corporation. All rights reserved. 26
  • 27.
    © Copyright MicrosoftCorporation. All rights reserved.