O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

プラットフォームセキュリティin Windows ブートタイム保護 概要編

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 27 Anúncio

プラットフォームセキュリティin Windows ブートタイム保護 概要編

Baixar para ler offline

勉強会資料:プラットフォームセキュリティin Windows ブートタイム保護 概要編

勉強会資料:プラットフォームセキュリティin Windows ブートタイム保護 概要編

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a プラットフォームセキュリティin Windows ブートタイム保護 概要編 (20)

Anúncio

Mais recentes (20)

プラットフォームセキュリティin Windows ブートタイム保護 概要編

  1. 1. プラットフォーム セキュリティ in Windows ブートタイム保護 概要編 Yurika Kakiuchi Security Program Manager Security Response Team Microsoft Corporation CISSP @Eurekaberry
  2. 2. セキュリティ境界の変化 [Archive] Ten Immutable Laws Of Security (Version 2.0) https://docs.microsoft.com/en-us/archive/blogs/rhalbheer/ten-immutable-laws-of-security-version-2-0 © Copyright Microsoft Corporation. All rights reserved. 2
  3. 3. Malicious code cannot persist on a device. Violations of promises are observable. All apps and system components have only the privilege they need. All code executes with integrity. User identities cannot be compromised, spoofed, or stolen. Attacker with casual physical access cannot modify data or code on the device. © Copyright Microsoft Corporation. All rights reserved. 3
  4. 4. ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 4
  5. 5. 管理者 Microsoft Defender ATP Intelligent Security Graph Intelligence from security partners Microsoft Threat Research Telemetry Microsoft SoC クライアント Microsoft Intune Azure AD Windows Defender Antivirus: マルウェアスキャン、検出 Windows Defender Firewall: ネットワークファイアウォール Windows Defender SmartScreen: 悪意のあるサイトのブロック Windows Defender System Guard: プラットフォームの整合性の保証機能の総称 Windows Defender Device Guard: デバイスの保護とロックダウン機能 Windows Defender Exploit Guard: エクスプロイト緩和機能 Windows Defender Credential Guard: 資格情報の保護 (Virtualized based Security) Windows Defender Application Guard: アプリケーションの分離と保護 Windows defender Application Control: アプリケーションのロックダウン機能 (Device Guard の一部) © Copyright Microsoft Corporation. All rights reserved. 5
  6. 6. Windows Defender System Guard  ブート時および起動中の整合性を担保し、 アテステーションによる検証を可能とする技術の総称  Secure Boot, Secure Launch  KMCI  Windows Defender Credential Guard  Windows Defender Device Guard  Windows Defender Exploit Guard  Virtualized TPM © Copyright Microsoft Corporation. All rights reserved. 6
  7. 7. ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 7
  8. 8. Secure Boot  Windows 8 以降  SRTM  各ブートのコンポーネントを順次検証  OEMが製造時に NV-RAM に検証のた めのデータを格納、signature database db, revoked signature database dbx, Key Enrollment database KEK, platform key (PK).  Microsoft KEK  UEFI ファームウェアへの信頼が低下  FEFI rootkit (Lojax) reported by ESET © Copyright Microsoft Corporation. All rights reserved. 8 TCGLogs
  9. 9. Secure Launch (Windows 10 1809+)  DRTM, (Intel TXT, AMD, Qualcomm)  UEFI への侵害を前提に、UEFIに依存しない安全なブート  動的に Root of trust measurement を実行  Code integrity Policy, Hypervisor, kernel hashes, UEFI Vars, etc… © Copyright Microsoft Corporation. All rights reserved. 9
  10. 10. System Management Mode (SMM) protection  SMMによるリスク  高い特権 (ring-2) で実行され、OSには見えない  Secure Launch やVBS のバイパスのリスクがある  Intel Runtime BIOS Resilience を活用した保護  Paging Protection  SMM エントリーポイント、メモリマップ、ページプロパティ のロックダウン  OS/HV メモリへのアクセスを防止  SMM hardware supervision and attestation  Microsoft SMM Paging Audit © Copyright Microsoft Corporation. All rights reserved. 10 BootCode/BootData MMIO SMRAM Reseved ACPINvs RuntimeCode/RuntimeData ACPI Reclaim BootCode/BootData LoaderCode/LoaderData
  11. 11. Windows DMA-r Attack Protection (Windows 1809+)  DMAを介した攻撃からの防御  IOMMU を利用  新たに接続された Thunderbolt™ 3 デバイスをユーザーがログインし ロック解除するまで、 ブロック  ブート時のIOMMU (See Project Mu) Connect peripheral New devices are enumerated and functioning OSUser Peripheral Drivers opted- in DMAr? Yes Enable DMAr for the peripherals No User logged in AND Screen unlocked? No Wait for user to login/ unlock screen Yes © Copyright Microsoft Corporation. All rights reserved. 11
  12. 12. ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 12
  13. 13. Virtualization-based security (VBS) • Windows 10+ の多くのセキュリティ機能の基礎 • Hypervisor, SLAT, IOMMU をベースとした 仮想化による保護技術 © Copyright Microsoft Corporation. All rights reserved. 13
  14. 14. Hypervisor-protected Code Integrity (HVCI)  Virtualization based Security を利用した カーネルドライバのコード整合性  SLAT を利用したメモリ管理  整合性チェックをVTL1で実行  アサインされたメモリはRX only  Mode-Based Execute (MBE) control  Extended Page Tables (EPT)  XU for user pages  XS for supervisor pages  KMS and UMX hardware bits  Windows 10 1803以降既定で有効 (MBEC/Kaby Lake+) © Copyright Microsoft Corporation. All rights reserved. 14
  15. 15. Early Launch Anti-Malware (ELAM)  マイクロソフトが認定する特定のAVドライバ  Microsoft Virus Initiative (MVI)  Windows Hardware Quality Lab (WHQL) signed  他の3rd Party カーネルドライバよりも先に起動  ELAMが他のドライバを検証しカーネルが ロード・初期化判断 © Copyright Microsoft Corporation. All rights reserved. 15 TCGLogs
  16. 16. ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 16
  17. 17. Windows Defender Device Guard  デバイスのロックダウン 機能  KMCI  UMCI  +VBS = HVCI  Windows Defender Application Control (WDAC) © Copyright Microsoft Corporation. All rights reserved. 17
  18. 18. Windows Defender Exploit Guard  エクスプロイトを緩和し、Attack Surfaceを減少させる技術 © Copyright Microsoft Corporation. All rights reserved. 18
  19. 19. Kernel Data Protection  Virtualization Based Security (VBS) を利用したKernel Data Corruption からの保護  カーネルのエクスプロイトの多くが System Structure Corruption  エクスプロイトに利用されやすい data structures を対象  Static KDP: Static Data 保護  Dynamic KDP:Read-Only Pool Allocation © Copyright Microsoft Corporation. All rights reserved. 19
  20. 20. ブート時の保護 in Windows 概要 © Copyright Microsoft Corporation. All rights reserved. 20
  21. 21. Measured Boot  UEFIを使ってファームウェアやブートローダ、 ブートドライバなどのハッシュを記録  そしてスタートアッププロセスの最後に、アテ ステーションサーバ(検証サーバ)でブートの 正当性の検証を行う  TPM Platform Crypto-Provider Toolkit from Microsoft Research  Microsoft Enterprise Security MVP Dan Griffin’s Measured Boot Tool. © Copyright Microsoft Corporation. All rights reserved. 21
  22. 22. Windows Defender System Guard Runtime Attestation  Windows 実行中に実施するデ バイスのコード整合性の検証  Runtime report by WDSG RA  Boot State, Measured boot log  VBS Enclave内で生成された鍵ペア のプライベート鍵で署名  パブリック鍵は ASで署名されセッ ション証明書 ( Microsoft CA)  Session report by AS  デバイスの状態レポート © Copyright Microsoft Corporation. All rights reserved. 22
  23. 23. UEFI Scanner • SPI Flash のファームウェアを 読み出し、スキャンする • EPP Scanner: 悪意のあるマル ウェアの検出 • 例: Lojax DXE driver • EDR Anomaly detector • EDR にテレメトリを提供する • アノマリ検出を実行しMDATP ポー タルにアラートを出す  Chipset Configuration Assessment  Chipsetの構成をチェック EDR – Anomaly detector Telemetry sent to EDR backend alert ML model EPP Scanner EPP detection alert © Copyright Microsoft Corporation. All rights reserved. 23
  24. 24. © Copyright Microsoft Corporation. All rights reserved. 24
  25. 25. プラットフォーム セキュリティのいま  プラットフォームセキュリティの重要性が増加  CPS(Cyber-Physical System)  ゼロ トラスト  エクスプロイトの低レイヤー化とセキュリティ境界の変化  ハードウェアが提供するセキュリティの進化に伴う新たなセキュリティへの期待  新たなセキュリティ境界、効率の向上  OEM, Silicon Venders との協業  対応デバイスの課題 :Secure Core PC による取り組み © Copyright Microsoft Corporation. All rights reserved. 25
  26. 26. Boot time protection Phase Key Technologies Boot: Pre-Windows boot Power ON • Secure Boot (SRTM) • Secure Launch (DRTM) • SMM Protection • DMA Protection UEFI Config. Firmware VMM boot Windows Bootloader Boot: Windows Hypervisor & Windows Kernel Windows Kernel • Virtualized Based Security • Hypervisor-Protected Code Integrity (HVCI) • ELAM • Kernel DMA Protection • System Guard with DRTM Windows Drivers Windows System Files Anti-malware Drivers Boot: Drivers & other components 3rd party drivers • Device Guard • Exploit Guard • Kernel Data Protection System Defenses Services Login Measurement Measured Boot (Security Service 起動まで) WDSG Runtime Attestation UEFI Scanner © Copyright Microsoft Corporation. All rights reserved. 26
  27. 27. © Copyright Microsoft Corporation. All rights reserved.

×