早期起動マルウェア対策
プラットフォーム
クライアント - Windows 8
サーバー - Windows Server 2012
形容
マルウェア対策 (AM) ソフトウェアの実行時マルウェアの検出が向上し、より優れているため、攻撃者は検出から隠すことができるルートキットを作成する方が優れています。 起動サイクルの早い段階で開始されるマルウェアの検出は、ほとんどの AM ベンダーが熱心に対処する課題です。 通常、ホスト オペレーティング システムでサポートされていないシステム ハックが作成され、実際にはコンピューターが不安定な状態になる可能性があります。 この時点まで、Windows は、これらの初期ブートの脅威を検出して解決するための適切な方法を AM に提供していません。
Windows 8 には、Windows ブート構成とコンポーネントを保護し、早期起動マルウェア対策 (ELAM) ドライバーを読み込むセキュア ブートと呼ばれる新機能が導入されています。 このドライバーは、他のブートスタート ドライバーの前に起動し、それらのドライバーの評価を有効にし、Windows カーネルが初期化する必要があるかどうかを判断するのに役立ちます。
顕現
カーネルによって最初に起動されることで、ELAM はサードパーティ製ソフトウェアの前に起動されることが保証されるため、ブート プロセスでマルウェアを検出し、初期化を防ぐことができます。
緩和
ブート ドライバーは、初期化ポリシーに従って ELAM ドライバーから返される分類に基づいて初期化されます。 既定では、ポリシーは既知の正常なドライバーと不明なドライバーを初期化しますが、既知の不適切なドライバーは初期化しません。 システム管理者は、グループ ポリシーを使用してカスタム ポリシーを指定できます。これにより、不明なドライバーが初期化されるのを防いだり、ブート プロセスにとって重要であるが、改ざんされたブートを初期化するドライバーを有効にしたりできます。
解決
ELAM ドライバーは、初期化中の各ブート開始ドライバーに関する情報を取得するカーネル コールバックを登録する必要があります。 その後、ELAM ドライバーは、各ドライバーの分類を返すことができます。 次の関数が必要です。
- IoRegisterBootDriverCallback の
- IoUnRegisterBootDriverCallback
ELAM ドライバーは、レジストリ コールバックに登録することもできます。 これにより、ELAM ドライバーは、各ブート開始ドライバーで使用される構成データを検査できます。 ELAM ドライバーは、必要に応じて、ブートスタート ドライバーによって使用される前に、データをブロックまたは変更できます。 次の関数が必要です。
ELAM ドライバーの要件と API の使用方法の詳細については、「早期起動マルウェア対策」を参照してください。
テスト
ELAM ドライバーは、ブート プロセスの早い段階で Windows カーネルによって起動されるように、Microsoft によって特別に署名されている必要があります。 署名を取得するには、ELAM ドライバーが一連の認定テストに合格して、パフォーマンスやその他の動作を確認する必要があります。 これらのテストは、Windows ハードウェア認定キットに含まれています。
リソース
- 早期起動マルウェア対策
- CmRegisterCallbackEx
- CmUnRegisterCallback
- IoRegisterBootDriverCallback の
- IoUnRegisterBootDriverCallback
- Windows ハードウェア認定キットビルド会議プレゼンテーションを使用したハードウェアの認定
- キットとツールのダウンロード