早期起動マルウェア対策
プラットフォーム
クライアント - Windows 8
サーバー - Windows Server 2012
説明
マルウェア対策 (AM) ソフトウェアは、ランタイム マルウェアの検出が向上し、より優れているため、攻撃者は検出から隠すことができるルートキットを作成する方が優れています。 ブート サイクルの早い段階で開始されるマルウェアを検出することは、ほとんどの AM ベンダーが熱心に対処する課題です。 通常、ホスト オペレーティング システムでサポートされていないシステム ハックが作成され、実際にはコンピューターが不安定な状態になる可能性があります。 ここまで、Windows では、これらの初期ブートの脅威を検出して解決するための適切な方法が AM に提供されていません。
Windows 8では、Windows ブートの構成とコンポーネントを保護し、早期起動マルウェア対策 (ELAM) ドライバーを読み込むセキュア ブートと呼ばれる新機能が導入されています。 このドライバーは、他のブートスタート ドライバーの前に起動し、それらのドライバーの評価を有効にし、Windows カーネルが初期化する必要があるかどうかを判断するのに役立ちます。
症状
カーネルによって最初に起動されることにより、ELAM はサードパーティ製ソフトウェアの前に起動されることが保証されるため、ブート プロセスでマルウェアを検出し、初期化を防ぐことができます。
対応策
ブート ドライバーは、初期化ポリシーに従って ELAM ドライバーから返される分類に基づいて初期化されます。 既定では、ポリシーは既知の適切なドライバーと不明なドライバーを初期化しますが、既知の悪いドライバーは初期化しません。 システム管理者は、グループ ポリシーを使用してカスタム ポリシーを指定できます。これにより、不明なドライバーが初期化されるのを防いだり、ブート プロセスに不可欠なドライバーを有効にしたり、改ざんされたブートを初期化したりできます。
解決策
ELAM ドライバーは、初期化中の各ブート開始ドライバーに関する情報を取得するために、カーネル コールバックに登録する必要があります。 その後、ELAM ドライバーは各ドライバーの分類を返すことができます。 次の関数が必要です。
ELAM ドライバーは、レジストリ コールバックに登録することもできます。 これにより、ELAM ドライバーは、各ブート開始ドライバーで使用される構成データを検査できます。 ELAM ドライバーは、必要に応じて、ブートスタート ドライバーによって使用される前に、データをブロックまたは変更できます。 次の関数が必要です。
ELAM ドライバーの要件と API の使用の詳細については、「 早期起動マルウェア対策」を参照してください。
テスト
ELAM ドライバーは、ブート プロセスの早い段階で Windows カーネルによって起動されるように、Microsoft によって特別に署名されている必要があります。 署名を取得するには、ELAM ドライバーが一連の認定テストに合格して、パフォーマンスやその他の動作を確認する必要があります。 これらのテストは、Windows ハードウェア認定キットに含まれています。
リソース
- 早期起動マルウェア対策
- CmRegisterCallbackEx
- CmUnRegisterCallback
- IoRegisterBootDriverCallback
- IoUnRegisterBootDriverCallback
- Windows ハードウェア認定キットビルド会議プレゼンテーションを使用したハードウェアの認定
- キットとツールのダウンロード