windows 8 enterprise flexible workstyle full deck rp (to ......windows 8 enterprise flexible...
TRANSCRIPT
仕事とプライベートの曖昧な境界
モバイルデバイスの
浸透
技術的知識の向上
マルチデバイス
クラウド連携
求められるスピード
一般的な利用ケース 業務特化型
幅広い選択肢から状況にあったデバイスの選択
USB メモリから OS を起動 : Windows To Go
01100111110100111100100110001001
内蔵ハード ドライブからのブート
ファイアウォール
01100111110100111100100110001001
暗号化外付け USB ドライブからのブート
Windows To Go
安全なリモート接続 : Direct Access
ファイアウォール
モバイル ブロードバンド
Direct Access
Lync
SharePoint
データ
アプリケーション
Exchange
マルチデバイス・
マルチストレージ多様なデバイスの利用と
多様な記憶媒体
マルチデバイス・マルチストレージ
企業が利用しているサーバやクラウド個人が利用しているクラウド
マルチデバイス・マルチストレージ
企業が利用しているサーバやクラウド個人が利用しているクラウド
マルチデバイス・マルチストレージ
企業が利用しているサーバやクラウド個人が利用しているクラウド
マルチデバイス・マルチストレージ
企業が利用しているサーバやクラウド個人が利用しているクラウド
マルチデバイス・マルチストレージ
企業が利用しているサーバやクラウド個人が利用しているクラウド
デバイス(ノード)レベルのセキュリティの確保
ネットワークレベルのセキュリティの確保
データレベルのセキュリティの確保
認証レベルのセキュリティの確保
Political/Legislative
Economic ForcesSocial
Requirements
データとデバイスの保護TPMの利用
最新の認証技術
Hardware と 起動
Windows と ドライバ
マルウェア対策ソフト
Active Directory System Center
ファイルサーバー
• Trusted Boot
• マルウェア対策
• BitLocker
• AppLocker
MDOP
データの暗号化
Windows 8 での強化点
• Secured Boot
• マルウェア対策ソフトを早い段階で起動(ELAM)
• BitlLocker To Go の機能強化
• Application Reputation Services
• 最新の認証
• Windows Store のアプリ用に Applockerの機能を提供
Windows 8 デバイス
デバイス
サーバー
ネットワーク
TPMSA03445678Secret Security Semiconductors
TPMSA03445678Secret Security Semiconductors
TPMSA03445678Secret Security Semiconductors
セキュリティレベルの管理
最新の認証技術
Hardware と 起動
Windows と ドライバマルウェア対策ソフト
Active DirectorySystem Center
ファイルサーバー
• Trusted Boot
• マルウェア対策
• BitLocker
• AppLocker
MDOP
データの暗号化
Windows 8 デバイス
デバイス
サーバー
ネットワーク
• DirectAccess
• AppLocker
• Configuration Manager
• System Center Endpoint Protection
• Dynamic Access Control
• Microsoft BitLocker Administration and Monitoring
TPMSA03445678Secret Security Semiconductors
TPMSA03445678Secret Security Semiconductors
TPMSA03445678Secret Security Semiconductors
40
アドレス空間配置のランダム化
Windows ヒープ
Windows カーネル
既定の設定
目標
あらゆるクラスの
脆弱性を軽減
既知の悪用テクニックを
阻止
主要ドメインで悪用にかかるコストを増加させる
コード生成のセキュリティ
領域別エントロピ(単位: ビット)
Windows 7
32 ビット
64 ビット
ボトムアップの割り当て (オプトイン) 0 0
スタック 14 14
ヒープ 5 5
トップダウンの割り当て (オプトイン) 0 0
PEB/TEB 4 4
EXE イメージ 8 8
DLL イメージ 8 8
非 ASLR DLL イメージ (オプトイン) 0 0
41
Windows 8
32 ビット
64 ビット
64 ビット (HE)
8 8 24
17 17 33
8 8 24
8 17 17
8 17 17
8 17* 17*
8 19* 19*
8 8 24
Windows 8 では、高エントロピ (HE) が有効な場合は特に、
さらに多くのエントロピが64 ビット プロセスに適用される
Windows 7 では、32 ビットと64 ビットのどちらのプロセスでも
ASLR エントロピは同じ
* ベース 4GB 未満の64 ビット DLL は 14 ビット、4GB 未満の EXE には8 ビットが適用される
• Windows 8 の ASLR は、64 ビット プロセスの大容量のアドレス空間 (8 TB) を活用
• 非 ASLR イメージの強制適用が可能• 非ASLR DLLの利
用などを阻止• プロセスレベルの
Optin
Windows ヒープの全般的な設計は、Windows 8 でも変更されていない
フロントエンドアロケーター (LFH)
16 KB 以下のサイズに使用
HeapAlloc(heap, flags, size)
バックエンド アロケーター512 KB (x86) または 1 MB (x64) 未満のサイズで、
フロントエンドにより使用
仮想メモリ アロケーター
大きい割り当てサイズで、バックエンドにより使用
カーネル メモリ マネージャー
Windows 7 での LFH ブロック割り当て動作
Windows 8 での LFH ブロック割り当て動作
O T
OT
Windows 8 での変更 効果
LFH はビットマップ ベースのアロケーターに
LinkOffset の破損が不可能に
複数の catch-all EH ブロックを削除 例外が受け入れられなくなる
HEAP ハンドルを解放できないHEAP ハンドルの状態の破損を試みる攻撃を防止
HEAP CommitRoutine をグローバル キーでエンコード
CommitRoutine ポインターを高い信頼性で制御できるようにする攻撃を防止
拡張ブロック ヘッダーの検証使用中のヒープ ブロックの予期しない解放を防止
ビジー状態のブロックは割り当て不可使用中ブロックの再割り当てを実行する各種の攻撃を防止
現在、ヒープ エンコードはカーネル モードで有効
ヒープ エントリ ヘッダーの保護を強化
ヒープメモリ ヒープメモリPAGE_NOACCESSガード ページ ……
x86 (PAE) x64 ARM
Win7 Win8 Win7 Win8 Win8
ページ プール X X NX NX NX
非ページ プール X X X X X
非ページ プール (NX) N/A NX N/A NX NX
セッション プール X X NX NX NX
イメージ データ セクション X X NX NX NX
カーネル スタック NX NX NX NX NX
アイドル/DPC/初期スタック X NX X NX NX
ページ テーブル ページ X NX X NX NX
PFN データベース X NX X NX NX
システム キャッシュ X NX X NX NX
共有ユーザー データ X NX X NX NX
HAL ヒープ X NX X NX NX
DEPの適用範囲を大幅に拡大
X = 実行可能 NX = 非実行可能
カーネル ASLRの適用
• Windows 7/SV2008R2
– ドライバーについてはエントロピ 4 ビット、NTOS/HAL については 5 ビット
• Windows 8
– カーネル セグメント ベースにバイアス
– NTOS/HAL に 22 ビット (64 ビット)、および 12 ビット (32 ビット) を適用
– 各種のブート領域もランダム化 (P0 アイドルスタック)
SMEP/PXN のサポート
• スーパーバイザーによるユーザー ページ内でのコード実行を防止• PXN をサポートする Intel Ivy Bridge または ARM が必要
NULL 逆参照の防止(NTVDM)
• 最初の 64K のマッピングを禁止(EoP DoS)
カーネルプールの整合性チェック
44
ARM では、適用可能な軽減策がすべて有効
DEP ON
ASLR (イメージ) ON
ASLR (強制再配置) N/A(全イメージが ASLR)
ASLR (ボトムアップ) ON
ASLR (トップダウン) ON
ASLR (高エントロピ) N/A(64 ビットではない)
SEHOP N/A(不要)
ヒープの強制終了 ON
カーネル NULL 逆参照 ON
カーネル SMEP ON
アプリケーション互換性の問題がないため、よりアグレッシブな対策が可能
Windows 8 クライアントの既定の設定
32 ビット (x86) 64 ビット (x64)
Windows ストアアプリ
受信トレイ
IE10 既定 Windows ストアアプリ
受信トレイ
IE10 既定
DEP ON ON ON OptIn ON ON ON OptIn
ASLR (イメージ) ON ON ON OptIn ON ON ON OptIn
ASLR (強制再配置) ON OptIn ON OptIn ON OptIn ON OptIn
ASLR (ボトムアップ) ON ON ON OptIn ON ON ON OptIn
ASLR (トップダウン) ON ON ON OptIn ON ON ON OptIn
ASLR (高エントロピ) N/A N/A N/A N/A ON ON ON OptIn
SEHOP ON ON ON OptIn N/A N/A N/A N/A
ヒープの強制終了 ON ON ON OptIn ON ON ON ON
Windows ストア アプリでは、適用可能な軽減策がすべて有効
Internet Explorer 10 と新しい Office でも、適用可能な軽減策がすべて有効
マルチデバイス・マルチストレージ
企業が利用しているサーバやクラウド個人が利用しているクラウド
デバイス(ノード)レベルのセキュリティの確保
ネットワークレベルのセキュリティの確保
データレベルのセキュリティの確保
認証レベルのセキュリティの確保
Political/Legislative
Economic ForcesSocial
Requirements
スクリーンの右下隅をポイントします
Windows 8 の操作
アプリを右クリックするとメニューが表示されますアプリを閉じるにはスクリーンの一番下にアプリをドラッグします
追加オプションを見るにはアイテムをポイントします
Ctrlキーを押しながらマウスホイールを動かすとズームイン・ズームアウトができます
アプリ画面の下部をポイントしスクロールバーを使います
タッチ操作の代わりとなるマウス操作
アイテムをクリックし、アクションを実行します。