メジャー ブート

プラットフォーム

クライアント - Windows 8 サーバー - Windows Server 2012

説明

マルウェア対策 (AM) ソフトウェアがランタイム マルウェアの検出に対してより優れているため、攻撃者は検出から隠すことができるルートキットを作成する方が優れています。 ブート サイクルの早い段階で開始されるマルウェアを検出することは、ほとんどの AM ベンダーが熱心に対処する課題です。 通常、ホスト オペレーティング システムでサポートされていないシステム ハックが作成され、実際にはコンピューターが不安定な状態になる可能性があります。 ここまで、Windows では、これらの初期ブートの脅威を検出して解決するための適切な方法が AM に提供されていません。 Windows 8では、ファームウェアからブート 開始ドライバーまで各コンポーネントを測定し、それらの測定値をコンピューター上のトラステッド プラットフォーム モジュール (TPM) に格納し、リモートでテストしてクライアントのブート状態を確認できるログを使用できるようにする Measured Boot という新しい機能が導入されています。

症状

測定ブート機能は、AM ソフトウェアの前に起動されたすべてのブート コンポーネントの信頼された (スプーフィングと改ざんに対する耐性) ログを AM ソフトウェアに提供します。 AM ソフトウェアは、ログを使用して、その前に実行されたコンポーネントが信頼できるかどうか、またはマルウェアに感染しているかどうかを判断できます。 ローカル コンピューター上の AM ソフトウェアは、評価のためにリモート サーバーにログを送信できます。 リモート サーバーは、クライアント上のソフトウェアと対話するか、必要に応じて帯域外メカニズムを使用して修復アクションを開始できます。

対応策

エンタープライズ シナリオでは、システム管理者は、メジャー ブート情報の使用方法を制御できます。 たとえば、オンライン バンキングなどのエンドユーザー シナリオでは、コンシューマーは特定のサービスに対して Measured Boot を使用することを選択する必要があります。

解決策

さまざまなメジャー ブート シナリオで行う必要がある API と関数呼び出しについて詳しく説明するホワイト ペーパーが準備されています。