オペレーティング システムの安全性が高まり、侵害に対する抵抗力が増すにつれて、ファームウェア、カーネル、ハードウェアのダイレクト メモリ アクセス (DMA) などの高度なベクトルが、攻撃者にとって好まれる新たな標的として浮上しています。最近の傾向は、ハードウェアおよびファームウェアのエクスプロイトの数が大幅に増加していることを示しています。マイクロソフトが委託した 2021 年 3 月のセキュリティ シグナルレポートは、大多数の企業顧客が過去 2 年間に少なくとも 1 回のファームウェア攻撃を経験したことを示しています。
ますます巧妙化する標的型攻撃から保護するには、ソフトウェア保護だけでは不十分です。統合されたハードウェアとソフトウェアのセキュリティは、脅威が高まる時代に不可欠です。マイクロソフトは、AMD と緊密に協力して、最新のセキュア コア製品である、AMD Ryzen™ モバイル プロセッサを搭載したまったく新しい Surface Laptop 4 を発表できることを誇りに思います。これらのデバイスは、ハードウェア、ソフトウェア、ファームウェア、ID 保護レイヤーが緊密に統合されており、すぐに使用できる包括的なセキュリティを提供します。
ハードウェアとファームウェアのエクスプロイトに対する防御
セキュリティのためのハードウェアの活用
Surface Laptop 4 の心臓部であるこのデバイスは、Trusted Platform Module 2.0 (TPM) と AMD Ryzen™ Mobile Processors with System Guard を活用して安全に起動し、ファームウェアをサンドボックス化して重要なサブシステムと機密データを保護することでファームウェアの脆弱性の影響を最小限に抑えます。 .これらのデバイスでは、カーネル ダイレクト メモリ アクセス保護が事前に有効化されており、PCI デバイスなどのすべての DMA 対応デバイスに対する悪意のある意図しないダイレクト メモリ アクセス (DMA) 攻撃からシステムを確実に保護し、ドライブのクラス全体を妨害します。 – Thunderspyなどの DMA 攻撃による。
TPM 2.0 は、Surface Laptop 4 のハードウェア ルート オブ トラストとして機能します。BitLocker キーなどの機密資産のハードウェア保護とシステムの状態のセキュリティ測定により、TPM 2.0 は Surface Laptop 4 をゼロ トラストに対応させるのに役立ちます。安全。
UEFI ファームウェア保護
Security Signals レポートで指摘されているように、ファームウェアは、デバイスが資格情報や暗号化キーなどの機密情報を保存する場所であるため、主要なターゲットとして浮上しています。これに対処するために、Microsoft は独自のオープンソース UEFI を導入して、ファームウェアを管理するための安全で保守可能なインターフェイスを有効にしました。 Surface 側では、Surface Pro 4 の 2015 リリース以降、ファームウェア保護の自動化を実現してきました。そのとき、独自の Microsoft UEFI 1を構築し、オープンソース プロジェクトと呼ばれるお客様に完全な透明性を提供することを決定しました。プロジェクトムー。
UEFIにまだ慣れていない場合は、Unified Extensible Firmware Interface の略です。これは基本的に、システム ハードウェア コンポーネントを初期化および検証し、SSD から Windows 10 を起動し、OS がキーボード、ディスプレイ、およびその他の入出力デバイスとやり取りするためのインターフェイスを提供する最新バージョンの BIOS です。
ファームウェアレベルまでの一元化されたデバイス管理
Microsoft が Surface 用の UEFI をさらに開発するにつれて、 SEMM (Surface Enterprise Management Mode) から始まる UEFI を管理および更新するためのツールも構築されました。スタンドアロン ツールとして使用するか、Microsoft Endpoint Configuration Manager と統合して、Surface の UEFI 設定を管理できます。 SEMM を使用すると、Surface デバイスの主要なコンポーネントをリモートで有効化および無効化できます。これがなければ、すべてのマシンに物理的にアクセスして UEFI で直接起動する必要があります (電源ボタン + ボリュームアップ)。通常は使用されないコンポーネントを無効にするほど、攻撃ベクトルが小さくなるため、セキュリティの観点からこれは重要です。
Microsoft のより広範なコミットメントに合わせて、 DFCI (Device Firmware Configuration Interface) の立ち上げにより、SEMM 機能をクラウドに移行しました。 DFCI を使用すると、Microsoft エンドポイント マネージャーの Intune コンポーネントを介して、UEFI 設定をクラウドベースで制御できます。最良の部分は、ポリシーを介して DFCI を有効にし、誰もがデバイスにログインする前にWindows Autopilotで展開できることです。 DFCI を使用すると、Surface デバイスを Windows 10 からファームウェアに至るまで、クラウドと Microsoft エンドポイント マネージャーの機能を通じて完全に管理できます。
Surface がイノベーションをファームウェア セキュリティにもたらします
Surface は、UEFI のセキュリティを高めるために多面的なアプローチを採用しています。まず、Windows Update 経由で更新できます。当社の UEFI は、サードパーティまたはダウンロード サイトからの外部ツールを必要としません。実際、Spectre と Meltdown の脆弱性が発表されたとき、Surface には既に利用可能な修正プログラムがあり、更新を受け入れるすべての Surface デバイスに自動的にプッシュされました。 Windows Update は、すべて UEFI を介してプロセッサのマイクロコードにパッチを適用しました。もう 1 つのセキュリティ対策は、UEFI をロックダウンして、既知の悪用から保護することです。 Surface UEFI は、プラットフォーム セキュア ブート (PSB) と UEFI セキュア ブートの組み合わせを使用します。これは、初期ブート プロセスの各段階で、測定および署名されたファームウェア チェックに変換されます。
プロアクティブなオペレーティング システムの保護
Surface Laptop 4 は、ハードウェア ルート オブ トラストを確立することによって小規模な信頼できるコンピューティング ベースに制限するだけでなく、その信頼できるコンピューティング ベース内で実行されるコードが整合性を持って実行されることを確認します。
仮想化ベースのセキュリティ (VBS) は、オペレーティング システムを分離し、ハードウェア ベースのセキュリティ境界を提供することで、セキュリティ機能と機密コードおよびデータをオペレーティング システムの脆弱性から分離します。 Hypervisor-enforced Code Integrity (HVCI) は、システム ソフトウェアをロードする前にチェックし、既知の承認された機関によって署名された実行可能ファイルのみを開始できるようにします。ハイパーバイザーは、カーネル実行可能メモリーが書き込み可能でないことを保証するのにも役立ちます。これにより、機密性の高いカーネル構造の変更が防止され、カーネル ウイルスやマルウェアに対する強力な保護が提供されます。 VBS と HVCI によって提供される保護は、 実際の現実世界の脅威に対して本質的な耐性を提供することが何度も示されています。
個人情報保護
セキュリティで保護されたコアと Project Mu によって提供されるプラットフォーム セキュリティを補完する Surface Laptop 4 は、ユーザーの ID と資格情報を盗難、侵害、フィッシング攻撃から確実に保護するのに役立ちます。
Windows Hello は、生体認証センサーとハードウェア ベースの資格情報ストレージを組み合わせることで、フィッシングや資格情報ベースの攻撃を防止します。 Windows Hello では、顔、安全な FIDO2 キー、または PIN を使用してパスワードなしでサインインし、デバイスのロックを解除するためのより高速で安全な方法を提供します。
有効にできるオプション機能である Windows Defender Credential Guard は、VBS を活用して、特権システム ソフトウェアのみがアクセスできるように、機密情報や機密情報を分離します。これにより、Pass-the-Hash や Pass-the-Ticket などの ID 攻撃手法を防ぐことができます。
新しい Surface がセキュアコア PC ラインを拡大
AMD Ryzen™ モバイル プロセッサを搭載した Surface Laptop 4 は、Surface ポートフォリオの 2 番目のセキュア コア PC 製品として Surface Pro X に加わります。これらのデバイスは、仮想化ベースのセキュリティ、システム ガード、カーネル DMA 保護などの機能がデフォルトで有効になっているため、すぐに使用できる強力な保護を提供します。これらのデバイスを使用すると、ユーザーと企業は、セキュリティ リスクを軽減し、デバイスを構成する際のエンド ユーザー エクスペリエンスを簡素化するための適切な保護が整っていることを確信できます。
1 Surface Go と Surface Go 2 はサードパーティの UEFI を使用し、DFCI をサポートしていません。 DFCI は現在、Surface Laptop Go、Surface Book 3、Surface Laptop 3、Surface Pro 7、Surface Pro 7+、および Surface Pro X で利用できます。Surface UEFI 設定の管理の詳細については、 https: //docs.microsoft.com/surface を参照してください。 /manage-surface-uefi-settings .
Comments