20180510

Exploit Protectionで構成可能なオプション 仮想メモリ割り当てのランダム化(ボトムアップASLR)任意のコードガード(ACG)

仮想メモリ割り当てのランダム化(ボトムアップASLR)
任意のコードガード(ACG)

【外部リンク】
http://www.atmarkit.co.jp/ait/articles/1712/20/news036_2.html
機能名 概要
制御フローガード(CFG) ポインタを経由した間接呼び出し時に、呼び出し先が正当なコードであるかどうかを検証する機能。不正なら呼び出しを行わない
データ実行防止(DEP) データやスタック領域に置かれたコード(=ウイルスなどによって用意されたコード)の実行を阻止する機能。「Windows XPのデータ実行保護機能」参照
イメージのランダム化(ASLR) プログラムをロードするアドレスをランダムに変える機能。常に決まった位置に目的のコードがあることを前提に動作するウイルスなどの動作を阻害する
仮想メモリ割り当てのランダム化(ボトムアップASLR) ヒープやスタックなどのデータ領域の割り当てアドレスをランダム化する機能
例外チェーン検証(SEHOP) 例外チェーン(プログラムに異常などがあった場合に起動される例外処理機能)の正当性を検証する機能。例外チェーンを操作するウイルスなどに有効
ヒープ整合性検証 動的なデータ領域の整合性/正当性をチェックし、破損が見つかれば実行を停止する機能
任意のコードガード(ACG) コードページ(コードが置かれている領域)の変更の禁止
Exploit Protectionの保護機能(主なもののみ)

【外部リンク】
http://www.atmarkit.co.jp/ait/articles/1712/25/news015_2.html
以下の表2、表3に、Exploit Protectionで構成可能なオプションをまとめました。

システム設定 既定値 説明
制御フローガード(CFG) 既定でオンにする 間接的な呼び出しの制御フローの整合性を保証します。
データ実行防止(DEP) 既定でオンにする データ専用のメモリページからコードを実行できないようにします。
イメージのランダム化を強制する(必須ASLR) 既定でオフにする /DYNAMICBASEを使ってコンパイルされていない実行可能イメージを、強制的に再配置します。
仮想メモリの割り当てをランダム化する(ボトムアップASLR) 既定でオンにする 仮想メモリの割り当ての場所をランダムにします。
例外チェーンを検証する(SEHOP) 既定でオンにする ディスパッチ中の例外チェーンの整合性を保証します。
ヒープの整合性を検証する 既定でオンにする ヒープの破損が検出された場合、プロセスを終了します。
表2 「システム設定」で構成可能なオプションと既定値

プログラム設定 オプション 説明
任意のコードガード(Arbitrary Code Guard:ACG) ・システム設定の上書き:オン/オフ
・スレッドオプトアウトを許可する
・監査 イメージが保護されない実行可能コードを禁止し、コードページの変更を防止します。
低整合性イメージをブロックする ・システム設定の上書き:オン/オフ
・監査 整合性レベル(Integrity Level:IL)が低いことが示されているイメージが読み込まれないようにします。
リモートイメージをブロックする ・システム設定の上書き:オン/オフ
・監査 リモートデバイスからイメージが読み込まれないようにします。
信頼されていないフォントをブロックする ・システム設定の上書き:オン/オフ
・監査 %Windir%Fontsディレクトリにインストールされないフォントが読み込まれないようにします。
コードの整合性ガード ・システム設定の上書き:オン/オフ
・Windowsストアによって署名されているイメージの読み込みも許可する
・監査 Microsoftによって署名されているイメージのみ、読み込みを許可します。
制御フローガード(CFG) ・システム設定の上書き:オン/オフ
・厳密なCFGを使用する 間接的な呼び出しの制御フローの整合性(Control Flow Integrity:CFI)を保証します。
データ実行防止(DEP) ・システム設定の上書き:オン/オフ
・ATLシミュレーションを有効にする(日本語訳のミス、正しくはATLエミュレーション) データ専用のメモリページからコードを実行できないようにします。
拡張ポイントを無効にする ・システム設定の上書き:オン/オフ ウィンドウフックなど、全てのプロセスへのDLLの挿入を許可するさまざまな拡張メカニズムを無効にします。
Win32kシステムコールを無効にする ・システム設定の上書き:オン/オフ
・監査 プログラムがWin32kシステムコールテーブルを使用できないようにします。
子プロセスを許可しない ・システム設定の上書き:オン/オフ
・監査 プロセスが子プロセスを作成できないようにします。
エクスポートアドレスフィルター(EAF) ・システム設定の上書き:オン/オフ
・エクスプロイトによってよく悪用されるモジュールのアクセスを検証する
・監査 悪意のあるコードによって解決されている危険なエクスポート関数を検出します。
イメージのランダム化を強制する(必須ASLR) ・システム設定の上書き:オン/オフ
・ストリップイメージを許可しない /DYNAMICBASEを使ってコンパイルされていないイメージの再配置を強制する。
インポートアドレスフィルター(IAF) ・システム設定の上書き:オン/オフ
・監査 悪意のあるコードによって解決されている危険なインポート関数を検出します。
仮想メモリの割り当てをランダム化する(ボトムアップASLR) ・システム設定の上書き:オン/オフ
・高エントロピを使用しない
・監査 仮想メモリの割り当ての場所をランダムにします。
実行をシミュレートする(SimExec) ・システム設定の上書き:オン/オフ
・監査 扱いに注意が必要な関数の呼び出しが正当な呼び出し元に返されることを保証します。
API呼び出しを検証する(CallerCheck) ・システム設定の上書き:オン/オフ
・監査 扱いに注意が必要なAPIが正当な呼び出し元によって呼び出されることを保証します。
例外チェーンを検証する(SEHOP) ・システム設定の上書き:オン/オフ ディスパッチ中の例外チェーンの整合性を保証します。
ハンドルの使用状態を検証する ・システム設定の上書き:オン/オフ 無効なハンドルの参照に対して例外を生成します。
イメージの依存関係の整合性を検証する ・システム設定の上書き:オン/オフ
・監査 Windowsイメージの依存関係の読み込みにコード署名を強制します。
スタックの整合性を検証する(StackPivot) ・監査 扱いに注意が必要な関数に対して、スタックがリダイレクトされていないことを保証します。
表3 「プログラム設定」で構成可能なオプション

【外部リンク】
http://www.soumu.go.jp/main_content/000264302.pdf


http://download.microsoft.com/download/B/F/B/BFBFDAB1-225C-4ECD-906F-C1DF61D7DB64/EMET%205.5%20User's%20Guide_J.pdf

exploit protection exploit protection 設定 windows defender exploit guard windows defender exploit guard 設定 exploit protection windows 10 emet windows10 windows exploit protection windows10 セキュリティ 機能 fall creators update 設定アドレス空間配置のランダム化 aslr windows aslr 無効化 aslr 仕組み aslr 無効化 windows aslr linux aslr 医療 aslr android aslr windows10 dep aslrwindows defender exploit guard

windows defender exploit guard 設定

exploit protection

windows defender antivirus

exploit protection 設定

windows defender 機能
--

注目の投稿

Shadowserver Foundation http://65.49.1.117/

Shadowserver Foundation port 14491 discarded for LINK-FRMWRK: NO ENTRY IN LOOKUP TABLE TO COMPLETE OPERATION, GigaEthernet2.0 Wistron Neweb ...

人気の投稿