これからのCPUの進化はセキュリティを重んじるべきです。 - 1477578989

2：管理者ＨＫ　Age４３　苗字は特殊で平が入る。こうじ。：2016/10/27(木) 23:41:55: （別HPからの記録保存161027）１

〇ソフトウエアの実行可能ファイルが扱える範囲を、基本的に自分のあるフォルダとそれ以下とする。「直接続物理的操作ハードウエア（キーボードとマウス）による」ユーザー許可設定があるフォルダーは可能。これらは、ＯＳのクリティカルカーネルとセキュコアで完全に管理。※全てセキュＵＩからいつでも直接に設定できる。

デバイスドライバを作成するにあたって、公式にも書いてあります。
一般プログラムは特権命令の動かない、それぞれが独立して侵犯できないようになっていますが、第三者的に作られるデバイスドライバやそれに準ずるソフトウエアはOSと同じ特権レベルのカーネルモードで動いています。OSと同じ特権命令が全て使える状態です。更に論理メモリも全てが同じ世界で動いています。なのでOSのシステム領域だろうがOSカーネル本体だろうが、その配置さえ理解できれば、読み書き自由となっています。ここが一番のウイークポイントです。

〇特定フォルダーに「直接続物理的操作ハードウエアによる」ユーザー設定で、「直接続物理的操作ハードウエアによる」ユーザー操作以外の読み書きを禁止するマークを付けられる。これは、このフォルダー内のファイルは「直接続物理的操作ハードウエアによる」操作以外では開けない。開くとファイルヘッダＩＤと拡張子が同じ場合は登録してある対象ソフトウエアで開ける。それ以外では、明示的にユーザーが「直接続物理的操作ハードウエアによる」操作で設定しているソフト以外からのアクセスを禁止する。これらは、ＯＳのクリティカルカーネルとセキュコアで完全に管理。※全てセキュＵＩからいつでも直接に設定できる。

別の場所に纏めたい場合は、ショートカットのみをまとめてそこからアクセスできるようにする。ただし、ショートカットからフォルダへの移動は「直接続物理的操作ハードウエアによる」操作からしか行えない。ショートカットが禁止フォルダに存在しているファイルを表している場合も、許可があるソフトウエアか、「直接続物理的操作ハードウエアによる」操作からしか起動できない。

以上２つがあれば、ウイルスによってＨＤＤ内の暗号化によるランサムウエアが回避できました。（20160927）

〇レジストリの登録はソフトインストール時にＯＳが登録場所を決定（登録ソフト名とＵＵＩＤ、ＧＵＩＤや立体チェックサムなどから）するのみ。それより下は勝手に操作できる。レジストリーの他の場所は操作できない。各レジストリーは自分のソフトから以外は基本的に操作（読み書き）できない。ＵＵＩＤやＧＵＩＤは暗号化しベンダーとＯＳ以外からは見えないようにする。
「UUID(≒GUID)は、インターネットドメインのように管理団体が管理することなしに、ネットワーク上で必ず一意であることが保障される128ビットの数値として設計」（20160927）

〇パスワード入力や根幹機能部操作などの許可フォームについて。「ＯＫ」「拒否」など。操作の表示内容と操作自体をＯＳが把握し完全に一致するようにする規格化する。文字種類やデザインは考慮できるような構造で、意味と操作は一致させる。少なくともチップ表示は義務付けてその意味を表示する。ＯＳ保障付き許可フォームは、そのＡＰＩ手続きをきちんと行っているという意味で、その保証マークをＯＳ自体が表示する。セキュＵＩには確実に保証されていることが明記される。（20160927）