Sådan sikres Windows 10 Boot-processen

Du er enig i, at operativsystemets primære funktion er at sikre et sikkert udførelsesmiljø, hvor forskellige applikationer kan køre sikkert. Dette forudsætter kravet om en grundlæggende ramme for ensartet programudførelse for at bruge hardware- og adgangssystemressourcerne på en sikker måde. Kernen giver denne grundlæggende service i alle men de mest forenklede operativsystemer. For at aktivere disse grundlæggende evner for operativsystemet initialiseres og deles flere dele af operativsystemet på systemstarttidspunktet.

Derudover er der andre funktioner, der kan tilbyde indledende beskyttelse. Disse omfatter:

• Windows Defender - Det giver en omfattende beskyttelse af dit system, filer og online aktiviteter fra malware og andre trusler. Værktøjet anvender signaturer til at registrere og karantæne apps, der er kendt for at være skadelige.
• SmartScreen Filter - Det udsender altid advarsel til brugere, før de giver dem mulighed for at køre en ubetydelig app. Her er det vigtigt at huske på, at disse funktioner kun kan tilbyde beskyttelse først efter Windows 10 starter. De fleste moderne malware- og bootkits i særdeleshed kan køre lige før Windows starter og derved ligge skjult og omgå operativsystemets sikkerhed helt.

Heldigvis giver Windows 10 beskyttelse selv under opstart. Hvordan? Nå skal vi først forstå, hvad Rootkits er, og hvordan de virker. Derefter kan vi dybere dybere ind i emnet og finde ud af, hvordan Windows 10-beskyttelsessystemet fungerer.

Rootkits

Rootkits er et sæt værktøjer, der bruges til at hackere en enhed af en cracker. Krakkeren forsøger at installere en rootkit på en computer først ved at få adgang til brugerniveau enten ved at udnytte et kendt sårbarhed eller revne en adgangskode og derefter hente de nødvendige oplysninger. Det skjuler det faktum, at et operativsystem er blevet kompromitteret ved at erstatte vigtige kørsler.

Forskellige typer rootkits kører i forskellige faser af opstartsprocessen. Disse omfatter

1. Kernel rootkits - Udviklet som enhedsdrivere eller indlæste moduler. Dette kit er i stand til at erstatte en del af operativsystemkernen, så rootkit kan starte automatisk, når operativsystemet laster.
2. Firmware rootkits - Disse kits overskriver firmware til pc`ens grundlæggende input / output system eller anden hardware, så rootkit kan starte før Windows vågner.
3. Driver rootkits - På driverniveau kan applikationer have fuld adgang til systemets hardware. Så dette kit fortæller at være en af ​​de betroede drivere, som Windows bruger til at kommunikere med pc`ens hardware.
4. Bootkits - Det er en avanceret form for rootkits, der tager den grundlæggende funktionalitet i en rootkit og udvider den med evnen til at inficere Master Boot Record (MBR). Det erstatter operativsystemets bootloader, så computeren indlæser Bootkit før operativsystemet.

Windows 10 har 4 funktioner, der sikrer Windows 10-opstartsprocessen og undgår disse trusler.

Sikring af Windows 10 Boot Process

Secure Boot

Secure Boot er en sikkerhedsstandard, der er udviklet af medlemmer af pc-industrien, for at hjælpe dig med at beskytte dit system mod ondsindede programmer ved ikke at tillade uautoriserede applikationer at køre under systemets opstartsproces. Funktionen sørger for, at din pc starter med kun software, der er betroet af pc-producenten. Så når din pc starter, kontrollerer firmwaren signaturen for hvert stykke boot-software, herunder firmware-drivere (ekstraudstyr-ROM`er) og operativsystemet. Hvis signaturerne er verificeret, starter pc`en, og firmwaren giver styring til operativsystemet.

Trusted Boot

Denne bootloader bruger VTPM til Virtual Trusted Platform Module til at verificere den digitale signatur af Windows 10-kernen før indlæsning af det, hvilket igen verificerer alle andre komponenter i Windows-opstartsprocessen, herunder boot-drivere, opstartsfiler og ELAM. Hvis en fil er blevet ændret eller ændret i nogen grad, opdager bootloaderen det og nægter at indlæse det ved at genkende det som den beskadigede komponent. Kort sagt, det giver en kæde af tillid til alle komponenter under opstart.

Tidlig lancering af anti-malware

Tidlig lancering af anti-malware (ELAM) giver beskyttelse til de computere, der er til stede i et netværk, når de starter og før tredjepartsdrivere initialiseres. Når Secure Boot har formået at beskytte bootloaderen, og Trusted Boot har afsluttet / gennemført opgaven, der beskytter Windows-kernen, begynder ELAMs rolle. Den lukker eventuelle smuthuller, der er tilbage til malware, for at starte eller starte infektion ved at inficere en startdriver, der ikke er Microsoft. Funktionen lægger straks en Microsoft eller ikke-Microsoft anti-malware op. Dette hjælper med at etablere en vedvarende tillidskæde, der er etableret af Secure Boot og Trusted Boot, tidligere.

Målet Boot

Det er blevet observeret, at pc`er inficeret med rootkits fortsat virker sunde, selv med anti-malware running. Disse inficerede pc`er, hvis de er tilsluttet et netværk i en virksomhed, udgør en alvorlig risiko for andre systemer ved at åbne ruter til rootkitsne for at få adgang til store mængder fortrolige data. Målet Boot i Windows 10 tillader en pålidelig server på netværket at verificere integriteten af ​​startprocessen i Windows ved hjælp af følgende processer.

1. Kørsel af ikke-Microsoft-fjernerklæringsklient - Den pålidelige attestationsserver sender klienten en unik nøgle til slutningen af ​​hver startproces.
2. Pc`ens UEFI-firmware opbevarer i TPM en hash for firmware, bootloader, boot drivere og alt, hvad der vil blive indlæst før anti-malware-appen.
3. TPM bruger den unikke nøgle til digital signering af loggen registreret af UEFI. Klienten sender derefter loggen til serveren, muligvis med anden sikkerhedsinformation.

Med alle disse oplysninger ved hånden kan serveren nu finde ud af om klienten er sund og give klientadgang til enten et begrænset karantænnetværk eller til fuldt netværk.

Læs de fulde detaljer om Microsoft.