Skip to main content

Як захистити завантажувальний процес Windows 10

Як захистити завантажувальний процес Windows 10

Geoffrey Carr

Ви погоджуєтеся, що основна функція операційної системи полягає у забезпеченні безпечного середовища виконання, де різні програми можуть працювати. Це вимагає вимоги базової основи для рівномірного виконання програми, щоб безпечно використовувати апаратні засоби та ресурси системи доступу. Ядро забезпечує цю базову службу у всіх, але не найбільш спрощених операційних системах. Щоб увімкнути ці фундаментальні можливості для операційної системи, кілька розділів ОС ініціалізуються і запускаються під час завантаження системи.

На додаток до цього, є й інші функції, здатні пропонувати первинний захист. До них відносяться:

  • Windows Defender - Він пропонує комплексний захист вашої системи, файлів та онлайн-активностей від шкідливих програм та інших загроз. Інструмент використовує підписи для виявлення та передачі додатків, які, як відомо, є шкідливими.
  • SmartScreen Filter - Завжди попереджує користувачів, перш ніж дозволяти їм запускати ненадійний додаток. Тут важливо мати на увазі, що ці функції здатні пропонувати захист лише після запуску Windows 10. Більшість сучасних зловмисних програм і, зокрема, завантажувальних машин, можуть працювати ще до запуску Windows, тим самим лежать у прихованому режимі і в обхід безпеки операційної системи повністю.

На щастя, Windows 10 забезпечує захист навіть під час запуску. Як? Для цього нам спочатку потрібно зрозуміти, що таке руткіти і як вони працюють. Після цього ми зможемо поглибити цю тему і дізнатися, як працює система захисту Windows 10.

Руткіти

Руткіти - це набір інструментів, який використовується для злому пристрій. Розбійник намагається встановити руткіт на комп'ютері, спочатку отримуючи доступ на рівні користувача, або шляхом експлуатації відомої вразливості або розбиття пароля, а потім завантаження потрібної інформації. Він приховує той факт, що операційна система була скомпрометована, замінивши виконувані файли життєво важливих.

Різні типи руткітів працюють під час різних етапів процесу запуску. До них належать

  1. Ядра руткітів -Розроблений як драйвери пристроїв або завантажувані модулі, цей комплект здатний замінити частину ядра операційної системи таким чином, щоб руткіт міг запускатися автоматично при завантаженні операційної системи.
  2. Руткіти прошивки -Ці комплекти перезаписують прошивку базової системи вводу / виводу ПК або іншого обладнання, тому руткіт може почати удар до того, як Windows прокинеться.
  3. Руткіти драйверів -На рівні драйверів додатки можуть мати повний доступ до апаратного забезпечення системи. Отже, цей комплект вважає себе одним із надійних драйверів, який Windows використовує для зв'язку з апаратним забезпеченням ПК.
  4. Боткіти - Це передові форми руткітів, які приймають базову функціональність руткітів і розширюють його з можливістю зараження основної завантажувальної записи (MBR). Він замінює завантажувач операційної системи таким чином, щоб ПК завантажував Bootkit перед операційною системою.

Windows 10 має 4 функції, що захищають процес завантаження Windows 10 і уникають цих загроз.

Захист завантажувального процесу Windows 10

Безпечне завантаження

Безпечне завантаження - це стандарт безпеки, розроблений членами індустрії ПК, який допоможе вам захистити вашу систему від шкідливих програм, не дозволяючи будь-яким неавторизованим додаткам працювати під час процесу запуску системи. Ця функція гарантує, що ПК завантажиться, використовуючи лише програмне забезпечення, яке довіряють виробник ПК. Таким чином, кожного разу, коли ваш ПК запускається, прошивка перевіряє підпис кожної частини завантажувального програмного забезпечення, включаючи драйвери мікропрограм (Option ROM) та операційну систему. Якщо підписи перевіряються, ПК завантажується, а вбудоване програмне забезпечення дає контроль над операційною системою.

Довірене завантаження

Цей завантажувач використовує модуль Virtual Trusted Platform Module (VTPM) для перевірки цифрового підпису ядра Windows 10 перед завантаженням, який, в свою чергу, перевіряє всі інші компоненти процесу запуску Windows, включаючи драйвери завантаження, файли завантаження та ELAM. Якщо файл був змінений або змінений в будь-якій мірі, завантажувач виявляє його і відмовляється завантажувати його, визнаючи його пошкодженим компонентом. Одним словом, це забезпечує ланцюг довіри для всіх компонентів під час завантаження.

Ранній запуск Anti-Malware

Раннє запуск анти-шкідливого програмного забезпечення (ELAM) забезпечує захист комп'ютерів, присутніх в мережі, коли вони запускаються та перед початком ініціалізації сторонніх драйверів. Після того, як Secure Boot успішно захистив завантажувач, а Trusted Boot завершив / завершив завдання, що захищає ядро ​​Windows, починається роль ELAM. Він закриває будь-яку лазівку для шкідливого програмного забезпечення для запуску чи інфікування зараження, заражаючи драйвер завантажувача, відмінний від Microsoft. Ця функція негайно завантажує анти-шкідливе ПЗ Microsoft або не-Microsoft. Це допомагає встановити безперервний ланцюжок довіри, встановлений за допомогою Secure Boot і Trusted Boot, раніше.

Вимірюється завантаження

Було відзначено, що ПК, інфіковані руткітами, продовжують виглядати здоровими, навіть якщо працює анти-шкідлива програма. Ці заражені комп'ютери, якщо вони підключені до мережі на підприємстві, створюють серйозний ризик для інших систем, відкриваючи маршрути для руткітів для доступу до величезної кількості конфіденційних даних. Виміряна завантаження в Windows 10 дозволяє надійному серверу в мережі перевіряти цілісність процесу запуску Windows, використовуючи наступні процеси.

  1. Запуск клієнта віддаленого атестації від корпорації Майкрософт - надійний сервер атестації надсилає клієнту унікальний ключ у кінці кожного процесу запуску.
  2. Програми прошивки комп'ютера UEFI в TPM містять хеш прошивки, завантажувача, драйверів завантаження та всього, що буде завантажено перед застосуванням проти шкідливих програм.
  3. TPM використовує унікальний ключ для цифрового підпису журналу, записаного UEFI. Потім клієнт надсилає журнал на сервер, можливо, з іншою інформацією про безпеку.

Завдяки всій цій інформації, сервер тепер може визначити, чи є клієнт здоровим, і надати клієнту доступ до обмеженої карантинної мережі або до повної мережі.

Прочитайте повну інформацію про Microsoft.

Схожі повідомлення:

  • Зауваження Microsoft щодо Rootkits докладно описано у Звіті про загрозу
  • Fix: Secure Boot неправильно налаштовано в Windows 8.1 / 10
  • Windows 8.1: операційна система проти шкідливих програм
  • Редактор даних конфігурації завантаження в ОС Windows
  • Безпечне завантаження, довірене завантаження, вимірювання завантаження в Windows 10/8

Link
Plus
Send
Send
Pin