Как защитить процесс загрузки Windows 10

Вы согласитесь, что основная функция операционной системы - обеспечить безопасную среду выполнения, в которой могут выполняться различные приложения. Это требует требования базовой основы для единообразного выполнения программы для безопасного использования аппаратных средств и систем доступа. Ядро предоставляет эту базовую услугу во всех, кроме самых простых операционных системах. Чтобы включить эти основные возможности для операционной системы, несколько частей ОС инициализируются и запускаются во время загрузки системы.

В дополнение к этому есть и другие функции, которые могут предлагать первоначальную защиту. К ним относятся:

• Защитник Windows - Он предлагает комплексную защиту вашей системы, файлов и онлайн-активности от вредоносных программ и других угроз.
• Фильтр SmartScreen - он всегда выдает предупреждение пользователям, прежде чем давать им возможность запускать ненадежное приложение. Здесь важно иметь в виду, что эти функции способны обеспечить защиту только после запуска Windows 10. Большинство современных вредоносных программ и буткитов, в частности, могут работать даже до запуска Windows, тем самым полностью скрывая и обходя защиту операционной системы.

К счастью, Windows 10 обеспечивает защиту даже во время запуска. Как? Ну, для этого нам сначала нужно понять, что такое руткиты и как они работают. После этого мы можем углубиться в тему и найти, как работает система защиты Windows 10.

Rootkits

Rootkits - это набор инструментов, используемых для взлома устройства взломщиком. Взломщик пытается установить руткит на компьютер, сначала путем получения доступа на уровне пользователя, либо используя известную уязвимость, либо взломать пароль, а затем извлечь необходимую информацию. Это скрывает тот факт, что операционная система была скомпрометирована путем замены жизненно важных исполняемых файлов.

Различные типы руткитов выполняются на разных этапах процесса запуска. К ним относятся,

1. руткиты ядра - Разработанные в качестве драйверов устройств или загружаемых модулей, этот набор способен заменить часть ядра операционной системы, поэтому руткит может запускаться автоматически при загрузке операционной системы.
2. Руткиты прошивки - Эти комплекты перезаписывают прошивку базовой системы ввода-вывода ПК или другого оборудования, поэтому руткит может начать работу до того, как Windows проснется.
3. Руткиты драйверов - На уровне драйвера приложения могут иметь полный доступ к аппаратное обеспечение системы. Таким образом, этот комплект претендует на роль одного из надежных драйверов, которые Windows использует для связи с оборудованием ПК.
4. Bootkits - это расширенная форма руткитов, которая использует базовые функции руткита и расширяет его с помощью способность заражать главную загрузочную запись (MBR). Он заменяет загрузчик операционной системы так, что ПК загружает Bootkit перед операционной системой.

В Windows 10 есть 4 функции, обеспечивающие загрузку Windows 10 и предотвращение этих угроз.

Защита процесса загрузки Windows 10

Secure Boot

Secure Boot - это стандарт безопасности, разработанный членами индустрии ПК, который поможет вам защитить вашу систему от вредоносных программ, не позволяя запускать несанкционированные приложения во время процесса запуска системы. Эта функция гарантирует, что ваш компьютер загружается с использованием только программного обеспечения, которому доверяет производитель ПК. Таким образом, всякий раз, когда запускается ваш компьютер, прошивка проверяет подпись каждой части программного обеспечения для загрузки, включая драйверы прошивки (дополнительные ПЗУ) и операционную систему. Если подписка проверена, компьютер загружается, а прошивка дает управление операционной системе.

Trusted Boot

Этот загрузчик использует модуль виртуальной доверенной платформы (VTPM) для проверки цифровой подписи ядра Windows 10 до загружая его, в свою очередь, проверяет все остальные компоненты процесса запуска Windows, включая драйверы загрузки, файлы запуска и ELAM. Если файл был изменен или изменен в какой-либо степени, загрузчик обнаруживает его и отказывается загрузить его, признав его поврежденным компонентом. Короче говоря, он обеспечивает цепочку доверия для всех компонентов во время загрузки.

Ранняя антивирусная защита от вирусов

Антивирусная защита раннего запуска (ELAM) обеспечивает защиту компьютеров, присутствующих в сети, при запуске и перед инициализацией драйверов сторонних разработчиков. После того, как Secure Boot успешно удалось защитить загрузчик, а Trusted Boot завершила / завершила задачу по защите ядра Windows, начинается роль ELAM. Он закрывает любую лазейку, оставшуюся для вредоносного ПО, для запуска или запуска заражения, заражая не-Microsoft загрузочный драйвер. Функция немедленно загружает антивирусную программу Microsoft или других производителей. Это помогает установить непрерывную цепочку доверия, установленную Secure Boot и Trusted Boot, ранее.

Измеренная загрузка

Было отмечено, что ПК, зараженные руткитами, продолжают казаться здоровыми даже при запуске антивирусной программы. Эти зараженные ПК, если они подключены к сети на предприятии, представляют серьезную угрозу для других систем, открывая маршруты для руткитов для доступа к огромным количествам конфиденциальных данных. Измеренная загрузка в Windows 10 позволяет доверенному серверу в сети проверять целостность процесса запуска Windows, используя следующие процессы.

1. Запуск клиента удаленной аттестации Microsoft - доверенный сервер аттестации отправляет клиенту уникальный ключ на завершение каждого процесса запуска.
2. Прошивка компьютера UEFI хранит в TPM хеш прошивки, загрузчика, загрузочных драйверов и всего, что будет загружено перед программным обеспечением для защиты от вредоносных программ.
3. TPM использует уникальный ключ для цифровой подписи журнала, записанного UEFI. Затем клиент отправляет журнал на сервер, возможно, с другой информацией о безопасности.

С учетом всей этой информации сервер теперь может найти, является ли клиент работоспособным, и предоставить клиенту доступ к ограниченной сети карантина или к полная сеть.

Ознакомьтесь с полной информацией о Microsoft.