Вы согласитесь, что основная функция операционной системы - обеспечить безопасную среду выполнения, в которой могут работать безопасные приложения. Это требует требования базовой основы для единообразного выполнения программы для безопасного использования аппаратных средств и систем доступа. Ядро предоставляет эту базовую услугу во всех, кроме самых простых операционных системах. Чтобы включить эти основные возможности для операционной системы, несколько частей ОС инициализируются и запускаются во время загрузки системы.
В дополнение к этому существуют и другие функции, способные предложить первоначальную защиту. Они включают:
- Защитник Windows - Он предлагает комплексную защиту вашей системы, файлов и онлайн-активности от вредоносных программ и других угроз. Инструмент использует сигнатуры для обнаружения и помеще ния приложений, которые, как известно, являются вредоносными.
- Фильтр SmartScreen - Он всегда выдает предупреждение пользователям, прежде чем давать им возможность запускать ненадежное приложение. Здесь важно иметь в виду, что эти функции способны обеспечить защиту только после запуска Windows 10. Большинство современных вредоносных программ и буткитов, в частности, могут работать даже до запуска Windows, тем самым полностью скрывая и обходя безопасность операционной системы.
К счастью, Windows 10 обеспечивает защиту даже во время запуска. Как? Ну, для этого нам сначала нужно понять, что такое руткиты и как они работают. После этого мы можем углубиться в тему и найти, как работает система защиты Windows 10.
Руткит
Руткиты - это набор инструментов, используемых для взлома устройства взломщиком. Взломщик пытается установить руткит на компьютер, сначала путем получения доступа на уровне пользователя, либо используя известную уязвимость, либо взломать пароль, а затем извлечь необходимую информацию. Он скрывает тот факт, что операционная система была скомпрометирована путем замены жизненно важных исполняемых файлов.
Различные типы руткитов выполняются на разных этапах процесса запуска. Они включают,
- Руткиты ядра - Разработанный как драйверы устройств или загружаемые модули, этот комплект способен заменить часть ядра операционной системы, поэтому руткит может запускаться автоматически при загрузке операционной системы.
- Прошивки руткитов - Эти наборы перезаписывают прошивку базовой системы ввода-вывода ПК или другого оборудования, поэтому руткит может начать работу до того, как Windows проснется.
- Драйвер руткитов - На уровне драйвера приложения могут иметь полный доступ к аппаратным средствам системы. Таким образом, этот комплект претендует на роль одного из надежных драйверов, которые Windows использует для связи с оборудованием ПК.
- буткитов - Это расширенная форма руткитов, которые используют базовые функции руткита и расширяют его с возможностью заражения основной загрузочной записи (MBR). Он заменяет загрузчик операционной системы так, что компьютер загружает Bootkit перед операционной системой.
Windows 10 имеет 4 функции, которые защищают процесс загрузки Windows 10 и избегают этих угроз.
Защита процесса загрузки Windows 10
Безопасная загрузка
Secure Boot - это стандарт безопасности, разработанный членами индустрии ПК, который поможет вам защитить вашу систему от вредоносных программ, не позволяя запускать несанкционированные приложения во время процесса запуска системы. Эта функция гарантирует, что ваш компьютер загружается с использованием только программного обеспечения, которому доверяет производитель ПК. Таким образом, всякий раз, когда запускается ваш компьютер, прошивка проверяет подпись каждой части программного обеспечения для загрузки, включая драйверы прошивки (дополнительные ПЗУ) и операционную систему. Если подписи проверены, компьютер загружается, а прошивка дает управление операционной системе.
Надежная загрузка
Этот загрузчик использует модуль виртуальной доверенной платформы (VTPM) для проверки цифровой подписи ядра Windows 10 перед загрузкой, который, в свою очередь, проверяет все остальные компоненты процесса запуска Windows, включая драйверы загрузки, файлы запуска и ELAM. Если файл был изменен или изменен в какой-либо степени, загрузчик обнаруживает его и отказывается загрузить его, признав его поврежденным компонентом. Короче говоря, он обеспечивает цепочку доверия для всех компонентов во время загрузки.
Ранняя антивирусная защита
Ранняя антивирусная защита (ELAM) обеспечивает защиту компьютеров, присутствующих в сети, при запуске и перед инициализацией драйверов сторонних производителей. После того, как Secure Boot успешно удалось защитить загрузчик, а Trusted Boot завершила / завершила задачу по защите ядра Windows, начинается роль ELAM. Он закрывает любую лазейку, оставшуюся для вредоносного ПО, для запуска или запуска заражения, заражая не-Microsoft загрузочный драйвер. Функция немедленно загружает антивирусную программу Microsoft или других производителей. Это помогает установить непрерывную цепочку доверия, установленную Secure Boot и Trusted Boot, ранее.
Измеренная загрузка
Было замечено, что ПК, зараженные руткитами, продолжают казаться здоровыми даже при запуске антивирусной программы. Эти зараженные ПК, если они подключены к сети на предприятии, представляют серьезную угрозу для других систем, открывая маршруты для руткитов для доступа к огромным количествам конфиденциальных данных. Измеренная загрузка в Windows 10 позволяет доверенному серверу в сети проверять целостность процесса запуска Windows, используя следующие процессы.
- Запуск клиента удаленной аттестации, отличного от Microsoft. Сервер доверенной аттестации отправляет клиенту уникальный ключ в конце каждого процесса запуска.
- Прошивка компьютера UEFI хранит в TPM хеш прошивки, загрузчика, загрузочных драйверов и всего, что будет загружено перед антивирусным приложением.
- TPM использует уникальный ключ для цифровой подписи журнала, записанного UEFI. Затем клиент отправляет журнал на сервер, возможно, с другой информацией о безопасности.
Имея всю эту информацию, сервер теперь может определить, является ли клиент работоспособным, и предоставить клиенту доступ к ограниченной сети карантина или к полной сети.
Ознакомьтесь с полной информацией о Microsoft.
Похожие сообщения:
- Замечание Microsoft о Rootkits, подробно описанном в отчете об угрозах
- Исправление: Безопасная загрузка не настроена правильно в Windows 8.1 / 10
- Windows 8.1: операционная система Anti Malware
- Редактор данных конфигурации загрузки в ОС Windows
- Безопасная загрузка, надежная загрузка, измеренная загрузка в Windows 10/8