A Windows 10 rendszerindítási folyamatának biztonsága

Elfogadja, hogy az operációs rendszer elsődleges feladata olyan biztonságos végrehajtási környezet biztosítása, ahol a különböző alkalmazások biztonságosan futhatnak. Ez szükségessé teszi az egységes programvégrehajtás alapvető keretének követelményét a hardver és a hozzáférési rendszer erőforrásainak biztonságos használatára. A rendszermag ezt az alapszolgáltatást biztosítja a legegyszerűbb operációs rendszereken kívül. Az operációs rendszer ezen alapvető lehetőségeinek engedélyezéséhez az operációs rendszer több részének inicializálása és futtatása rendszerszintű indításkor

Ezenkívül vannak más olyan szolgáltatások is, amelyek képesek kezdeti védelmet nyújtani. Ezek a következők:

• Windows Defender - Átfogó védelmet biztosít a rendszer, a fájlok és az online tevékenységek számára a rosszindulatú programok és egyéb fenyegetések ellen. Az eszköz aláírásokat használ az olyan rosszindulatú alkalmazások észlelésére és karanténba helyezésére, amelyekről ismert, hogy rosszindulatúak.
• SmartScreen Filter - Mindig figyelmeztetést küld a felhasználóknak, mielőtt megbízhatatlan alkalmazást futtatna. Itt fontos megjegyezni, hogy ezek a funkciók csak akkor nyújtanak védelmet, ha a Windows 10 elindul. A legfrissebb malware-k és bootkitsok még a Windows elindítása előtt is futhatnak, ezáltal rejtve fekszenek és megkerülik az operációs rendszer biztonságát.

Szerencsére a Windows 10 még az indításkor is védelmet nyújt. Hogyan? Nos, először meg kell értenünk, mi a Rootkits és hogyan működik. Ezt követően mélyebbre hatolhatunk a témában és megtalálhatjuk, hogy a Windows 10 védelmi rendszere hogyan működik.

Rootkits

A rootkit egy olyan eszköz, amely egy eszköz cracker-hez való hackelésére szolgál. A cracker megpróbálja telepíteni egy rootkit-ot egy számítógépen, először felhasználói szintű hozzáféréssel, vagy egy ismert biztonsági rés kihasználásával vagy egy jelszó megrepedésével, majd a szükséges információk lekérésével. Elfedi azt a tényt, hogy az operációs rendszert veszélyeztette a létfontosságú végrehajtható fájlok cseréje.

Az indítási folyamat különböző fázisaiban különböző rootkitípusok futnak. Ezek a következők tartoznak:

1. Kernel rootkitek - Eszközvezérlőként vagy betölthető modulokként kifejlesztve ez a készlet képes az operációs rendszer rendszermagjának egy részét kicserélni, hogy a rootkit automatikusan elinduljon az operációs rendszer betöltésekor.
2. Firmware rootkitek - Ezek a készletek felülírják a számítógép alapvető bemeneti / kimeneti rendszere vagy egyéb hardver firmware-jét, így a rootkit elindulhat, mielőtt a Windows felébred.
3. Driver rootkitek - a rendszer hardvere. Tehát ez a készlet úgy tűnik, hogy az egyik megbízható illesztőprogram, amelyet a Windows a PC-hardverrel kommunikál.
4. Bootkits - Ez egy korszerűsített rootkit-formátum, amely a rootkit alapvető funkcióit veszi alapul képes megfertőzni a mesterindító rekordot (MBR). Az operációs rendszer boot-betöltője helyettesítheti, hogy a PC betöltse a Bootkit-et az operációs rendszer előtt.

A Windows 10 4 funkciója biztosítja a Windows 10 indítási folyamatát, és elkerüli ezeket a fenyegetéseket.

A Windows 10 rendszerindítási folyamat

Biztonságos Boot

A Secure Boot egy olyan biztonsági szabvány, amelyet a PC-ipar tagjai fejlesztettek ki, hogy segítsen megvédeni a rendszert a rosszindulatú programoktól, mivel nem engedélyezi a jogosulatlan alkalmazások futtatását a rendszerindítási folyamat során. A funkció biztosítja, hogy a számítógép csak a PC gyártója által megbízott szoftvert használja. Így, amikor a számítógép elindul, a firmware ellenőrzi minden egyes boot szoftver aláírását, beleértve a firmware-meghajtókat (Option ROM-okat) és az operációs rendszert.

Trusted Boot

Ez a rendszerbetöltő a Virtuálisan Megbízható Platform Modult (VTPM) segítségével ellenőrzi a Windows 10 rendszermag digitális aláírását, mielőtt az aláírások ellenőrizhetők lennének. betöltve, ami viszont ellenőrzi a Windows indítási folyamatának minden más elemét, beleértve a rendszerindító illesztőprogramokat, az indító fájlokat és az ELAM-ot. Ha a fájlt bármilyen mértékben megváltoztatták vagy megváltoztatták, a rendszerindító felismeri és megtagadja a betöltést, mivel felismerte, hogy sérült. Röviden, a csomagtartó minden bizonnyal láncot biztosít a rendszerindításkor.

Korai bevezetés a rosszindulatú programok ellen

A korai indítás elleni rosszindulatú programok (ELAM) védelmet biztosítanak a hálózatban lévő számítógépek számára, amikor elindulnak, és mielőtt a harmadik féltől származó illesztőprogramok inicializálásra kerülnek. Miután a Secure Boot sikeresen védte a bootloadert és a Trusted Boot befejezte / befejezte a Windows rendszermagot védő feladatot, elindul az ELAM szerepe. Bezárja a rosszindulatú programokra hagyott kiskaput, hogy megkezdje vagy megkezdje a fertőzést egy nem Microsoft indító meghajtó megfertőzésével. A szolgáltatás azonnal betölt egy Microsoft vagy nem Microsoft kártevő-ellenes programot. Ez segíti a Biztonságos Boot és a Trusted Boot által létrehozott folyamatos bizalmi lánc létrehozását.

Measured Boot

Megfigyelték, hogy a rootkitekkel fertőzött számítógépek továbbra is egészségesek maradnak, még a rosszindulatú programok ellen is. Ezek a fertőzött számítógépek, ha egy vállalat hálózathoz csatlakoznak, komoly kockázatot jelentenek más rendszerek számára, mivel megnyitják a gyökércsatornák útvonalát, hogy hozzáférjenek a bizalmas adatok nagy mennyiségéhez. A Windows 10-es méréses indítása lehetővé teszi a hálózat megbízható kiszolgálójának, hogy ellenőrizze a Windows indítási folyamatának integritását a következő folyamatok használatával:

1. Nem Microsoft távoli tanúsítvány ügyfélprogram futtatása - A megbízható tanúsítványkiszolgáló egyedi kulcsot küld az ügyfélnek a
2. A számítógép UEFI firmware tárolja a TPM-ben a firmware, a bootloader, a rendszerindító illesztőprogramok és az összes olyan fájlt, amelyet az anti-malware alkalmazás előtt betöltenek.
3. A TPM az egyedi kulcsot használja az UEFI által rögzített napló digitális aláírása. Az ügyfél ezután elküldi a naplót a kiszolgálónak, esetleg más biztonsági információkkal.

A kezelő mindezen információk alapján megállapíthatja, hogy az ügyfél egészséges-e, és megadja-e az ügyfél számára hozzáférést egy korlátozott karanténhálózathoz vagy a teljes hálózat.

Olvassa el a Microsoft részletes adatait