Slik sikrer du Windows 10 Boot-prosessen

Du vil være enig i at operativsystemets primære funksjon er å gi et trygt utførelsesmiljø der forskjellige applikasjoner kan kjøre, trygt. Dette krever kravet om et grunnleggende rammeverk for enhetlig programgjennomføring for å bruke maskinvare- og tilgangssystemressursene på en sikker måte. Kjernen gir denne grunnleggende tjenesten i alle, men de mest enkle operativsystemene. For å aktivere disse grunnleggende funksjonene for operativsystemet, starter flere deler av operativsystemet og kjører på systemstarttid.

I tillegg til dette er det andre funksjoner som kan tilby første beskyttelse. Disse inkluderer:

• Windows Defender - Det gir en omfattende beskyttelse for ditt system, filer og online aktiviteter fra skadelig programvare og andre trusler. Verktøyet bruker signaturer for å oppdage og karantene programmer, som er kjent for å være skadelig.
• SmartScreen Filter - Det utsteder alltid advarsel til brukere før de gjør det mulig for dem å kjøre en pålitelig app. Her er det viktig å huske på at disse funksjonene kun kan tilby beskyttelse først etter at Windows 10 starter. Mest moderne malware og bootkits spesielt kan kjøre selv før Windows starter, og dermed ligge skjult og omgå operativsystemsikkerhet helt.

Heldigvis gir Windows 10 beskyttelse selv under oppstart. Hvordan? Vel, for dette må vi først forstå hva Rootkits er og hvordan de fungerer. Deretter kan vi dype dypere inn i emnet og finne ut hvordan Windows 10-beskyttelsessystemet fungerer.

Rootkits

Rootkits er et sett med verktøy som brukes til å hackere en enhet av en cracker. Cracker forsøker å installere en rootkit på en datamaskin, først ved å oppnå tilgang på brukernivå, enten ved å utnytte et kjent sikkerhetsproblem eller sprekke et passord og deretter hente den nødvendige informasjonen. Det skjuler det faktum at et operativsystem er blitt kompromittert ved å erstatte viktige kjørbare.

Ulike typer rootkits kjører i ulike faser av oppstartsprosessen. Disse inkluderer

1. Kernel rootkits - Utviklet som enhetsdrivere eller lastbare moduler, dette settet kan erstatte en del av operativsystemkjernen, slik at rootkit kan starte automatisk når operativsystemet laster.
2. Firmware rootkits - Disse kitene overskriver fastvaren til PCens grunnleggende inngang / utgangssystem eller annen maskinvare, slik at rootkit kan starte før Windows våkner.
3. Driver rootkits - På drivernivå kan applikasjoner ha full tilgang til systemets maskinvare. Så, gjør dette settet til å være en av de pålitelige driverne som Windows bruker til å kommunisere med PC-maskinvaren.
4. Bootkits - Det er en avansert form for rootkits som tar grunnleggende funksjonalitet til en rootkit og strekker den ut med evne til å infisere Master Boot Record (MBR). Det erstatter operativsystemets oppstartslaster, slik at PCen laster Bootkit før operativsystemet.

Windows 10 har 4 funksjoner som sikrer Windows 10-oppstartsprosessen og unngår disse truslene.

Sikre Windows 10 Boot Process

Secure Boot

Secure Boot er en sikkerhetsstandard som er utviklet av medlemmer av PC-industrien, for å hjelpe deg med å beskytte systemet mot ondsinnede programmer ved ikke å tillate at uautoriserte applikasjoner kjører under oppstartsprosessen. Funksjonen sørger for at PCen støtter bare programvare som er pålitelig av PC-produsenten. Så når din PC starter, kontrollerer fastvaren signaturen til hvert stykke oppstartsprogramvare, inkludert fastvaredrivere (tilleggsrom-ROMer) og operativsystemet. Hvis signaturene er bekreftet, støtter PC-en, og fastvaren gir kontroll over operativsystemet.

Trusted Boot

Denne opplasteren bruker VTPM til Virtual Trusted Platform Module for å verifisere den digitale signaturen til Windows 10-kjernen før laster det som i sin tur verifiserer alle andre komponenter i Windows-oppstartsprosessen, inkludert oppstartsdrivere, oppstartsfiler og ELAM. Hvis en fil har blitt endret eller endret i noen grad, oppdager bootloaderen den og nekter å laste den ved å gjenkjenne den som den ødelagte komponenten. Kort sagt, det gir en kjede av tillit for alle komponentene under oppstart.

Tidlig lansering av anti-malware

Tidlig lansering av anti-malware (ELAM) gir beskyttelse for datamaskinene som er tilstede i et nettverk når de starter og før tredjepartsdrivere initialiseres. Etter at Secure Boot har klart å beskytte bootloader og Trusted Boot har fullført oppgaven som sikrer Windows-kjernen, begynner ELAMs rolle. Den lukker eventuelle smutthull som er igjen for malware, for å starte eller starte infeksjon ved å infisere en ikke-Microsoft-oppstartdriver. Funksjonen laster umiddelbart en Microsoft-eller ikke-Microsoft anti-malware. Dette bidrar til å etablere en kontinuerlig tillitssett som er etablert av Secure Boot og Trusted Boot, tidligere.

Målet Boot

Det har blitt observert at PC-er infisert med rootkits fortsatt vises sunne, selv med anti-malware-kjøring. Disse infiserte PCene hvis de er koblet til et nettverk i et foretak, gir alvorlig risiko for andre systemer ved å åpne ruter for rootkits for tilgang til store mengder konfidensielle data. Målrettet oppstart i Windows 10 tillater en pålitelig server på nettverket å verifisere integriteten til oppstartsprosessen for Windows ved å bruke følgende prosesser.

1. Kjøring av ikke-Microsoft eksternattestasjonsklient - Den klarerte attestasjonsserveren sender klienten en unik nøkkel til slutten av hver oppstartsprosess.
2. PC-en UEFI-firmware på PC-en lagrer i TPM en hash av firmware, bootloader, oppstartdrivere og alt som skal lastes før anti-malware-appen.
3. TPM bruker den unike nøkkelen å signere loggen logget opp av UEFI. Klienten sender deretter loggen til serveren, muligens med annen sikkerhetsinformasjon.

Med all denne informasjonen tilgjengelig, kan serveren nå finne ut om klienten er sunn og gi klienten tilgang til enten et begrenset karantene nettverk eller til fullt nettverk.

Les de fulle detaljene på Microsoft.