Τρόπος εξασφάλισης της διαδικασίας εκκίνησης των Windows 10

Θα συμφωνήσετε ότι η κύρια λειτουργία του λειτουργικού συστήματος είναι να παρέχει ένα ασφαλές περιβάλλον εκτέλεσης όπου μπορούν να τρέξουν με ασφάλεια διάφορες εφαρμογές. Αυτό απαιτεί την απαίτηση ενός βασικού πλαισίου για την ομοιόμορφη εκτέλεση του προγράμματος να χρησιμοποιεί με ασφαλή τρόπο το υλικό και τους πόρους του συστήματος πρόσβασης. Ο πυρήνας παρέχει αυτή τη βασική υπηρεσία σε όλα, εκτός από τα πιο απλοϊκά λειτουργικά συστήματα. Για να ενεργοποιήσετε αυτές τις θεμελιώδεις δυνατότητες για το λειτουργικό σύστημα, πολλά τμήματα του λειτουργικού συστήματος αρχικοποιούνται και εκτελούνται κατά την εκκίνηση του συστήματος.

Εκτός από αυτό, υπάρχουν και άλλα χαρακτηριστικά που μπορούν να προσφέρουν αρχική προστασία. Αυτά περιλαμβάνουν:

• Windows Defender - Προσφέρει μια ολοκληρωμένη προστασία για το σύστημά σας, τα αρχεία και τις δραστηριότητές σας στο διαδίκτυο από κακόβουλο λογισμικό και άλλες απειλές. Το εργαλείο χρησιμοποιεί υπογραφές για την ανίχνευση και την καραντίνα εφαρμογών, που είναι γνωστό ότι είναι κακόβουλο.
• Φίλτρο SmartScreen - Πάντα εκδίδει προειδοποίηση στους χρήστες προτού τους επιτρέψει να τρέξουν μια αναξιόπιστη εφαρμογή. Εδώ, είναι σημαντικό να έχετε κατά νου ότι αυτά τα χαρακτηριστικά γνωρίσματα είναι σε θέση να προσφέρουν προστασία μόνο μετά την εκκίνηση των Windows 10. Τα περισσότερα σύγχρονα προγράμματα κακόβουλης λειτουργίας και τα bootkits μπορούν να τρέξουν ακόμα και πριν ξεκινήσουν τα Windows, οπότε βρίσκονται κρυμμένα και παρακάμπτονται πλήρως την ασφάλεια του λειτουργικού συστήματος.

Ευτυχώς, τα Windows 10 παρέχουν προστασία ακόμα και κατά την εκκίνηση. Πως? Λοιπόν, για αυτό, πρέπει πρώτα να καταλάβουμε τι είναι Rootkits και πώς λειτουργούν. Στη συνέχεια, μπορούμε να εμβαθύνουμε στο θέμα και να βρούμε πώς λειτουργεί το σύστημα προστασίας των Windows 10.

Rootkits

Τα Rootkits είναι ένα σύνολο εργαλείων που χρησιμοποιούνται για την hacking μιας συσκευής από μια cracker. Το cracker προσπαθεί να εγκαταστήσει ένα rootkit σε έναν υπολογιστή, αρχικά με τη λήψη πρόσβασης σε επίπεδο χρήστη, είτε εκμεταλλευόμενος μια γνωστή ευπάθεια είτε σπάσιμο ενός κωδικού πρόσβασης και στη συνέχεια ανακτώντας τις απαιτούμενες πληροφορίες. Κρύβει το γεγονός ότι ένα λειτουργικό σύστημα έχει παραβιαστεί αντικαθιστώντας ζωτικά εκτελέσιμα αρχεία.

Διαφορετικοί τύποι rootkits εκτελούνται κατά τη διάρκεια διαφορετικών φάσεων της διαδικασίας εκκίνησης. Αυτά περιλαμβάνουν το

1. rootkits του πυρήνα - Αναπτύχθηκαν ως προγράμματα οδήγησης συσκευών ή φορτιζόμενες μονάδες, αυτό το κιτ μπορεί να αντικαταστήσει ένα τμήμα του πυρήνα του λειτουργικού συστήματος έτσι ώστε το rootkit να μπορεί να ξεκινήσει αυτόματα όταν το λειτουργικό σύστημα φορτώνεται. -
2. Αυτά τα κιτ αντικατέστησαν το υλικολογισμικό του βασικού συστήματος εισόδου / εξόδου του υπολογιστή ή άλλου υλικού, έτσι ώστε το rootkit να μπορεί να ξεκινήσει πάλι πριν ξυπνήσει τα Windows rootkits του προγράμματος οδήγησης -
3. το υλικό του συστήματος. Έτσι, αυτό το κιτ προσποιείται ότι είναι ένα από τα αξιόπιστα προγράμματα οδήγησης που χρησιμοποιούν τα Windows για επικοινωνία με το υλικό του υπολογιστή. Bootkits
4. - Πρόκειται για μια προηγμένη μορφή rootkits που παίρνουν τις βασικές λειτουργίες ενός rootkit και το επεκτείνουν με δυνατότητα να μολύνει την εγγραφή Master Boot (MBR). Αντικαταστήστε το bootloader του λειτουργικού συστήματος έτσι ώστε ο υπολογιστής να φορτώσει το Bootkit πριν από το λειτουργικό σύστημα. Τα Windows 10 έχουν 4 δυνατότητες για τη διασφάλιση της διαδικασίας εκκίνησης των Windows 10 και την αποφυγή αυτών των απειλών. Boot

Το Secure Boot είναι ένα πρότυπο ασφαλείας που αναπτύχθηκε από μέλη της βιομηχανίας υπολογιστών για να σας βοηθήσει να προστατέψετε το σύστημά σας από κακόβουλα προγράμματα, μην επιτρέποντας την εκτέλεση μη εξουσιοδοτημένων εφαρμογών κατά τη διάρκεια της διαδικασίας εκκίνησης του συστήματος. Η λειτουργία αυτή εξασφαλίζει ότι ο υπολογιστής σας εκκινεί χρησιμοποιώντας μόνο λογισμικό που εμπιστεύεται ο κατασκευαστής του υπολογιστή. Έτσι, κάθε φορά που ξεκινά ο υπολογιστής σας, το firmware ελέγχει την υπογραφή κάθε λογισμικού εκκίνησης, συμπεριλαμβανομένων των προγραμμάτων οδήγησης υλικολογισμικού (Option ROMs) και του λειτουργικού συστήματος. Αν η επαλήθευση των υπογραφών επαληθευτεί, η μπότα του υπολογιστή και το firmware δίνει έλεγχο στο λειτουργικό σύστημα.

Trusted Boot

Αυτός ο bootloader χρησιμοποιεί την VTPM για να επιβεβαιώσει την ψηφιακή υπογραφή του πυρήνα των Windows 10 πριν το οποίο με τη σειρά του επαληθεύει κάθε άλλη συνιστώσα της διαδικασίας εκκίνησης των Windows, συμπεριλαμβανομένων των προγραμμάτων οδήγησης εκκίνησης, των αρχείων εκκίνησης και του ELAM. Αν ένα αρχείο έχει αλλοιωθεί ή αλλάξει σε κάποιο βαθμό, ο bootloader τον εντοπίζει και αρνείται να το φορτώσει αναγνωρίζοντάς τον ως το κατεστραμμένο στοιχείο. Με λίγα λόγια, παρέχει μια αλυσίδα εμπιστοσύνης για όλα τα στοιχεία κατά την εκκίνηση.

Πρόωρη εκκίνηση κατά του κακόβουλου λογισμικού

Η πρόωρη εκκίνηση κατά του κακόβουλου λογισμικού (ELAM) παρέχει προστασία για τους υπολογιστές που υπάρχουν σε ένα δίκτυο κατά την εκκίνηση και πριν από την προετοιμασία των προγραμμάτων οδήγησης τρίτων κατασκευαστών. Αφού ο Secure Boot κατάφερε να προστατεύσει με επιτυχία τον bootloader και ο Trusted Boot έχει ολοκληρώσει / ολοκληρώσει την εργασία που διαφυλάσσει τον πυρήνα των Windows, αρχίζει ο ρόλος του ELAM. Κλείνει οποιοδήποτε παραθυράκι αριστερά για κακόβουλο λογισμικό για να ξεκινήσει ή να ξεκινήσει μόλυνση μολύνοντας ένα πρόγραμμα εκκίνησης που δεν είναι της Microsoft. Η λειτουργία φορτώνει αμέσως ένα πρόγραμμα προστασίας από malware της Microsoft ή μη. Αυτό έχει ως αποτέλεσμα την καθιέρωση μιας συνεχούς αλυσίδας εμπιστοσύνης που δημιουργήθηκε από το Secure Boot και την Trusted Boot.

Measured Boot

Έχει παρατηρηθεί ότι οι υπολογιστές που έχουν μολυνθεί με rootkits συνεχίζουν να φαίνονται υγιείς, ακόμα και με την καταπολέμηση malware. Αυτοί οι μολυσμένοι υπολογιστές, εάν είναι συνδεδεμένοι σε ένα δίκτυο μιας επιχείρησης, θέτουν σοβαρό κίνδυνο σε άλλα συστήματα ανοίγοντας διαδρομές για τα rootkits για πρόσβαση σε τεράστιες ποσότητες εμπιστευτικών δεδομένων. Μετρημένη εκκίνηση στα Windows 10 επιτρέπει σε έναν αξιόπιστο διακομιστή στο δίκτυο να επαληθεύει την ακεραιότητα της διαδικασίας εκκίνησης των Windows χρησιμοποιώντας τις ακόλουθες διαδικασίες.

Εκτέλεση πελάτη απομακρυσμένης βεβαίωσης εκτός Microsoft - Ο διακομιστής αξιόπιστης βεβαίωσης αποστέλλει στον πελάτη ένα μοναδικό κλειδί στο τέλος κάθε διαδικασίας εκκίνησης

Το υλικολογισμικό UEFI του υπολογιστή αποθηκεύει στο TPM ένα hash του firmware, του bootloader, των προγραμμάτων οδήγησης εκκίνησης και οτιδήποτε θα φορτωθεί πριν από την εφαρμογή προστασίας από κακόβουλα προγράμματα

Το TPM χρησιμοποιεί το μοναδικό κλειδί να υπογράψει ψηφιακά το ημερολόγιο που καταγράφηκε από το UEFI. Ο πελάτης στέλνει στη συνέχεια το αρχείο καταγραφής στο διακομιστή, ενδεχομένως με άλλες πληροφορίες ασφαλείας.

1. Με όλες αυτές τις πληροφορίες, ο διακομιστής μπορεί τώρα να διαπιστώσει εάν ο πελάτης είναι υγιής και να παραχωρήσει πρόσβαση στον πελάτη είτε σε περιορισμένο δίκτυο καραντίνας είτε σε πλήρες δίκτυο.
2. Διαβάστε τις πλήρεις λεπτομέρειες σχετικά με τη Microsoft