Ön egyetért azzal, hogy az operációs rendszer elsődleges feladata olyan biztonságos végrehajtási környezet biztosítása, ahol a különböző alkalmazások biztonságosan futhatnak. Ez szükségessé teszi az egységes programvégrehajtás alapvető keretének követelményét a hardver és a hozzáférési rendszer erőforrásainak biztonságos használatára. A rendszermag ezt az alapszolgáltatást biztosítja a legegyszerűbb operációs rendszereken kívül. Ezeknek az alapvető funkcióknak az engedélyezéséhez az operációs rendszer több részének inicializálása és futtatása rendszerindításkor.
Ezenkívül vannak olyan funkciók is, amelyek képesek kezdeti védelmet nyújtani. Ezek tartalmazzák:
- Windows Defender - Átfogó védelmet biztosít a rendszer, a fájlok és az online tevékenységek számára a rosszindulatú programok és egyéb veszélyek miatt. Az eszköz olyan aláírásokat használ, amelyek észlelik és karanténba helyezik az olyan alkalmazásokat, amelyekről ismert, hogy rosszindulatúak.
- SmartScreen szűrő - Mindig figyelmeztetést ad a felhasználóknak, mielőtt megbízhatatlannak bizonyulna. Itt fontos megjegyezni, hogy ezek a funkciók csak akkor nyújtanak védelmet, ha a Windows 10 elindul. A legmodernebb rosszindulatú szoftverek - különösen a bootkitsok - még a Windows elindítása előtt is futtathatók, ezáltal rejtve fekszenek és teljesen megkerülik az operációs rendszer biztonságát.
Szerencsére a Windows 10 még az indítás során is védelmet nyújt. Hogyan? Nos, először meg kell értenünk, mi a Rootkits és hogyan működik. Ezután mélyebben belemerülhetünk a témába, és megtudhatjuk, hogyan működik a Windows 10 védelmi rendszer.
A rootkitek
A gyökérkészletek olyan eszközökészletek, amelyeket egy eszköz crackereként való hackelésére használnak. A cracker megpróbálja telepíteni egy rootkit-ot egy számítógépen, először felhasználói szintű hozzáféréssel, vagy egy ismert biztonsági rés kihasználásával vagy egy jelszó megrepedésével, majd a szükséges információk lekérésével. Elfedi azt a tényt, hogy az operációs rendszert veszélyeztette a létfontosságú végrehajtható fájlok cseréje.
Különböző típusú rootkitek futnak az indítási folyamat különböző fázisaiban. Ezek tartalmazzák,
- Kernel rootkitek -Eszközvezérlőként vagy betölthető modulokként fejlesztve ez a készlet képes az operációs rendszer rendszermagjának egy részét kicserélni, így a rootkit automatikusan elindulhat az operációs rendszer betöltésekor.
- Firmware rootkitek -Ezek a készletek felülírják a számítógép alapvető bemeneti / kimeneti rendszere vagy más hardver firmware-jét, így a rootkit elindulhat, mielőtt a Windows felébred.
- Driver rootkitek -A meghajtó szintjén az alkalmazások teljes hozzáféréssel rendelkezhetnek a rendszer hardvereihez. Tehát ez a készlet úgy tűnik, hogy az az egyik olyan megbízható illesztőprogram, amelyet a Windows a PC-hardverrel kommunikál.
- Bootkits - A rootkitek egy olyan fejlett formája, amely a rootkit alapfunkcióit veszi át és kiterjeszti azt a képességgel, hogy megfertőzi a Master Boot Record (MBR) fájlt. Ez az operációs rendszer rendszerbetöltőjét helyettesíti, hogy a számítógép betöltse a Bootkit-ot az operációs rendszer előtt.
A Windows 10 4 funkciója biztosítja a Windows 10 rendszerindítási folyamatát és elkerüli ezeket a fenyegetéseket.
A Windows 10 rendszerindítási folyamatának biztosítása
Biztonságos indítás
A Secure Boot egy olyan biztonsági szabvány, amelyet a PC-ipar tagjai fejlesztettek ki, hogy segítsen megvédeni a rendszert a rosszindulatú programoktól, mivel nem engedélyezi a jogosulatlan alkalmazások futtatását a rendszerindítási folyamat során. A funkció biztosítja, hogy a számítógép csak a PC gyártója által megbízott szoftvert használja. Így, amikor a számítógép elindul, a firmware ellenőrzi minden egyes boot szoftver aláírását, beleértve a firmware-meghajtókat (Option ROM-okat) és az operációs rendszert. Ha az aláírások ellenőrzése megtörtént, a PC indít, és a firmware vezérli az operációs rendszert.
Megbízható indítás
Ez bootloader használja a virtuális Trusted Platform Module (VTPM), hogy ellenőrizze a digitális aláírást a Windows 10 kernel betöltés előtt, ami viszont ellenőrzi minden más eleme a Windows indításakor folyamat, beleértve a boot vezetők, az indító fájlokat és ELAM. Ha a fájlt bármilyen mértékben megváltoztatták vagy megváltoztatták, a rendszerindító felismeri és megtagadja a betöltést, mivel felismerte, hogy sérült. Röviden, minden bizonnyal láncot biztosít a rendszerindítás során.
Korai bevezetés Anti-Malware
A korai indítás elleni rosszindulatú programok (ELAM) védelmet nyújtanak a hálózatban jelenlévő számítógépek számára, amikor elindulnak, és mielőtt a harmadik féltől származó illesztőprogramok inicializálásra kerülnek. Miután a Secure Boot sikeresen védte a bootloadert és a Trusted Boot befejezte / befejezte a Windows rendszermagot védő feladatot, elindul az ELAM szerepe. Bezárja a rosszindulatú programokra hagyott kiskaput, hogy megkezdje vagy megkezdje a fertőzést egy nem Microsoft indító meghajtó megfertőzésével. A szolgáltatás azonnal betölt egy Microsoft vagy nem Microsoft kártevő-ellenes programot. Ez elősegíti a Biztonságos Boot és a Trusted Boot által létrehozott folyamatos bizalmi lánc létrehozását.
Mért Boot
Megfigyelték, hogy a rootkitekkel fertőzött PC-k továbbra is egészségesek maradnak, még a rosszindulatú programok ellen is. Ezek a fertőzött számítógépek, ha egy vállalat hálózathoz csatlakoznak, komoly kockázatot jelentenek más rendszerek számára, mivel megnyitják a gyökércsatornák útvonalát, hogy hozzáférjenek a bizalmas adatok nagy mennyiségéhez. A Windows 10-es méréses indítása lehetővé teszi egy megbízható kiszolgáló számára, hogy a következő folyamatok segítségével ellenőrizze a Windows indítási folyamatának integritását.
- Nem Microsoft távoli tanúsítvány ügyfélprogram futtatása - A megbízható tanúsítványkiszolgáló minden indítási folyamat végén egyedi kulcsot küld az ügyfélnek.
- A PC UEFI firmware a TPM-ben tárolja a firmware-t, a bootloadert, a rendszerindító meghajtókat és mindent, amit az anti-malware alkalmazás előtt betöltenek.
- A TPM az egyedi kulcsot használja az UEFI által rögzített napló digitális aláírásához. Az ügyfél ezután elküldi a naplót a kiszolgálónak, esetleg más biztonsági adatokkal.
Mindezen információk mellett a kiszolgáló most meg tudja állapítani, hogy az ügyfél egészséges-e, és megadja-e az ügyfél számára hozzáférést egy korlátozott karanténhálózathoz vagy a teljes hálózathoz.
Olvassa el a Microsoft részletes adatait.
Kapcsolódó hozzászólások:
- A Microsoft észrevétele a Rootkits-ről, melyet a fenyegetésjelentésben részleteztek
- Javítás: A Secure Boot nincs megfelelően konfigurálva a Windows 8.1 / 10 rendszerben
- Windows 8.1: Az Anti Malware operációs rendszer
- Boot Configuration Data Editor a Windows operációs rendszerben
- Biztonságos indítás, Megbízható indítás, Mért indítás Windows alatt 10/8
