Как да защитите процеса на стартиране на Windows 10

Съдържание:

Как да защитите процеса на стартиране на Windows 10
Как да защитите процеса на стартиране на Windows 10

Видео: Как да защитите процеса на стартиране на Windows 10

Видео: Как да защитите процеса на стартиране на Windows 10
Видео: Как исправить - не обновляется Windows 10 - YouTube 2024, Ноември
Anonim

Ще се съгласите, че основната функция на операционната система е да осигури безопасна среда за изпълнение, при която различни приложения могат да работят безопасно. Това налага изискването за основна рамка за еднакво изпълнение на програмата да използва хардуерните и системните ресурси за достъп по сигурен начин. Ядрото осигурява тази основна услуга във всички, но не и най-опростени операционни системи. За да активирате тези фундаментални възможности за операционната система, няколко части от операционната система се инициализират и се изпълняват при зареждане на системата.

В допълнение към това има и други функции, които са в състояние да предложат първоначална защита. Те включват:

  • Windows Defender - Предлага цялостна защита на вашата система, файлове и онлайн дейности от злонамерен софтуер и други заплахи. Инструментът използва подписи за откриване и карантиниране на приложения, за които е известно, че са злонамерени по природа.
  • Филтър за SmartScreen - Винаги издава предупреждение към потребителите, преди да им даде възможност да изпълняват невероятно приложение. Тук е важно да се има предвид, че тези функции са в състояние да предлагат защита само след като Windows 10 стартира. Повечето съвременни програми за зловреден софтуер и bootkits по-специално могат да се изпълняват още преди стартирането на Windows, като по този начин лежат скрити и напълно заобикалят сигурността на операционната система.

За щастие, Windows 10 осигурява защита дори при стартиране. Как? Е, затова първо трябва да разберем кои са Rootkits и как работят. След това можем да се впуснем по-надълбоко в темата и да открием как работи системата за защита на Windows 10.

Image
Image

Rootkits

Rootkits са набор от инструменти, използвани за хакерство на устройство от cracker. Кракерът се опитва да инсталира rootkit на компютър, първо като получи достъп на ниво потребител, или чрез използване на известна уязвимост или напукване на парола и след това изтегляне на необходимата информация. Тя прикрива факта, че операционната система е била компрометирана чрез замяна на жизненоважни изпълними файлове.

Различни видове руткитове се изпълняват по време на различните етапи от стартирането. Те включват,

  1. Качествени rootkits на ядрото - Разработени като драйвери на устройства или модули за зареждане, този комплект може да замени част от ядрото на операционната система, така че рутковият процес може да се стартира автоматично, когато операционната система се зареди.
  2. Връзки с rootkits на фърмуера - Тези комплекти презаписват фърмуера на базовата входно-изходна система на компютъра или друг хардуер, така че rootkit може да стартира, преди Windows да се събуди.
  3. Ръководители на драйвери - На ниво шофьор, приложенията могат да имат пълен достъп до хардуера на системата. Така че този комплект се преструва, че е един от надеждните драйвери, които Windows използва, за да комуникира с хардуера на компютъра.
  4. Bootkits - Това е една разширена форма на rootkits, които приемат основната функционалност на rootkit и го разширяват с възможността да заразят Master Boot Record (MBR). Той замества буутлоудъра на операционната система, така че компютърът да зареди Bootkit преди операционната система.

Windows 10 има 4 функции, които осигуряват зареждането на Windows 10 и избягват тези заплахи.

Осигуряване на процеса на стартиране на Windows 10

Сигурно зареждане

Secure Boot е стандарт за сигурност, разработен от членове на индустрията за персонални компютри, за да ви помогне да защитите системата си от злонамерени програми, като не позволите на неразрешени приложения да се изпълняват по време на процеса на стартиране на системата. Тази функция гарантира, че компютърът ви се зарежда, като се използва само софтуер, на който се доверява производителят на компютъра. Така че, всеки път, когато компютърът ви стартира, фърмуерът проверява подписа на всеки софтуер за зареждане, включително драйверите на фърмуера (Option ROMs) и операционната система. Ако подписите се потвърдят, компютърът се задейства и фърмуерът дава контрол върху операционната система.

Надеждно зареждане

Този буутлоудър използва виртуалния модул за надеждна платформа (VTPM), за да потвърди цифровия подпис на ядрото на Windows 10, преди да го зареди, което от своя страна потвърждава всеки друг компонент на процеса на стартиране на Windows, включително драйверите за стартиране, стартовите файлове и ELAM. Ако даден файл е променен или променен до някаква степен, буутлоудъра го открива и отказва да го зареди, като го разпознае като повреден компонент. Накратко, тя осигурява верига на доверие за всички компоненти по време на зареждане.

Ранно стартиране на анти-злонамерен софтуер

Ранното стартиране на анти-зловреден софтуер (ELAM) осигурява защита на компютрите, които се намират в мрежата, когато се стартират и преди да се инициализират драйвери на трети страни. След като Secure Boot успешно успя да защити буутлоудъра и Trusted Boot завърши / завърши задачата за защита на ядрото на Windows, започва ролята на ELAM. Тя затваря вратичката, оставена за злонамерен софтуер, за да стартира или инициира инфекция, като заразява обувка за зареждане, която не е от Microsoft. Функцията незабавно зарежда анти-злонамерен софтуер на Microsoft или не. Това помага по-рано при създаването на постоянна верига на доверие, създадена от Secure Boot и Trusted Boot.

Измерено зареждане

Наблюдавано е, че компютрите, заразени с руткит, продължават да изглеждат здрави, дори и при работа с анти-злонамерен софтуер. Тези инфектирани персонални компютри, ако са свързани към мрежа в дадено предприятие, представляват сериозен риск за други системи, като отварят маршрути за rootkits за достъп до огромни количества поверителни данни. Измереното зареждане в Windows 10 позволява на доверен сървър в мрежата да проверява целостта на процеса на стартиране на Windows, като използва следните процеси.

  1. Изпълнява клиент за отдалечено удостоверяване, който не е от Microsoft - Сървърът за надеждна атестация изпраща на клиента уникален ключ в края на всеки стартиращ процес.
  2. Устройството UEFI на персоналния компютър съхранява в TPM хеш от фърмуера, буутлоудъра, драйверите за зареждане и всичко, което ще бъде заредено преди приложението против злонамерен софтуер.
  3. TPM използва уникалния ключ за цифрово подписване на дневника, записан от UEFI. Клиентът след това изпраща дневника на сървъра, евентуално с друга информация за сигурността.

С цялата тази информация, сървърът вече може да открие дали клиентът е здрав и да предостави на клиента достъп до ограничена карантина или до пълната мрежа.

Прочетете пълните подробности за Microsoft.

Подобни публикации:

  • Наблюдението на Microsoft за Rootkits подробно описано в неговия доклад за заплахите
  • Fix: Сигурното стартиране не е конфигурирано правилно в Windows 8.1 / 10
  • Windows 8.1: Операционната система против Malware
  • Редактор на данни за конфигуриране на зареждане в операционна система Windows
  • Secure Boot, доверено зареждане, измерено зареждане в Windows 10/8

Препоръчано: