Si concorda che la funzione primaria di un sistema operativo è quella di fornire un ambiente di esecuzione sicuro in cui possano essere eseguite diverse applicazioni in sicurezza. Ciò richiede il requisito di una struttura di base per l'esecuzione uniforme del programma per utilizzare le risorse del sistema di accesso e hardware in modo sicuro. Il kernel fornisce questo servizio di base in tutti i sistemi operativi, tranne quelli più semplicistici. Per abilitare queste funzionalità fondamentali per il sistema operativo, diverse parti del sistema operativo vengono inizializzate ed eseguite all'avvio del sistema.
Oltre a questo, ci sono altre funzionalità che sono in grado di offrire una protezione iniziale. Questi includono:
- Windows Defender - Offre una protezione completa per il sistema, i file e le attività online da malware e altre minacce. Lo strumento utilizza le firme per rilevare e mettere in quarantena le app, note per la loro natura dannosa.
- Filtro SmartScreen - Invia sempre avvisi agli utenti prima di abilitarli a eseguire un'app inaffidabile. Qui è importante ricordare che queste funzionalità sono in grado di offrire protezione solo dopo l'avvio di Windows 10. La maggior parte dei malware e dei bootkits in particolare, possono essere avviati anche prima dell'avvio di Windows, rimanendo nascosti e bypassando completamente la sicurezza del sistema operativo.
Fortunatamente, Windows 10 offre protezione anche durante l'avvio. Come? Bene, per questo, dobbiamo prima capire quali sono i rootkit e come funzionano. Successivamente, possiamo approfondire l'argomento e scoprire come funziona il sistema di protezione di Windows 10.
rootkit
I rootkit sono un insieme di strumenti utilizzati per l'hacking di un dispositivo da parte di un cracker. Il cracker tenta di installare un rootkit su un computer, prima ottenendo l'accesso a livello di utente, sfruttando una vulnerabilità nota o violando una password e quindi recuperando le informazioni richieste. Nasconde il fatto che un sistema operativo è stato compromesso sostituendo gli eseguibili vitali.
Diversi tipi di rootkit vengono eseguiti durante le diverse fasi del processo di avvio. Questi includono,
- Kernel rootkit -Sviluppato come driver di periferica o moduli caricabili, questo kit è in grado di sostituire una parte del kernel del sistema operativo in modo che il rootkit possa avviarsi automaticamente quando viene caricato il sistema operativo.
- Rootkit del firmware -Questi kit sovrascrivono il firmware del sistema di input / output di base del PC o altro hardware, in modo che il rootkit possa essere avviato prima dell'avvio di Windows.
- Driver rootkit -A livello di conducente, le applicazioni possono avere pieno accesso all'hardware del sistema. Quindi, questo kit finge di essere uno dei driver affidabili che Windows utilizza per comunicare con l'hardware del PC.
- bootkit - È una forma avanzata di rootkit che prende la funzionalità di base di un rootkit e la estende con la capacità di infettare il Master Boot Record (MBR). Sostituisce il bootloader del sistema operativo in modo che il PC carichi il Bootkit prima del sistema operativo.
Windows 10 ha 4 funzioni per proteggere il processo di avvio di Windows 10 ed evitare queste minacce.
Protezione del processo di avvio di Windows 10
Avvio sicuro
Secure Boot è uno standard di sicurezza sviluppato dai membri del settore PC per aiutarti a proteggere il tuo sistema da programmi dannosi, impedendo l'esecuzione di applicazioni non autorizzate durante il processo di avvio del sistema. La funzione assicura che il PC si avvii utilizzando solo il software ritenuto attendibile dal produttore del PC. Pertanto, all'avvio del PC, il firmware controlla la firma di ciascun componente del software di avvio, inclusi i driver del firmware (Option ROM) e il sistema operativo. Se le firme vengono verificate, il PC si avvia e il firmware assegna il controllo al sistema operativo.
Avvio affidabile
Questo bootloader utilizza il Virtual Trusted Platform Module (VTPM) per verificare la firma digitale del kernel di Windows 10 prima di caricarlo, che a sua volta verifica ogni altro componente del processo di avvio di Windows, inclusi i driver di avvio, i file di avvio e ELAM. Se un file è stato modificato o modificato in qualsiasi misura, il bootloader lo rileva e si rifiuta di caricarlo riconoscendolo come componente danneggiato. In breve, fornisce una catena di fiducia per tutti i componenti durante l'avvio.
Avvio anticipato Anti-Malware
L'antialware (ELAM) di avvio anticipato fornisce protezione per i computer presenti in una rete all'avvio e prima che i driver di terze parti inizializzino. Dopo che Secure Boot è riuscito a proteggere il bootloader e Trusted Boot ha completato / completato l'attività di salvaguardia del kernel di Windows, inizia il ruolo di ELAM. Chiude qualsiasi scappatoia per l'avvio o l'avvio di malware da parte dell'infezione infettando un driver di avvio non Microsoft. La funzione carica immediatamente un anti-malware Microsoft o non Microsoft. Questo aiuta a stabilire una catena di fiducia continua stabilita da Secure Boot e Trusted Boot, in precedenza.
Boot misurato
È stato osservato che i PC infettati da rootkit continuano ad apparire in buona salute, anche con l'anti-malware in esecuzione. Questi PC infetti se connessi a una rete in un'azienda rappresentano un serio rischio per altri sistemi aprendo percorsi per i rootkit per accedere a una grande quantità di dati riservati. Avvio misurato in Windows 10 consente a un server affidabile sulla rete di verificare l'integrità del processo di avvio di Windows utilizzando i seguenti processi.
- Esecuzione di client di attestazione remota non Microsoft - Il server di attendibilità attendibile invia al client una chiave univoca alla fine di ogni processo di avvio.
- Il firmware UEFI del PC memorizza nel TPM un hash del firmware, del bootloader, dei driver di avvio e di tutto ciò che verrà caricato prima dell'applicazione anti-malware.
- Il TPM utilizza la chiave univoca per firmare digitalmente il registro registrato dall'UEFI. Il client invia quindi il log al server, possibilmente con altre informazioni di sicurezza.
Con tutte queste informazioni a portata di mano, il server può ora scoprire se il client è integro e garantire al client l'accesso a una rete di quarantena limitata o alla rete completa.
Leggi tutti i dettagli su Microsoft.
Articoli correlati:
- L'osservazione di Microsoft sui rootkit dettagliati nel suo report sulle minacce
- Correzione: Secure Boot non è configurato correttamente in Windows 8.1 / 10
- Windows 8.1: il sistema operativo Anti Malware
- Boot Configuration Data Editor nel sistema operativo Windows
- Avvio protetto, avvio affidabile, avvio misurato in Windows 10/8