So sichern Sie den Windows 10-Startvorgang

Sie werden zustimmen, dass die Hauptfunktion eines Betriebssystems darin besteht, eine sichere Ausführungsumgebung bereitzustellen, in der verschiedene Anwendungen sicher ausgeführt werden können. Dies erfordert das Erfordernis eines Grundgerüsts für eine einheitliche Programmausführung, um die Hardware zu verwenden und auf Systemressourcen auf sichere Weise zuzugreifen. Der Kernel bietet diesen grundlegenden Dienst in allen außer den einfachsten Betriebssystemen. Um diese grundlegenden Funktionen für das Betriebssystem zu aktivieren, werden mehrere Teile des Betriebssystems beim Systemstart initialisiert und ausgeführt.

Darüber hinaus gibt es weitere Funktionen, die einen anfänglichen Schutz bieten können. Dazu gehören:

• Windows Defender - Es bietet umfassenden Schutz für Ihr System, Dateien und Online-Aktivitäten vor Malware und anderen Bedrohungen. Das Tool nutzt Signaturen zum Erkennen und Isolieren von Apps, die als bösartig bekannt sind.
• SmartScreen-Filter - Es wird immer eine Warnung an Benutzer ausgegeben, bevor sie eine nicht vertrauenswürdige App ausführen. Hierbei ist zu beachten, dass diese Funktionen nur nach dem Start von Windows 10 Schutz bieten können. Die meisten modernen Malware- und Bootkits können sogar noch vor dem Start von Windows ausgeführt werden, wodurch sie verborgen bleiben und die Betriebssystemsicherheit vollständig umgehen.

Glücklicherweise bietet Windows 10 Schutz selbst beim Start. Wie? Nun, zuerst müssen wir verstehen, was Rootkits sind und wie sie funktionieren. Danach können wir tiefer in das Thema eintauchen und herausfinden, wie das Windows 10-Schutzsystem funktioniert.

Rootkits

Rootkits sind eine Reihe von Tools, die zum Hacken eines Geräts durch einen Cracker verwendet werden. Der Cracker versucht, ein Rootkit auf einem Computer zu installieren, indem er zunächst Zugriff auf Benutzerebene erhält, indem er entweder eine bekannte Sicherheitslücke ausnutzt oder ein Passwort knackt und anschließend die erforderlichen Informationen abruft. Es verbirgt die Tatsache, dass ein Betriebssystem kompromittiert wurde, indem wichtige ausführbare Dateien ersetzt wurden.

Verschiedene Typen von Rootkits werden während verschiedener Phasen des Startvorgangs ausgeführt. Dazu gehören

1. Kernel-Rootkits - Dieses Kit wurde als Gerätetreiber oder ladbare Module entwickelt und kann einen Teil des Betriebssystemkernels ersetzen, sodass das Rootkit automatisch beim Laden des Betriebssystems gestartet werden kann.
2. Firmware-Rootkits - Diese Kits überschreiben die Firmware des PC-Basis-Ein- / Ausgabesystems oder anderer Hardware, so dass das Rootkit vor dem Aufwachen starten kann.
3. Treiber-Rootkits - Auf Treiberebene können Anwendungen vollen Zugriff haben die Hardware des Systems. Dieses Kit gibt also vor, einer der vertrauenswürdigen Treiber zu sein, die Windows für die Kommunikation mit der PC - Hardware verwendet.
4. Bootkits - Es handelt sich um eine erweiterte Form von Rootkits, die die grundlegenden Funktionen eines Rootkits übernehmen und mit dem erweitern Fähigkeit, den Master Boot Record (MBR) zu infizieren. Er ersetzt den Bootloader des Betriebssystems, so dass der PC das Bootkit vor das Betriebssystem lädt.

Windows 10 verfügt über 4 Funktionen, die den Windows 10-Startprozess sichern und diese Bedrohungen vermeiden.

Sichern des Windows 10-Startvorgangs

Sicher Boot

Secure Boot ist ein Sicherheitsstandard, der von Mitgliedern der PC-Industrie entwickelt wurde, um Ihr System vor bösartigen Programmen zu schützen, indem nicht zugelassene Anwendungen während des Systemstartprozesses ausgeführt werden. Stellen Sie sicher, dass Ihr PC nur mit Software bootet, die dem PC-Hersteller vertraut. Wenn der PC gestartet wird, überprüft die Firmware die Signatur jedes Startprogramms, einschließlich der Firmware-Treiber (Option ROMs) und des Betriebssystems. Wenn die Signaturen verifiziert sind, bootet der PC, und die Firmware gibt dem Betriebssystem die Kontrolle.

Trusted Boot

Dieser Bootloader verwendet das Virtual Trusted Platform Module (VTPM), um die digitale Signatur des Windows 10-Kernels zuvor zu verifizieren Laden Sie es, die wiederum jede andere Komponente des Windows-Startvorgangs überprüft, einschließlich der Boot-Treiber, Startdateien und ELAM. Wenn eine Datei in einem bestimmten Umfang geändert oder geändert wurde, erkennt der Bootloader sie und weigert sich, sie zu laden, indem sie sie als beschädigte Komponente erkennt. Kurz gesagt, es bietet eine Vertrauenskette für alle Komponenten während des Bootens.

Early-Launch-Anti-Malware

Early-Start-Anti-Malware (ELAM) bietet Schutz für die Computer in einem Netzwerk beim Start und vor der Initialisierung von Drittanbieter-Treibern. Nachdem Secure Boot den Bootloader erfolgreich geschützt hat und Trusted Boot den Task zum Schutz des Windows-Kernels abgeschlossen hat, beginnt die Rolle von ELAM. Es schließt alle Schlupflöcher, die für das Starten von Malware oder das Einleiten einer Infektion durch die Infektion eines Nicht-Microsoft-Boot-Treibers übrig sind. Die Funktion lädt sofort eine Microsoft- oder Nicht-Microsoft-Anti-Malware. Dies hilft beim Aufbau einer durch Secure Boot und Trusted Boot etablierten kontinuierlichen Vertrauenskette.

Measured Boot

Es wurde beobachtet, dass PCs, die mit Rootkits infiziert sind, auch bei laufender Anti-Malware weiterhin fehlerfrei sind. Diese infizierten PCs stellen, wenn sie mit einem Netzwerk in einem Unternehmen verbunden sind, ein ernsthaftes Risiko für andere Systeme dar, indem sie Routen für Rootkits öffnen, um auf große Mengen vertraulicher Daten zuzugreifen. Gemessener Start in Windows 10 ermöglicht einem vertrauenswürdigen Server im Netzwerk, die Integrität des Windows-Startvorgangs mithilfe der folgenden Prozesse zu überprüfen:

1. Ausführen eines nicht von Microsoft stammenden Remote-Attestierungsclients - Der vertrauenswürdige Attestierungsserver sendet dem Client einen eindeutigen Schlüssel Ende jedes Startvorgangs
2. Die UEFI-Firmware des PCs speichert im TPM einen Hash der Firmware, des Bootloaders, der Boot-Treiber und alles, was vor der Anti-Malware-App geladen wird.
3. Das TPM verwendet den eindeutigen Schlüssel das von UEFI aufgezeichnete Protokoll digital zu signieren. Der Client sendet das Protokoll dann an den Server, möglicherweise mit anderen Sicherheitsinformationen.

Mit all diesen Informationen kann der Server jetzt feststellen, ob der Client fehlerfrei ist und dem Client Zugriff auf ein eingeschränktes Quarantänenetzwerk oder auf den Client gewähren Volles Netzwerk.

Lesen Sie die vollständigen Details zu Microsoft.