Cách bảo mật quá trình khởi động Windows 10

Bạn sẽ đồng ý rằng chức năng chính của hệ điều hành là cung cấp môi trường thực thi an toàn, nơi các ứng dụng khác nhau có thể chạy, an toàn. Điều này đòi hỏi yêu cầu của một khuôn khổ cơ bản để thực hiện chương trình thống nhất để sử dụng tài nguyên hệ thống phần cứng và truy cập một cách an toàn. Hạt nhân cung cấp dịch vụ cơ bản này trong tất cả các hệ điều hành đơn giản nhất. Để kích hoạt các khả năng cơ bản này cho hệ điều hành, một số phần của hệ điều hành khởi tạo và chạy lúc khởi động hệ thống.

Ngoài ra, còn có các tính năng khác có khả năng bảo vệ ban đầu. Chúng bao gồm:

• Windows Defender - Nó cung cấp sự bảo vệ toàn diện cho hệ thống, tệp và hoạt động trực tuyến của bạn từ phần mềm độc hại và các mối đe dọa khác.
• SmartScreen Filter - Công cụ luôn luôn đưa ra cảnh báo cho người dùng trước khi cho phép họ chạy một ứng dụng không đáng tin cậy. Ở đây, điều quan trọng cần lưu ý là các tính năng này có khả năng cung cấp sự bảo vệ chỉ sau khi Windows 10 khởi động. Hầu hết các phần mềm độc hại và phần mềm độc hại hiện đại nhất có thể chạy ngay cả trước khi Windows khởi động, do đó ẩn hoàn toàn và bỏ qua bảo mật hệ điều hành.

May thay, Windows 10 cung cấp sự bảo vệ ngay cả khi khởi động. Làm sao? Vâng, vì điều này, trước tiên chúng ta cần hiểu Rootkit là gì và cách chúng hoạt động. Sau đó, chúng ta có thể nghiên cứu sâu hơn về chủ đề và tìm hiểu cách hoạt động của hệ thống bảo vệ Windows 10.

Rootkit

Rootkit là một bộ công cụ được sử dụng để hack một thiết bị bằng một cracker. Trình cracker cố gắng cài đặt rootkit trên máy tính, trước tiên bằng cách truy cập cấp người dùng, bằng cách khai thác lỗ hổng đã biết hoặc bẻ khóa mật khẩu và sau đó truy xuất thông tin được yêu cầu. Nó che dấu sự thật rằng một hệ điều hành đã bị xâm phạm bằng cách thay thế các tập tin thực thi quan trọng.

Các loại rootkit khác nhau chạy trong các giai đoạn khác nhau của quá trình khởi động. Chúng bao gồm,

1. Kernel rootkits - Được phát triển như trình điều khiển thiết bị hoặc mô-đun có thể tải, bộ công cụ này có khả năng thay thế một phần hạt nhân hệ điều hành để rootkit có thể khởi động tự động khi hệ điều hành tải.
2. - Các bộ ghi đè này sẽ ghi đè phần vững của hệ thống đầu vào / đầu ra cơ bản của PC hoặc phần cứng khác để rootkit có thể khởi động trước khi Windows khởi động.
3. Driver rootkits - Ở cấp trình điều khiển, ứng dụng có thể truy cập đầy đủ phần cứng của hệ thống. Vì vậy, bộ công cụ này giả vờ là một trong những trình điều khiển đáng tin cậy mà Windows sử dụng để giao tiếp với phần cứng PC.
4. Bootkits - Đây là một dạng rootkit tiên tiến có chức năng cơ bản của rootkit và mở rộng nó bằng khả năng lây nhiễm Master Boot Record (MBR). Nó thay thế bootloader của hệ điều hành để PC nạp Bootkit trước hệ điều hành.

Windows 10 có 4 tính năng bảo mật quá trình khởi động Windows 10 và tránh những mối đe dọa này.

Bảo vệ quá trình khởi động Windows 10

Boot

Secure Boot là tiêu chuẩn bảo mật được phát triển bởi các thành viên của ngành PC để giúp bạn bảo vệ hệ thống khỏi các chương trình độc hại bằng cách không cho phép bất kỳ ứng dụng trái phép nào chạy trong quá trình khởi động hệ thống. Tính năng này đảm bảo rằng PC của bạn chỉ khởi động bằng phần mềm được nhà sản xuất PC tin cậy. Vì vậy, bất cứ khi nào PC khởi động, chương trình cơ sở sẽ kiểm tra chữ ký của từng phần mềm khởi động, bao gồm trình điều khiển phần mềm (ROM tùy chọn) và hệ điều hành.

Trusted Boot

Bootloader này sử dụng Virtual Trusted Platform Module (VTPM) để xác minh chữ ký số của hạt nhân Windows 10 trước đó. tải nó lần lượt, xác minh mọi thành phần khác của quá trình khởi động Windows, bao gồm các trình điều khiển khởi động, các tệp khởi động và ELAM. Nếu một tập tin đã bị thay đổi hoặc thay đổi ở mức độ nào đó, trình tải khởi động sẽ phát hiện ra nó và từ chối tải nó bằng cách nhận ra nó là thành phần bị hỏng. Tóm lại, nó cung cấp một chuỗi niềm tin cho tất cả các thành phần trong quá trình khởi động.

Khởi chạy sớm phần mềm chống phần mềm độc hại

Phần mềm chống phần mềm độc hại khởi chạy sớm (ELAM) cung cấp sự bảo vệ cho các máy tính có mặt trong mạng khi chúng khởi động và trước khi trình điều khiển của bên thứ ba khởi chạy. Sau khi Secure Boot đã quản lý thành công để bảo vệ bootloader và Trusted Boot đã hoàn thành / hoàn thành nhiệm vụ bảo vệ hạt nhân Windows, vai trò của ELAM bắt đầu. Nó đóng bất kỳ lỗ hổng nào còn lại để phần mềm độc hại bắt đầu hoặc bắt đầu lây nhiễm bằng cách lây nhiễm vào trình điều khiển khởi động không phải của Microsoft. Tính năng này ngay lập tức tải một phần mềm chống phần mềm độc hại của Microsoft hoặc không phải của Microsoft. Điều này giúp thiết lập một chuỗi tín thác liên tục được thiết lập bởi Secure Boot và Trusted Boot, trước đó.

Measured Boot

Nó đã được quan sát thấy rằng các máy tính bị nhiễm rootkit tiếp tục xuất hiện khỏe mạnh, ngay cả khi chống phần mềm độc hại đang chạy. Những máy tính bị nhiễm này nếu kết nối với mạng trong một doanh nghiệp gây rủi ro nghiêm trọng cho các hệ thống khác bằng cách mở các tuyến cho rootkit truy cập vào một lượng lớn dữ liệu bí mật. Khởi động được đo trong Windows 10 cho phép máy chủ tin cậy trên mạng xác minh tính toàn vẹn của quá trình khởi động Windows bằng cách sử dụng các quy trình sau.

1. Chạy ứng dụng khách xác thực từ xa không phải của Microsoft - Máy chủ xác thực tin cậy gửi cho khách hàng một khóa duy nhất tại
2. Phần mềm UEFI của PC lưu trữ trong TPM một băm của chương trình cơ sở, bộ nạp khởi động, trình điều khiển khởi động và mọi thứ sẽ được tải trước ứng dụng chống phần mềm độc hại.
3. TPM sử dụng khóa duy nhất để ký điện tử nhật ký được ghi lại bởi UEFI.

Với tất cả các thông tin này trong tay, máy chủ có thể tìm thấy liệu máy khách có khỏe mạnh và cấp cho khách hàng quyền truy cập vào mạng kiểm dịch bị hạn chế hay không. đầy đủ mạng.

Đọc toàn bộ chi tiết trên Microsoft.