Bạn sẽ đồng ý rằng chức năng chính của một hệ điều hành là cung cấp một môi trường thực thi an toàn, nơi các ứng dụng khác nhau có thể chạy, an toàn. Điều này đòi hỏi yêu cầu của một khuôn khổ cơ bản để thực hiện chương trình thống nhất để sử dụng tài nguyên hệ thống phần cứng và truy cập một cách an toàn. Hạt nhân cung cấp dịch vụ cơ bản này trong tất cả các hệ điều hành đơn giản nhất. Để kích hoạt các khả năng cơ bản này cho hệ điều hành, một vài phần của hệ điều hành khởi tạo và chạy lúc khởi động hệ thống.
Ngoài ra, còn có các tính năng khác có khả năng cung cấp bảo vệ ban đầu. Bao gồm các:
- Windows Defender - Nó cung cấp một sự bảo vệ toàn diện cho hệ thống của bạn, các tập tin, và các hoạt động trực tuyến từ phần mềm độc hại và các mối đe dọa khác. Công cụ này sử dụng chữ ký để phát hiện và kiểm dịch các ứng dụng, được biết là có hại trong tự nhiên.
- Bộ lọc SmartScreen - Luôn luôn cảnh báo người dùng trước khi cho phép họ chạy một ứng dụng không đáng tin cậy. Ở đây, điều quan trọng cần lưu ý là các tính năng này chỉ có khả năng bảo vệ sau khi Windows 10 khởi động. Hầu hết các phần mềm độc hại và phần mềm độc hại hiện đại nhất có thể chạy ngay cả trước khi Windows khởi động, do đó ẩn hoàn toàn và bỏ qua bảo mật hệ điều hành, hoàn toàn.
May mắn thay, Windows 10 cung cấp sự bảo vệ ngay cả khi khởi động. Làm sao? Vâng, vì điều này, trước tiên chúng ta cần hiểu Rootkit là gì và cách chúng hoạt động. Sau đó, chúng ta có thể nghiên cứu sâu hơn về chủ đề này và tìm hiểu cách hoạt động của hệ thống bảo vệ Windows 10.
Rootkit
Rootkit là một bộ công cụ được sử dụng để hack một thiết bị bằng một cracker. Trình cracker cố gắng cài đặt rootkit trên máy tính, trước tiên bằng cách truy cập cấp người dùng, bằng cách khai thác lỗ hổng đã biết hoặc bẻ khóa mật khẩu và sau đó truy xuất thông tin được yêu cầu. Nó che giấu thực tế rằng một hệ điều hành đã bị xâm phạm bằng cách thay thế các tập tin thực thi quan trọng.
Các loại rootkit khác nhau chạy trong các giai đoạn khác nhau của quá trình khởi động. Bao gồm các,
- Kernel rootkits - Được phát triển như trình điều khiển thiết bị hoặc mô-đun có thể tải, bộ công cụ này có khả năng thay thế một phần của hạt nhân hệ điều hành để rootkit có thể tự động khởi động khi hệ điều hành tải.
- Firmware rootkit -Các bộ công cụ này ghi đè lên phần vững của hệ thống đầu vào / đầu ra cơ bản của PC hoặc phần cứng khác để rootkit có thể khởi động trước khi Windows khởi động.
- Driver rootkit - Ở cấp độ trình điều khiển, các ứng dụng có thể có toàn quyền truy cập vào phần cứng của hệ thống. Vì vậy, bộ này giả vờ là một trong những trình điều khiển đáng tin cậy mà Windows sử dụng để giao tiếp với phần cứng PC.
- Bootkits - Đây là một dạng rootkit tiên tiến có chức năng cơ bản của rootkit và mở rộng nó với khả năng lây nhiễm Master Boot Record (MBR). Nó thay thế bộ nạp khởi động của hệ điều hành để PC tải Bootkit trước hệ điều hành.
Windows 10 có 4 tính năng bảo mật quá trình khởi động Windows 10 và tránh những mối đe dọa này.
Bảo vệ quá trình khởi động Windows 10
Khởi động an toàn
Secure Boot là một tiêu chuẩn bảo mật được phát triển bởi các thành viên của ngành PC để giúp bạn bảo vệ hệ thống khỏi các chương trình độc hại bằng cách không cho phép bất kỳ ứng dụng trái phép nào chạy trong quá trình khởi động hệ thống. Tính năng này đảm bảo rằng PC của bạn chỉ khởi động bằng phần mềm được nhà sản xuất PC tin cậy. Vì vậy, bất cứ khi nào PC khởi động, chương trình cơ sở sẽ kiểm tra chữ ký của từng phần mềm khởi động, bao gồm trình điều khiển phần mềm (ROM tùy chọn) và hệ điều hành. Nếu chữ ký được xác minh, PC khởi động và phần mềm điều khiển cho phép điều khiển hệ điều hành.
Khởi động tin cậy
Trình tải khởi động này sử dụng Mô-đun nền tảng tin cậy ảo (VTPM) để xác minh chữ ký số của hạt nhân Windows 10 trước khi tải nó, kiểm chứng mọi thành phần khác của quá trình khởi động Windows, bao gồm trình điều khiển khởi động, tệp khởi động và ELAM. Nếu một tập tin đã bị thay đổi hoặc thay đổi ở mức độ nào đó, trình tải khởi động phát hiện nó và từ chối tải nó bằng cách nhận ra nó là thành phần bị hỏng. Tóm lại, nó cung cấp một chuỗi niềm tin cho tất cả các thành phần trong quá trình khởi động.
Khởi chạy sớm phần mềm chống phần mềm độc hại
Khởi động sớm chống phần mềm độc hại (ELAM) cung cấp sự bảo vệ cho các máy tính có mặt trong mạng khi chúng khởi động và trước khi các trình điều khiển bên thứ ba khởi tạo. Sau khi Secure Boot đã quản lý thành công để bảo vệ bootloader và Trusted Boot đã hoàn thành / hoàn thành nhiệm vụ bảo vệ hạt nhân Windows, vai trò của ELAM bắt đầu. Nó đóng bất kỳ lỗ hổng nào còn lại để phần mềm độc hại bắt đầu hoặc bắt đầu lây nhiễm bằng cách lây nhiễm vào trình điều khiển khởi động không phải của Microsoft. Tính năng này ngay lập tức tải một phần mềm chống phần mềm độc hại của Microsoft hoặc không phải của Microsoft. Điều này giúp thiết lập một chuỗi tin cậy liên tục được thiết lập bởi Secure Boot và Trusted Boot, trước đó.
Đo khởi động
Nó đã được quan sát thấy rằng máy tính bị nhiễm rootkit tiếp tục xuất hiện lành mạnh, ngay cả với chống phần mềm độc hại đang chạy. Những máy tính bị nhiễm này nếu kết nối với mạng trong một doanh nghiệp gây rủi ro nghiêm trọng cho các hệ thống khác bằng cách mở các tuyến cho rootkit truy cập vào một lượng lớn dữ liệu bí mật. Đo khởi động trong Windows 10 cho phép một máy chủ đáng tin cậy trên mạng để xác minh tính toàn vẹn của quá trình khởi động Windows bằng cách sử dụng các quy trình sau đây.
- Chạy ứng dụng khách xác thực từ xa không phải của Microsoft - Máy chủ xác thực tin cậy gửi cho khách hàng một khóa duy nhất vào cuối mỗi quá trình khởi động.
- Phần mềm UEFI của PC lưu trữ trong TPM một phần băm của chương trình cơ sở, bộ nạp khởi động, trình điều khiển khởi động và mọi thứ sẽ được tải trước ứng dụng chống phần mềm độc hại.
- TPM sử dụng khóa duy nhất để ký điện tử nhật ký được ghi lại bởi UEFI. Máy khách sau đó sẽ gửi nhật ký tới máy chủ, có thể với các thông tin bảo mật khác.
Với tất cả thông tin này trong tay, máy chủ hiện có thể tìm thấy liệu máy khách có khỏe mạnh và cấp quyền truy cập cho máy khách vào mạng kiểm dịch bị giới hạn hoặc với toàn bộ mạng hay không.
Đọc chi tiết đầy đủ về Microsoft.
Bài viết liên quan:
- Quan sát của Microsoft về Rootkit được nêu chi tiết trong Báo cáo sự cố
- Khắc phục: Khởi động an toàn không được định cấu hình đúng trong Windows 8.1 / 10
- Windows 8.1: Hệ điều hành Anti Malware
- Trình chỉnh sửa dữ liệu cấu hình khởi động trong hệ điều hành Windows
- Khởi động an toàn, Khởi động tin cậy, Khởi động được đo trong Windows 10/8