การรักษาความปลอดภัยขั้นตอนการบูต Windows 10

คุณจะยอมรับว่าฟังก์ชันหลักของระบบปฏิบัติการคือการจัดเตรียมสภาพแวดล้อมการทำงานที่ปลอดภัยซึ่งโปรแกรมต่างๆสามารถทำงานได้อย่างปลอดภัย ข้อกำหนดนี้จำเป็นต้องมีกรอบขั้นพื้นฐานสำหรับการรันโปรแกรมสม่ำเสมอเพื่อใช้ฮาร์ดแวร์และเข้าถึงทรัพยากรระบบอย่างปลอดภัย เคอร์เนลให้บริการขั้นพื้นฐานนี้ในระบบปฏิบัติการทั้งหมด แต่ง่ายที่สุด เพื่อเปิดใช้งานความสามารถขั้นพื้นฐานเหล่านี้สำหรับระบบปฏิบัติการส่วนต่างๆของ OS จะเริ่มต้นและรันในเวลาบูตระบบ

นอกจากนี้ยังมีคุณสมบัติอื่น ๆ ที่สามารถให้การป้องกันเริ่มต้นได้ ซึ่งรวมถึง

• Windows Defender - มีระบบป้องกันไฟล์และกิจกรรมออนไลน์ที่ครอบคลุมจากมัลแวร์และภัยคุกคามอื่น ๆ เครื่องมือนี้ใช้ลายเซ็นสำหรับตรวจจับและกักชุมแอปพลิเคชันซึ่งเป็นที่รู้จักในลักษณะที่เป็นอันตราย
• SmartScreen Filter - จะแจ้งเตือนผู้ใช้ทุกครั้งก่อนที่จะเปิดใช้งานแอปที่ไม่น่าไว้วางใจ นี่เป็นสิ่งสำคัญที่ต้องจำไว้ว่าคุณลักษณะเหล่านี้สามารถให้การป้องกันได้เฉพาะเมื่อ Windows 10 เริ่มทำงาน มัลแวร์และบูตคิทที่ทันสมัยที่สุดโดยเฉพาะสามารถทำงานได้แม้กระทั่งก่อนที่ Windows จะเริ่มทำงานซึ่งจะช่วยให้ระบบปฏิบัติการและระบบรักษาความปลอดภัยสามารถหลีกเลี่ยงได้อย่างสมบูรณ์

โชคดีที่ Windows 10 มีการป้องกันแม้ในระหว่างการเริ่มต้นระบบ อย่างไร? ก่อนอื่นเราต้องเข้าใจ Rootkits ว่าเป็นอย่างไรและทำงานอย่างไร หลังจากนั้นเราสามารถเจาะลึกเข้าไปในหัวข้อนี้และหาวิธีที่ระบบป้องกันระบบ Windows 10 ทำงานได้

Rootkits

Rootkit คือชุดเครื่องมือที่ใช้ในการแฮ็กอุปกรณ์โดยเครื่องกะเทาะ แคร็กเกอร์พยายามติดตั้ง rootkit ลงในคอมพิวเตอร์ก่อนโดยการเข้าถึงระดับผู้ใช้โดยใช้ช่องโหว่ที่รู้จักหรือแตกรหัสผ่านแล้วเรียกข้อมูลที่ต้องการ ปกปิดความจริงที่ว่าระบบปฏิบัติการถูกบุกรุกโดยการแทนที่ไฟล์ปฏิบัติการที่สำคัญ

rootkits ประเภทต่างๆทำงานระหว่างขั้นตอนต่างๆของกระบวนการเริ่มต้น

1. เคอร์เนล rootkit - พัฒนาเป็นไดรเวอร์อุปกรณ์หรือโมดูลที่สามารถโหลดได้ชุดนี้สามารถแทนที่ส่วนของเคอร์เนลของระบบปฏิบัติการเพื่อให้ rootkit สามารถเริ่มทำงานโดยอัตโนมัติเมื่อระบบปฏิบัติการโหลด
2. rootkits ของเฟิร์มแวร์ - ชุดอุปกรณ์เหล่านี้จะเขียนทับเฟิร์มแวร์ของระบบอินพุต / เอาต์พุตพื้นฐานของเครื่องพีซีหรือฮาร์ดแวร์อื่น ๆ เพื่อให้ rootkit สามารถเริ่มทำงานได้ก่อนที่ Windows จะตื่นขึ้น
3. rootkits ของโปรแกรมควบคุม - ที่ระดับไดรเวอร์แอพพลิเคชันสามารถเข้าถึงได้เต็มรูปแบบ ฮาร์ดแวร์ของระบบ ดังนั้นชุดนี้จึงอ้างว่าเป็นหนึ่งในไดรเวอร์ที่เชื่อถือได้ที่ Windows ใช้เพื่อสื่อสารกับฮาร์ดแวร์ของคอมพิวเตอร์
4. Bootkits - เป็นรูปแบบขั้นสูงของ rootkits ที่ใช้ฟังก์ชันพื้นฐานของ rootkit และขยายไปพร้อมกับ ความสามารถในการติดเชื้อ Master Boot Record (MBR) จะแทนที่ bootloader ของระบบปฏิบัติการเพื่อให้เครื่องพีซีโหลด Bootkit ก่อนระบบปฏิบัติการ

Windows 10 มี 4 คุณสมบัติที่ช่วยป้องกันกระบวนการบูต Windows 10 และหลีกเลี่ยงภัยคุกคามเหล่านี้

การรักษาความปลอดภัยของ Windows 10 Boot Process

บูต

Secure Boot คือมาตรฐานความปลอดภัยที่พัฒนาขึ้นโดยสมาชิกในอุตสาหกรรมพีซีเพื่อช่วยปกป้องระบบของคุณจากโปรแกรมที่เป็นอันตรายโดยไม่อนุญาตให้แอพพลิเคชันที่ไม่ได้รับอนุญาตให้ทำงานในระหว่างกระบวนการเริ่มต้นระบบ คุณลักษณะนี้ตรวจสอบให้แน่ใจว่าพีซีของคุณบูตโดยใช้ซอฟต์แวร์ที่เชื่อถือได้จากผู้ผลิตพีซีเท่านั้น ดังนั้นเมื่อใดก็ตามที่เครื่องพีซีของคุณเริ่มทำงานเฟิร์มแวร์จะตรวจสอบลายเซ็นของซอฟท์แวร์สำหรับบู๊ตแต่ละชิ้นรวมถึงไดรเวอร์เฟิร์มแวร์ (Option ROMs) และระบบปฏิบัติการ หากบูตเครื่องใหม่และเฟิร์มแวร์ให้การควบคุมระบบปฏิบัติการ

Boot ที่เชื่อถือได้

bootloader นี้ใช้ Virtual Trusted Platform Module (VTPM) เพื่อตรวจสอบลายเซ็นดิจิทัลของเคอร์เนล Windows 10 ก่อน loading ซึ่งจะตรวจสอบคอมโพเนนต์อื่น ๆ ทั้งหมดของกระบวนการเริ่มต้นระบบ Windows ซึ่งรวมถึงไดรเวอร์สำหรับเริ่มระบบไฟล์เริ่มต้นและ ELAM หากไฟล์ได้รับการเปลี่ยนแปลงหรือเปลี่ยนแปลงไปในขอบเขตใด ๆ โปรแกรมรับ - โหลดจะตรวจจับและปฏิเสธที่จะโหลดโดยพิจารณาว่าเป็นคอมโพเนนต์ที่เสียหาย ในระยะสั้นจะให้ความเชื่อมั่นสำหรับส่วนประกอบทั้งหมดระหว่างการบู๊ต

Early Launch Anti-Malware

การเปิดตัว anti-malware (ELAM) ในระยะเริ่มต้นช่วยป้องกันคอมพิวเตอร์ที่มีอยู่ในเครือข่ายเมื่อเริ่มต้นใช้งานและก่อนที่จะเริ่มต้นไดรเวอร์ของ บริษัท อื่น หลังจากการรักษาความปลอดภัย Boot ได้สำเร็จเพื่อป้องกัน Bootloader และ Trusted Boot ได้ดำเนินการเสร็จสิ้น / การป้องกันเคอร์เนลของ Windows แล้วบทบาทของ ELAM จะเริ่มขึ้น จะปิดช่องโหว่ใด ๆ ที่เหลือสำหรับมัลแวร์เพื่อเริ่มต้นหรือเริ่มต้นการติดไวรัสโดยการติดตั้งโปรแกรมควบคุมการเริ่มระบบที่ไม่ใช่ Microsoft คุณลักษณะนี้จะโหลดซอฟต์แวร์ป้องกันมัลแวร์ของ Microsoft หรือที่ไม่ใช่ของ Microsoft โดยอัตโนมัติ สิ่งนี้ช่วยในการสร้างความไว้วางใจอย่างต่อเนื่องโดย Secure Boot และ Trusted Boot ก่อนหน้านี้

Measured Boot

มีการสังเกตว่าพีซีที่ติด rootkit ยังคงปรากฏต่อสุขภาพแม้จะมีการใช้งาน anti-malware ก็ตาม พีซีที่ติดไวรัสเหล่านี้หากเชื่อมต่อกับเครือข่ายในองค์กรก่อให้เกิดความเสี่ยงอย่างร้ายแรงต่อระบบอื่น ๆ โดยการเปิดเส้นทางให้ rootkits เข้าถึงข้อมูลที่เป็นความลับจำนวนมาก การวัดการบูตใน Windows 10 ช่วยให้เซิร์ฟเวอร์ที่เชื่อถือได้บนเครือข่ายตรวจสอบความสมบูรณ์ของกระบวนการเริ่มต้นระบบ Windows โดยใช้กระบวนการต่อไปนี้

1. การเรียกใช้ไคลเอ็นต์การรับรองจากระยะไกลที่ไม่ใช่ Microsoft - เซิร์ฟเวอร์การรับรองที่เชื่อถือได้จะส่งไคลเอ็นต์คีย์ที่ไม่ซ้ำกันที่ end ของทุกขั้นตอนการเริ่มต้น
2. เฟิร์มแวร์ UEFI ของเครื่องพีซีจัดเก็บไว้ใน TPM ของเฟิร์มแวร์บูตโหลดไดรเวอร์สำหรับบูตและทุกอย่างที่จะโหลดก่อนแอพพลิเคชั่นป้องกันมัลแวร์
3. TPM ใช้คีย์ที่ไม่ซ้ำกัน เพื่อลงชื่อเข้าใช้แบบบันทึกแบบดิจิทัลโดย UEFI ไคลเอนต์จะส่งล็อกไปยังเซิร์ฟเวอร์อาจมีข้อมูลความปลอดภัยอื่น ๆ

ด้วยข้อมูลทั้งหมดที่กล่าวมานี้เซิร์ฟเวอร์สามารถค้นหาได้ว่าไคลเอ็นต์มีสุขภาพดีและให้สิทธิ์ไคลเอ็นต์ในการเข้าถึงเครือข่ายกักกันแบบ จำกัด หรือไปที่ เครือข่ายแบบเต็ม

อ่านรายละเอียดทั้งหมดของ Microsoft