Anda akan setuju bahwa fungsi utama sistem operasi adalah menyediakan lingkungan eksekusi yang aman di mana aplikasi yang berbeda dapat berjalan dengan aman. Ini mengharuskan persyaratan kerangka dasar untuk pelaksanaan program seragam untuk menggunakan perangkat keras dan mengakses sumber daya sistem dengan cara yang aman. Kernel menyediakan layanan dasar ini di semua kecuali sistem operasi yang paling sederhana. Untuk mengaktifkan kemampuan fundamental ini untuk sistem operasi, beberapa bagian dari OS menginisialisasi dan dijalankan pada waktu boot sistem.
Selain ini, ada fitur lain yang mampu menawarkan perlindungan awal. Ini termasuk:
- Windows Defender - Ini menawarkan perlindungan komprehensif untuk sistem Anda, file, dan aktivitas online dari malware dan ancaman lainnya. Alat ini memanfaatkan tanda tangan untuk mendeteksi dan mengkarantina aplikasi, yang dikenal bersifat jahat.
- Filter SmartScreen - Selalu mengeluarkan peringatan kepada pengguna sebelum memungkinkan mereka menjalankan aplikasi yang tidak dapat dipercaya. Di sini, penting untuk diingat bahwa fitur-fitur ini mampu menawarkan perlindungan hanya setelah Windows 10 dimulai. Sebagian besar malware modern - dan terutama bootkits, dapat berjalan bahkan sebelum Windows dimulai, dengan demikian berbohong tersembunyi dan melewati keamanan sistem operasi, sepenuhnya.
Untungnya, Windows 10 memberikan perlindungan bahkan saat startup. Bagaimana? Nah, untuk ini, pertama-tama kita perlu memahami apa itu Rootkits dan bagaimana cara kerjanya. Setelah itu, kita dapat menggali lebih dalam subjek dan menemukan cara kerja sistem perlindungan Windows 10.
Rootkits
Rootkit adalah seperangkat alat yang digunakan untuk meretas perangkat oleh seorang cracker. Cracker mencoba menginstal rootkit di komputer, pertama dengan mendapatkan akses tingkat pengguna, baik dengan mengeksploitasi kerentanan yang diketahui atau meretas kata sandi dan kemudian mengambil informasi yang diperlukan. Ini menyembunyikan fakta bahwa sistem operasi telah dikompromikan dengan mengganti executable penting.
Berbagai jenis rootkit dijalankan selama fase proses startup yang berbeda. Ini termasuk,
- Rootkit Kernel -Dikembangkan sebagai driver perangkat atau modul yang dapat dimuat, kit ini mampu mengganti sebagian dari kernel sistem operasi sehingga rootkit dapat mulai secara otomatis ketika beban sistem operasi.
- Rootkit Firmware -Kit ini menimpa firmware sistem input / output dasar PC atau perangkat keras lainnya sehingga rootkit dapat menendang mulai sebelum Windows aktif.
- Rootkit driver -Di tingkat pengemudi, aplikasi dapat memiliki akses penuh ke perangkat keras sistem. Jadi, kit ini berpura-pura menjadi salah satu driver tepercaya yang digunakan Windows untuk berkomunikasi dengan perangkat keras PC.
- Bootkits - Ini adalah bentuk lanjutan dari rootkit yang mengambil fungsi dasar dari rootkit dan memperluasnya dengan kemampuan untuk menginfeksi Master Boot Record (MBR). Ini menggantikan bootloader sistem operasi sehingga PC memuat Bootkit sebelum sistem operasi.
Windows 10 memiliki 4 fitur mengamankan proses boot Windows 10 dan menghindari ancaman ini.
Mengamankan Proses Boot Windows 10
Boot Aman
Secure Boot adalah standar keamanan yang dikembangkan oleh anggota industri PC untuk membantu Anda melindungi sistem Anda dari program jahat dengan tidak mengizinkan aplikasi yang tidak sah untuk dijalankan selama proses start-up sistem. Fitur ini memastikan bahwa PC Anda hanya menggunakan perangkat lunak yang dipercaya oleh pabrikan PC. Jadi, setiap kali PC Anda mulai, firmware memeriksa tanda tangan setiap perangkat lunak boot, termasuk driver firmware (ROM Opsi) dan sistem operasi. Jika tanda tangan diverifikasi, boot PC, dan firmware memberikan kontrol ke sistem operasi.
Boot Tepercaya
Bootloader ini menggunakan Virtual Trusted Platform Module (VTPM) untuk memverifikasi tanda tangan digital dari kernel Windows 10 sebelum memuatnya yang pada gilirannya, memverifikasi setiap komponen lain dari proses startup Windows, termasuk driver boot, file startup, dan ELAM. Jika sebuah file telah diubah atau diubah sampai tingkat tertentu, bootloader mendeteksi dan menolak memuatnya dengan mengenali itu sebagai komponen yang rusak. Singkatnya, ia menyediakan rantai kepercayaan untuk semua komponen selama boot.
Peluncuran Awal Anti-Malware
Peluncuran awal anti-malware (ELAM) memberikan perlindungan untuk komputer yang ada dalam jaringan ketika mereka memulai dan sebelum driver pihak ketiga menginisialisasi. Setelah Secure Boot berhasil melindungi bootloader dan Trusted Boot telah menyelesaikan / menyelesaikan tugas menjaga kernel Windows, peran ELAM dimulai. Ini menutup setiap celah yang tersisa untuk malware untuk memulai atau memulai infeksi dengan menginfeksi driver boot non-Microsoft. Fitur ini segera memuat Microsoft atau non-Microsoft anti-malware. Ini membantu dalam membangun rantai kepercayaan berkelanjutan yang ditetapkan oleh Boot Aman dan Boot Tepercaya, sebelumnya.
Boot Terukur
Telah diamati bahwa PC yang terinfeksi dengan rootkit terus tampak sehat, bahkan dengan anti-malware berjalan. PC yang terinfeksi ini jika terhubung ke jaringan di suatu perusahaan menimbulkan risiko serius ke sistem lain dengan membuka rute untuk rootkit untuk mengakses sejumlah besar data rahasia. Measured Boot di Windows 10 memungkinkan server tepercaya di jaringan untuk memverifikasi integritas proses startup Windows dengan menggunakan proses berikut.
- Menjalankan klien pengesahan jarak jauh non-Microsoft - Server atestasi tepercaya mengirim kunci unik kepada klien di akhir setiap proses startup.
- Firmware UEFI PC menyimpan dalam TPM hash dari firmware, bootloader, driver boot, dan semua yang akan dimuat sebelum aplikasi anti-malware.
- TPM menggunakan kunci unik untuk menandatangani log secara digital yang direkam oleh UEFI. Klien kemudian mengirimkan log ke server, mungkin dengan informasi keamanan lainnya.
Dengan semua informasi ini di tangan, server sekarang dapat menemukan apakah klien itu sehat dan memberi klien akses ke jaringan karantina yang terbatas atau ke jaringan penuh.
Baca detail lengkapnya di Microsoft.
Posting terkait:
- Pengamatan Microsoft pada Rootkit diperinci dalam Laporan Ancamannya
- Perbaiki: Boot Aman tidak dikonfigurasi dengan benar di Windows 8.1 / 10
- Windows 8.1: Sistem Operasi Anti Malware
- Boot Configuration Data Editor di OS Windows
- Booting Aman, Booting Terpercaya, Booting Terukur di Windows 10/8