Utnytter Windows 8 ELAM å sikre oppstartsprosessen, oppdage rootkits

I de senere årene har angripere forsøkt å hindre anti-malware programvare ved å lage ondsinnede drivere og rootkits, som laster seg selv når en maskin er først slått på, slik at de allerede er kjører før noen anti-malware eller antivirus (AV) programvare har hatt en sjanse til å starte. Dette gjør at ondsinnet program for å skjule seg fra påvisning eller hindre AV drivere fra lasting, forlater maskinen på nåde av angriperen. Frem til lanseringen av Windows 8, har det ikke vært lett og stabil måte for AV-leverandører til å oppdage og løse disse rootkits og andre tidlige boot trusler.

For å bekjempe dette problemet og bidra til å sikre oppstartsprosessen, Windows 8 og Windows Server 2012 inkluderer en ny funksjon kalt Early Launch Anti-Malware (ELAM), som er den første programvaredriver for å bli lastet inn i Windows 8 operativsystem (OS). Som det er initialisert før alle andre boot-start drivere og tredjeparts komponenter, kan det evaluere senere drivere før de lastes inn. ELAM hindrer en driver fra lasting eller initialisering hvis driveren er endret, er ukjent eller inneholder malware.

Et system administrator kan se og endre den tilhørende boot-start driver initialisering politikk ved hjelp av Group Policy editor. Som standard initialiserer politikken kjente godt og ukjente sjåfører, men vil ikke initial kjente dårlige drivere. Dersom en bedrift trenger for å kjøre eldre drivere, kan politikken bli oppdatert slik at ELAM sjåføren vet hvilke andre sjåfører er kritiske til en bestemt oppstartsprosessen.

Windows Defender, Microsofts forhåndsinstallert AV program, utnytter ELAM teknologi og andre antivirusleverandører integrerer Elam evner i sin egen programvare. Elam sjåfører må passere et sett av sertifiseringstester for å verifisere ytelse og annen atferd, etter som Microsoft signerer dem slik at Windows-kjernen kan starte dem. Kun leverandører som er aktive i anti-malware samfunnet og er medlemmer av MVI (tidligere Microsoft Virus Initiative) kan delta i Microsoft Anti-malware Vendor Deltakelse Program og søke om å få sine drivere signert.

ELAM er en del av Microsofts nye Secure Boot-funksjonen, som er utformet for å blokkere skadelig kode fra kapre Windows 8 oppstartsprosessen og at det går en maskin før OS selv starter. Sikre Boot utnyttet Unified Extensible Firmware Interface (UEFI), som er en erstatning for den aldrende BIOS (Basic Input /Output System) firmware grensesnitt. UEFI fungerer ganske forskjellig fra tradisjonelle BIOS og har en firmware policy motor som er ansvarlig for lasting av OS loader og alle nødvendige drivere. Secure Boot sikrer UEFI laster bare firmware som er inngått med en akseptabel digital signatur. Sikkerhetskontrollen hindrer en usignert oppstartslaster, for eksempel en bootkit, fra lasting. ELAM sikrer da at bare kjent, digitalt signert anti-malware programmer kan laste rett etter Secure Boot ferdig. Disse og andre sikkerhetsforbedringer i Windows 8 og Windows Server 2012 gir sterke incentiver for tidlig adopsjon. Anmeldelser



Previous:
Next Page: