安卓系统

如何保护Windows 10引导过程

win10-無法進桌面如何用安全模式開機(有聲教學)

win10-無法進桌面如何用安全模式開機(有聲教學)

目录:

Anonim

您会同意操作系统的主要功能是提供一个安全的执行环境,以便安全地运行不同的应用程序。这就要求统一程序执行的基本框架要求以安全的方式使用硬件和访问系统资源。内核除了最简单的操作系统外,几乎都提供了这种基本的服务。要为操作系统启用这些基本功能,操作系统的多个部分将在系统启动时初始化并运行。

除此之外,还有其他功能可以提供初始保护。其中包括:

  • Windows Defender - 它为您的系统,文件和联机活动提供全面的保护,防止恶意软件和其他威胁。该工具使用签名来检测和隔离应用程序,这些应用程序本质上是恶意的。
  • SmartScreen Filter - 在启用它们运行不可信任的应用程序之前,它总是向用户发出警告。在这里,请记住这些功能只有在Windows 10启动后才能提供保护,这一点很重要。大多数现代恶意软件 - 特别是bootkit,甚至可以在Windows启动之前运行,因此完全隐藏并绕过操作系统安全。幸运的是,即使在启动期间,Windows 10也提供了保护。怎么样?那么,为此,我们首先需要了解Rootkit是什么以及它们是如何工作的。之后,我们可以深入研究该主题,并了解Windows 10保护系统的工作原理。

Rootkits

Rootkits是一组用于黑客窃取设备的工具。破解者首先通过获取用户级访问来尝试在计算机上安装rootkit,或者通过利用已知漏洞或破解密码然后获取所需信息。它掩盖了一个事实,即操作系统已经被替换重要的可执行文件所破坏。

不同类型的rootkit在启动过程的不同阶段运行。这些包括:

内核rootkits -

  1. 这个套件是作为设备驱动程序或可加载模块开发的,能够替换操作系统内核的一部分,因此rootkit可以在操作系统加载时自动启动。固件rootkit -
  2. 这些套件覆盖PC的基本输入/输出系统或其他硬件的固件,因此rootkit可以在Windows唤醒之前启动。驱动程序rootkit -
  3. 在驱动程序级别,应用程序可以完全访问系统的硬件。因此,该工具包假装成为Windows用来与PC硬件通信的可信驱动程序之一。 Bootkits
  4. - 它是一种高级形式的rootkit,它采用rootkit的基本功能并将其与感染主引导记录(MBR)的能力。它取代了操作系统的引导加载程序,以便PC在操作系统之前加载Bootkit。 Windows 10具有4个功能,可保护Windows 10引导进程并避免这些威胁。

保护Windows 10引导过程

安全Boot

Secure Boot是由PC行业成员开发的一项安全标准,通过在系统启动过程中不允许任何未经授权的应用程序运行来帮助您保护系统免受恶意程序的侵害。该功能确保您的PC只使用PC制造商信任的软件启动。因此,每当您的电脑启动时,固件会检查每个启动软件的签名,包括固件驱动程序(选件ROM)和操作系统。如果签名经过验证,则PC将引导,并且固件将控制权交给操作系统。

可信引导

此引导加载程序使用虚拟可信平台模块(VTPM)验证Windows 10内核的数字签名加载它,然后验证Windows启动过程的每个其他组件,包括启动驱动程序,启动文件和ELAM。如果一个文件已被修改或更改到任何程度,引导加载程序会检测到它并通过将其识别为损坏的组件来拒绝加载它。简而言之,它在启动期间为所有组件提供了一个信任链。

早期启动防恶意软件

早期启动防恶意软件(ELAM)为启动时以及第三方驱动程序初始化之前网络中存在的计算机提供保护。在安全引导已成功设法保护引导加载程序并且Trusted Boot完成/完成保护Windows内核的任务之后,ELAM的角色就开始了。它通过感染非微软启动驱动程序来消除任何恶意软件启动或启动感染的漏洞。该功能会立即加载Microsoft或非Microsoft反恶意软件。这有助于建立早期通过安全启动和可信任引导建立的连续信任链。

测量启动

已经观察到,即使防恶意软件运行,感染Rootkit的PC仍然保持健康状态。这些受感染的PC如果连接到企业中的网络,则会为其他系统造成严重的风险,即为rootkit提供访问大量机密数据的路径。 Windows 10中的测量引导允许网络上的受信任服务器通过使用以下过程来验证Windows启动过程的完整性。

运行非Microsoft远程证明客户端 - 可信证明服务器向客户端发送唯一密钥每个启动过程结束

  1. PC的UEFI固件在TPM中存储固件,引导加载程序,启动驱动程序以及在反恶意软件应用程序之前加载的所有内容的散列
  2. TPM使用唯一密钥对UEFI记录的日志进行数字签名。然后,客户端将日志发送到服务器,可能还有其他安全信息。
  3. 通过掌握所有这些信息,服务器现在可以找到客户端是否健康,并授予客户端访问有限隔离网络或访问完整的网络。

阅读Microsoft上的完整详细信息。

如何保护Windows 10 pc免受威胁,阴影沙箱

如何保护Windows 10 pc免受威胁,阴影沙箱

您可以在Windows 10 PC上安装Shade Sandbox,然后测试未知的软件安装。 它比虚拟机更容易,也更快。 继续阅读。