Você concordará que a principal função de um sistema operacional é fornecer um ambiente de execução seguro em que aplicativos diferentes possam ser executados com segurança. Isso exige a necessidade de uma estrutura básica para a execução uniforme do programa, a fim de usar o hardware e acessar os recursos do sistema de maneira segura. O kernel fornece esse serviço básico em todos os sistemas operacionais, exceto os mais simplistas. Para habilitar esses recursos fundamentais para o sistema operacional, várias partes do SO são inicializadas e executadas no momento da inicialização do sistema.
Além disso, existem outros recursos capazes de oferecer proteção inicial. Esses incluem:
- proteção do Windows - Oferece uma proteção abrangente para o seu sistema, arquivos e atividades on-line contra malware e outras ameaças. A ferramenta faz uso de assinaturas para detectar e colocar em quarentena os aplicativos, conhecidos por serem maliciosos por natureza.
- Filtro SmartScreen - Sempre emite um aviso para os usuários antes de permitir que eles executem um aplicativo não confiável. Aqui, é importante ter em mente que esses recursos são capazes de oferecer proteção somente após o início do Windows 10. A maioria dos malwares modernos - e os bootkits em particular, podem ser executados antes mesmo de o Windows ser iniciado, ocultando-se, portanto, completamente e ignorando a segurança do sistema operacional.
Felizmente, o Windows 10 fornece proteção mesmo durante a inicialização. Como? Bem, para isso, primeiro precisamos entender o que são os Rootkits e como eles funcionam. Depois disso, podemos aprofundar o assunto e descobrir como funciona o sistema de proteção do Windows 10.
Rootkits
Os rootkits são um conjunto de ferramentas usadas para invadir um dispositivo por um cracker. O cracker tenta instalar um rootkit em um computador, primeiro obtendo acesso em nível de usuário, explorando uma vulnerabilidade conhecida ou decifrando uma senha e, em seguida, recuperando as informações necessárias. Ele oculta o fato de que um sistema operacional foi comprometido pela substituição de executáveis vitais.
Diferentes tipos de rootkits são executados durante diferentes fases do processo de inicialização. Esses incluem,
- Kits de rootkernel -Desenvolvido como drivers de dispositivo ou módulos carregáveis, este kit é capaz de substituir uma parte do kernel do sistema operacional para que o rootkit possa ser iniciado automaticamente quando o sistema operacional for carregado.
- Rootkits de firmware -Esses kits substituem o firmware do sistema básico de entrada / saída do PC ou de outro hardware, para que o rootkit possa ser iniciado antes que o Windows seja ativado.
- Rootkits do driver -No nível do driver, os aplicativos podem ter acesso total ao hardware do sistema. Portanto, este kit finge ser um dos drivers confiáveis que o Windows usa para se comunicar com o hardware do PC.
- Bootkits - É uma forma avançada de rootkits que usam a funcionalidade básica de um rootkit e a amplia com a capacidade de infectar o registro mestre de inicialização (MBR). Ele substitui o carregador de inicialização do sistema operacional para que o PC carregue o Bootkit antes do sistema operacional.
O Windows 10 possui 4 recursos que protegem o processo de inicialização do Windows 10 e evitam essas ameaças.
Protegendo o processo de inicialização do Windows 10
Modo de segurança
Secure Boot é um padrão de segurança desenvolvido por membros da indústria de PCs para ajudá-lo a proteger seu sistema de programas mal-intencionados, ao não permitir que aplicativos não autorizados sejam executados durante o processo de inicialização do sistema. O recurso garante que o seu PC inicialize usando apenas o software de confiança do fabricante do PC. Portanto, sempre que o computador for iniciado, o firmware verificará a assinatura de cada parte do software de inicialização, inclusive os drivers de firmware (ROMs opcionais) e o sistema operacional. Se as assinaturas forem verificadas, o PC inicializará e o firmware dará o controle ao sistema operacional.
Inicialização Confiável
Esse gerenciador de inicialização usa o VTPM (Virtual Trusted Platform Module) para verificar a assinatura digital do kernel do Windows 10 antes de carregá-lo, que verifica todos os outros componentes do processo de inicialização do Windows, incluindo os drivers de inicialização, arquivos de inicialização e ELAM. Se um arquivo foi alterado ou alterado em qualquer extensão, o bootloader detecta e se recusa a carregá-lo, reconhecendo-o como o componente corrompido. Em suma, fornece uma cadeia de confiança para todos os componentes durante a inicialização.
Lançamento antecipado de antimalware
O antimalware de lançamento antecipado (ELAM) fornece proteção para os computadores presentes em uma rede quando eles são inicializados e antes que os drivers de terceiros sejam inicializados. Depois que o Secure Boot tiver conseguido proteger o carregador de inicialização e o Trusted Boot concluir / concluir a tarefa de salvaguardar o kernel do Windows, a função do ELAM será iniciada. Ele fecha qualquer lacuna deixada pelo malware para iniciar ou iniciar a infecção, infectando um driver de inicialização que não é da Microsoft. O recurso carrega imediatamente um anti-malware da Microsoft ou não-Microsoft. Isso ajuda a estabelecer uma cadeia contínua de confiança estabelecida pela inicialização segura e pela inicialização confiável, anteriormente.
Inicialização Medida
Foi observado que os PCs infectados com rootkits continuam a parecer saudáveis, mesmo com o anti-malware em execução. Esses PCs infectados, se conectados a uma rede em uma empresa, representam sério risco para outros sistemas, abrindo rotas para os rootkits acessarem grandes quantidades de dados confidenciais. A inicialização medida no Windows 10 permite que um servidor confiável na rede verifique a integridade do processo de inicialização do Windows usando os seguintes processos.
- Executando cliente de atestado remoto não-Microsoft - O servidor de atestado confiável envia ao cliente uma chave exclusiva no final de cada processo de inicialização.
- O firmware UEFI do PC armazena no TPM um hash do firmware, bootloader, drivers de inicialização e tudo o que será carregado antes do aplicativo anti-malware.
- O TPM usa a chave exclusiva para assinar digitalmente o registro registrado pelo UEFI. O cliente envia o log para o servidor, possivelmente com outras informações de segurança.
Com todas essas informações em mãos, o servidor agora pode descobrir se o cliente está em boas condições e conceder ao cliente acesso a uma rede de quarentena limitada ou à rede completa.
Leia os detalhes completos na Microsoft.
Posts relacionados:
- Observação da Microsoft sobre Rootkits detalhada em seu Relatório de Ameaças
- Correção: a inicialização segura não está configurada corretamente no Windows 8.1 / 10
- Windows 8.1: O sistema operacional antimalware
- Editor de dados de configuração de inicialização no sistema operacional Windows
- Inicialização Segura, Inicialização Confiável, Inicialização Medida no Windows 10/8
