Vous conviendrez que la fonction principale d’un système d’exploitation est de fournir un environnement d’exécution sécurisé permettant à différentes applications de s’exécuter en toute sécurité. Cela nécessite la nécessité d'un cadre de base pour l'exécution uniforme du programme afin d'utiliser le matériel et les ressources du système d'accès de manière sécurisée. Le noyau fournit ce service de base dans tous les systèmes d'exploitation, à l'exception des plus simples. Pour activer ces fonctionnalités fondamentales pour le système d'exploitation, plusieurs parties du système d'exploitation s'initialisent et s'exécutent au démarrage du système.
En plus de cela, il existe d'autres fonctionnalités capables d'offrir une protection initiale. Ceux-ci inclus:
- Windows Defender - Il offre une protection complète de votre système, de vos fichiers et de vos activités en ligne contre les logiciels malveillants et autres menaces. L'outil utilise des signatures pour détecter et mettre en quarantaine des applications réputées malveillantes.
- Filtre SmartScreen - Il avertit toujours les utilisateurs avant de leur permettre d'exécuter une application non fiable. Ici, il est important de garder à l’esprit que ces fonctionnalités ne peuvent offrir une protection qu’après le démarrage de Windows 10. La plupart des programmes malveillants modernes, et plus particulièrement des kits de démarrage, peuvent être exécutés avant même le démarrage de Windows, dissimulant ainsi totalement la sécurité du système d'exploitation.
Heureusement, Windows 10 offre une protection même au démarrage. Comment? Eh bien, pour cela, nous devons d’abord comprendre ce que sont les rootkits et comment ils fonctionnent. Nous pourrons ensuite approfondir le sujet et découvrir le fonctionnement du système de protection Windows 10.
Rootkits
Les rootkits sont un ensemble d'outils utilisés pour pirater un périphérique par un pirate. Le pirate informatique tente d'installer un rootkit sur un ordinateur, d'abord en obtenant un accès au niveau utilisateur, soit en exploitant une vulnérabilité connue, soit en fissurant un mot de passe, puis en récupérant les informations requises. Il dissimule le fait qu'un système d'exploitation a été compromis par le remplacement de fichiers exécutables essentiels.
Différents types de rootkits s'exécutent au cours des différentes phases du processus de démarrage. Ceux-ci inclus,
- Rootkits de noyau -Développé sous forme de pilotes de périphérique ou de modules chargeables, ce kit est capable de remplacer une partie du noyau du système d'exploitation afin que le rootkit puisse démarrer automatiquement lors du chargement du système d'exploitation.
- Rootkits de micrologiciels -Ces kits écrasent le micrologiciel du système d'entrées / sorties de base du PC ou autre matériel afin que le rootkit puisse démarrer avant que Windows ne se réveille.
- Rootkits de pilote -Au niveau du pilote, les applications peuvent avoir un accès complet au matériel du système. Ce kit prétend donc être l’un des pilotes de confiance que Windows utilise pour communiquer avec le matériel de son ordinateur.
- Bootkits - Il s’agit d’une forme avancée de rootkits qui exploite les fonctionnalités de base d’un rootkit et étend la possibilité d’infecter le MBR (Master Boot Record). Il remplace le chargeur de démarrage du système d’exploitation de sorte que le PC charge le Bootkit avant le système d’exploitation.
Windows 10 possède 4 fonctionnalités qui sécurisent le processus de démarrage de Windows 10 et évitent ces menaces.
Sécurisation du processus de démarrage de Windows 10
Démarrage sécurisé
Secure Boot est une norme de sécurité développée par les membres de l'industrie des ordinateurs pour vous aider à protéger votre système contre les programmes malveillants en interdisant l'exécution d'applications non autorisées au cours du processus de démarrage du système. Cette fonction permet de s’assurer que votre PC ne démarre qu’en utilisant un logiciel approuvé par le fabricant du PC. Ainsi, chaque fois que votre ordinateur démarre, le micrologiciel vérifie la signature de chaque logiciel de démarrage, y compris les pilotes de micrologiciel (ROM optionnels) et le système d'exploitation. Si les signatures sont vérifiées, le PC démarre et le micrologiciel donne le contrôle au système d'exploitation.
Démarrage de confiance
Ce chargeur de démarrage utilise le VTPM (Virtual Trusted Platform Module) pour vérifier la signature numérique du noyau Windows 10 avant de le charger. Ce dernier vérifie à son tour tous les autres composants du processus de démarrage Windows, y compris les pilotes de démarrage, les fichiers de démarrage et ELAM. Si un fichier a été altéré ou modifié, le chargeur de démarrage le détecte et refuse de le charger en le reconnaissant comme le composant endommagé. En bref, il fournit une chaîne de confiance pour tous les composants lors du démarrage.
Lancement anticipé de l'anti-malware
Le lancement anticipé anti-malware (ELAM) assure la protection des ordinateurs présents dans un réseau au démarrage et avant l’initialisation des pilotes tiers. Une fois que Secure Boot a réussi à protéger le chargeur de démarrage et que Trusted Boot a terminé / terminé la tâche de sauvegarde du noyau Windows, le rôle d'ELAM commence. Il élimine toute faille laissée aux logiciels malveillants pour démarrer ou initier une infection en infectant un pilote de démarrage non-Microsoft. La fonctionnalité charge immédiatement un anti-malware Microsoft ou non-Microsoft. Cela aide à établir une chaîne de confiance continue établie par Secure Boot et Trusted Boot, précédemment.
Botte mesurée
Il a été observé que les ordinateurs infectés par des rootkits continuent de paraître en bonne santé, même avec un logiciel anti-malware en cours d'exécution. S'ils sont connectés à un réseau dans une entreprise, ces ordinateurs infectés présentent un risque grave pour les autres systèmes en ouvrant des voies permettant aux rootkits d'accéder à de grandes quantités de données confidentielles. Le démarrage mesuré dans Windows 10 permet à un serveur approuvé du réseau de vérifier l'intégrité du processus de démarrage Windows à l'aide des processus suivants.
- Exécution d'un client d'attestation distant non-Microsoft - Le serveur d'attestation approuvé envoie au client une clé unique à la fin de chaque processus de démarrage.
- Le microprogramme UEFI du PC stocke dans le TPM un hachage du microprogramme, du chargeur de démarrage, des pilotes de démarrage et de tout ce qui sera chargé avant l’application anti-programme malveillant.
- Le TPM utilise la clé unique pour signer numériquement le journal enregistré par l'UEFI. Le client envoie ensuite le journal au serveur, éventuellement avec d'autres informations de sécurité.
Avec toutes ces informations à portée de main, le serveur peut maintenant déterminer si le client est en bonne santé et lui accorder l'accès à un réseau de quarantaine limité ou à l'ensemble du réseau.
Lisez tous les détails sur Microsoft.
Articles Similaires:
- Observation de Microsoft sur les rootkits détaillée dans son rapport sur la menace
- Correction: le démarrage sécurisé n'est pas configuré correctement dans Windows 8.1 / 10
- Windows 8.1: le système d'exploitation Anti Malware
- Éditeur de données de configuration de démarrage sous Windows
- Démarrage sécurisé, démarrage sécurisé, démarrage mesuré sous Windows 10/8
