Windows 10のブートプロセスを保護する方法

オペレーティングシステムの主な機能は、さまざまなアプリケーションを安全に実行できる安全な実行環境を提供することです。これは、ハードウェアを使用し、安全な方法でシステム資源にアクセスするための統一的なプログラム実行のための基本的な枠組みの必要性を必要とする。カーネルは、最も基本的なオペレーティングシステムを除くすべてのオペレーティングシステムでこの基本サービスを提供します。オペレーティングシステムに対してこれらの基本機能を有効にするために、OSのいくつかの部分がシステムブート時に初期化されて実行されます。これに加えて、初期保護を提供できる他の機能があります。

Windows Defender

• - マルウェアやその他の脅威からシステム、ファイル、オンラインアクティビティを包括的に保護します。 SmartScreen Filter
• - 信頼できないアプリケーションを実行する前に、ユーザーに常に警告を出します。ここでは、これらの機能はWindows 10の起動後にのみ保護を提供できることに注意することが重要です。特に、最新のマルウェアやブートキットは、Windowsが起動する前でも実行でき、隠されていてオペレーティングシステムのセキュリティをバイパスします。 幸い、Windows 10は起動時でも保護します。どうやって？さて、これについては、まずルーツキットが何で、どのように機能するのかを理解する必要があります。その後、Windows 10の保護システムがどのように機能するかを調べ、対象を深く掘り下げて調べることができます。

ルートキット

ルートキットは、クラッカーによるデバイスのハッキングに使用される一連のツールです。クラッカーは、既知の脆弱性を悪用したり、パスワードを解読したり、必要な情報を取得したりして、まずユーザーレベルのアクセス権を取得して、コンピューターにルートキットをインストールしようとします。それは、重要な実行可能ファイルを置き換えることによってオペレーティングシステムが危険にさらされているという事実を隠蔽します。

スタートアッププロセスのさまざまな段階でさまざまなタイプのルートキットが実行されます。

カーネルルートキット -

1. デバイスドライバまたはロード可能モジュールとして開発されたこのキットは、オペレーティングシステムカーネルの一部を置き換えることができるため、オペレーティングシステムのロード時にルートキットを自動的に起動できます。 - これらのキットは、PCの基本入出力システムや他のハードウェアのファームウェアを上書きするため、Windowsが起動する前にルートキットを起動できます。
2. ドライバルートキット - ドライバレベルでは、システムのハードウェアしたがって、このキットは、WindowsがPCハードウェアと通信するために使用する信頼できるドライバの1つです。
3. Bootkits - これは、ルートキットの基本機能を利用して、マスターブートレコード（MBR）に感染する能力。
4. Windows 10は、Windows 10のブートプロセスを保護し、これらの脅威を回避する4つの機能を備えています。 Windows 10ブートプロセスのセキュリティ保護

Secure Boot

Secure Bootは、PC業界のメンバーが開発したセキュリティ標準で、システムの起動プロセス中に不正なアプリケーションを実行しないようにすることで、システムを悪意のあるプログラムから保護します。この機能は、PCメーカーが信頼するソフトウェアのみを使用してPCを起動することを確認します。したがって、PCが起動するたびに、ファームウェアはファームウェアドライバ（オプションROM）とオペレーティングシステムを含む各起動ソフトウェアの署名をチェックします。

Trusted Boot

このブートローダは、Virtual Trusted Platform Module（VTPM）を使用してWindows 10カーネルのデジタル署名を検証してから、その署名を検証しますそれをロードすると、ブートドライバ、スタートアップファイル、ELAMなど、Windowsの起動プロセスの他のすべてのコンポーネントが検証されます。ファイルが変更または変更された場合、ブートローダーはそれを検出し、破損したコンポーネントとして認識してロードを拒否します。要するに、ブート中にすべてのコンポーネントに信頼の連鎖を提供します。

初期起動アンチマルウェア

早期起動アンチマルウェア（ELAM）は、起動時およびサードパーティのドライバが初期化される前に、ネットワークに存在するコンピュータを保護します。 Secure Bootがブートローダーの保護に成功し、Trusted BootがWindowsカーネルを保護するタスクを完了/完了すると、ELAMの役割が開始されます。マイクロソフト以外のブートドライバを感染させることにより、マルウェアが感染を開始または開始するために残された抜け穴をクローズします。この機能は、マイクロソフトまたはマルウェア以外のマルウェア対策ソフトウェアをすぐに読み込みます。

測定されたブート

ルートキットに感染したPCは、マルウェア対策を実行していても、引き続き正常に見えることが確認されています。これらの感染PCは、企業内のネットワークに接続されていると、膨大な機密データにアクセスするためのルートを開くことによって、他のシステムに重大なリスクを与えます。 Windows 10で測定されたブートにより、ネットワーク上の信頼できるサーバーは、次のプロセスを使用してWindowsの起動プロセスの整合性を検証できます。

Microsoft以外のリモートアテステーションクライアントの実行 - 信頼できるアテステーションサーバーは、

PCのUEFIファームウェアは、ファームウェア、ブートローダ、ブートドライバ、およびマルウェア対策アプリケーションの前にロードされるすべてのハッシュをTPMに格納します。

1. TPMは、 UEFIによって記録されたログにデジタル署名する。クライアントは、おそらく他のセキュリティ情報とともに、サーバにログを送信します。
2. この情報をすべて手元に置くことで、サーバはクライアントが正常であるかどうかを検出し、クライアントに限定された隔離ネットワークまたは完全なネットワーク。
3. マイクロソフトの詳細を読む