Windows 10系统启动项安全引导策略( 二 )


下面分别为大家介绍 Secure Boot、Trusted Boot、ELAM 和 Measured Boot 功能 。
Secure Boot(安全启动)
当 Windows PC 加电启动时,会首先找到操作系统引导加载程序 。无 Secure Boot 功能的 PC 会直接引导硬盘中的任何引导加载程序,PC 无法知道它是一个值得信赖的操作系统还是 Rootkit 。
当装有 UEFI 的 PC 启动时,PC 会首先验证固件是否经过数字签名,从而降低 Firmware Rootkit 的风险 。如果启用 Secure Boot,固件将检查引导加载程序的数字签名并验证其是否被篡改过 。如果引导加载程序完整无误,而且满足以下条件之一,固件才会启动引导程序:
1、引导程序使用受信任的证书进行了签名 。对于经过 Windows 10 认证的 PC,Microsoft?证书是可信的 。
2、用户手动批准了引导加载程序的数字签名 。这允许用户加载非 Microsoft 操作系统 。
Trusted Boot(受信启动)
此引导加载程序会使用虚拟可信平台模块(VTPM)来验证 Windows 10 内核的数字签名后再加载它,然后验证 Windows 启动过程的其他组件,包括:引导驱动程序、启动文件和 ELAM 。
早期启动反恶意软件(ELAM)
早期启动反恶意软件(ELAM)可在启动时和第三方驱动程序初始化之前为计算机提供保护 。在 Secure Boot 成功管理保护引导加载程序并且 Trusted Boot 完成保护 Windows 10 内核的任务后,ELAM 的作用就会开始,它会主动关闭任何已知漏洞,以防恶意软件启动或通过感染非 Microsoft 启动驱动程序 。此安全特性这有助于建立由 Secure Boot 和 Trusted Boot 提供的连续信任链 。
Measured Boot(测量启动)
如果你组织中的 PC 机感染了 Rootkit,则需对其进行分析了解 。企业防恶意软件应用程序可以向 IT 部门报告恶意软件感染,但这并不适用于隐藏其存在的 Rootkit。换句话说,管理员不能信任用户来告诉你它是否健康 。
因此,即便反恶意软件正在运行,感染 Rootkit 的 PC 看起来也似乎是健康的 。如果受感染的 PC 继续连接到企业网络,就可以使 Rootkit 可以访问大量的机密数据,并可能允许 Rootkit 扩展到内部网络 。
而 Windows 10 中的 Measured Boot 允许网络上的可信服务器来验证 Windows 启动过程的完整性 。
以上内容便是关于Windows 10系统启动项安全引导策略的一些介绍,如果用户的计算机感染了Rootkit恶意程序,在使用Windows 10系统的时候基本不受其侵扰 。

推荐阅读