Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Platforms
Clients - Windows 8
Servers - Windows Server 2012
Beschrijving
Omdat antimalwaresoftware (AM) beter en beter is geworden bij het detecteren van runtime-malware, worden aanvallers ook beter bij het maken van rootkits die zich kunnen verbergen voor detectie. Het detecteren van malware die vroeg in de opstartcyclus begint, is een uitdaging die de meeste AM-leveranciers zorgvuldig aanpakken. Normaal gesproken maken ze systeemhacks die niet worden ondersteund door het hostbesturingssysteem en kunnen het daadwerkelijk leiden tot het plaatsen van de computer in een instabiele status. Tot nu toe biedt Windows geen goede manier voor AM om deze vroege opstartbedreigingen te detecteren en op te lossen.
Windows 8 introduceert een nieuwe functie met de naam Beveiligd opstarten, die de Windows-opstartconfiguratie en -onderdelen beveiligt en een ELAM-stuurprogramma (Early Launch Anti-malware) laadt. Dit stuurprogramma start vóór andere opstartstuurprogramma's en maakt de evaluatie van deze stuurprogramma's mogelijk en helpt de Windows-kernel te bepalen of ze moeten worden geïnitialiseerd.
Manifestatie
Door eerst door de kernel te worden gestart, wordt ELAM gegarandeerd voordat er software van derden wordt gestart en kan daarom malware in het opstartproces worden gedetecteerd en wordt voorkomen dat deze wordt geïnitialiseerd.
Verzachting
Opstartstuurprogramma's worden geïnitialiseerd op basis van de classificatie die wordt geretourneerd vanuit het ELAM-stuurprogramma volgens een initialisatiebeleid. Het beleid initialiseert standaard bekende goede en onbekende stuurprogramma's, maar initialiseert geen bekende ongeldige stuurprogramma's. Een systeembeheerder kan een aangepast beleid opgeven via groepsbeleid dat kan voorkomen dat onbekende stuurprogramma's worden geïnitialiseerd of stuurprogramma's kunnen inschakelen die essentieel zijn voor het opstartproces, maar zijn gemanipuleerd met opstarten om te worden geïnitialiseerd.
Oplossing
Een ELAM-stuurprogramma moet zich registreren voor kernel-callbacks om informatie te krijgen over elk opstartstuurprogramma terwijl het wordt geïnitialiseerd. Het ELAM-stuurprogramma kan vervolgens een classificatie retourneren voor elk stuurprogramma. Deze functies zijn vereist:
Een ELAM-stuurprogramma kan zich ook registreren voor callbacks van het register. Hierdoor kan het ELAM-stuurprogramma de configuratiegegevens controleren die door elk opstartstuurprogramma worden gebruikt. Het ELAM-stuurprogramma kan de gegevens vervolgens blokkeren of wijzigen voordat deze worden gebruikt door de opstartstuurprogramma's, indien nodig. Deze functies zijn vereist:
Zie Early Launch Antimalwarevoor meer informatie over vereisten voor ELAM-stuurprogramma's en API-gebruik.
Tests
ELAM-stuurprogramma's moeten speciaal zijn ondertekend door Microsoft om ervoor te zorgen dat ze vroeg in het opstartproces worden gestart door de Windows-kernel. Om de handtekening op te halen, moeten ELAM-stuurprogramma's een set certificeringstests doorgeven om de prestaties en ander gedrag te controleren. Deze tests zijn opgenomen in de Windows Hardware Certification Kit.
Weg
- Early Launch Antimalware
- CmRegisterCallbackEx-
- CmUnRegisterCallback-
- IoRegisterBootDriverCallback-
- IoUnRegisterBootDriverCallback-
- Hardware certificeren met de presentatie van de Windows Hardware Certification Kit Build Conference
- Kits en hulpprogramma's downloaden