Как работает безопасный запуск Windows 10
Новая операционная система от Microsoft скоро будет запускаться только с криптопроцессором. Он проверяет, заражен ли компьютер вредоносными программами.
Windows 10 — это не просто бесплатное обновление системы, в котором возвращается столь долгожданное меню Пуск. Новая версия открывает путь в будущее, например в отношении запуска системы. Здесь Microsoft усиливает защиту от вредоносных программ, вменяя в обязанность оснащение компьютера крипточипом.
Впрочем, саму Windows 10 можно установить на любое оборудование. Для новых же устройств действует принцип:
в течение года в каждом компьютере с Windows 10 должен быть чип Trusted Platform Module (TPM) версии 2.0. Этот криптопроцессор является основой технологии Measured Boot. В связи с этим компания Microsoft повышает требования к аппаратному обеспечению для сертифицированных устройств на базе Windows.
Благодаря предписанному процессу Secure Boot система уже при старте будет отличаться повышенной безопасностью по сравнению со всеми остальными версиями Windows. Обратная сторона: функция отключения Secure Boot перестала быть обязательной, а всего лишь опциональной. Если безопасный запуск активирован, это может привести к проблемам с другими, установленными параллельно, операционнами системами и с запуском ПК с USB-накопителей и DVD.
Основная цель внедрения Measured Boot крайне прозрачная: запуск устройства (смартфонов, планшетов и компьютеров в случае с Windows 10) должен стать безопаснее. Если во время работы за системой приглядывают различные утилиты и функции, например антивирусный сканер и брандмауэр, то за фазой запуска практически не было надзора.
Когда хакеру удавалось с помощью руткита внедриться в процесс загрузки Windows, он получал контроль за системой и легко прятал свою программу от антивирусов и других инструментов защиты. Уровень безопасности повысился уже в Windows 8. Ключевым элементом стала спецификация UEFI версии 2.3.1 с Secure Boot.
Преимущество: встроенное ПО UEFI не может быть изменено другими программами и позволяет запустить систему только с подписанных загрузчиков. При использовании Secure Boot при запуске компьютера все компоненты проверяются на валидность подписи. Неподписанные, то есть измененные модули, таким образом, блокируются еще до старта Windows.
Запуск Windows с помощью крипточипа
Secure Boot не нуждается в модуле TPM. Криптопроцессор по желанию пользователя дополнительно защищает процесс запуска компьютера с Windows 10, компания Microsoft называет это Measured Boot. Новые метод полностью оправдывает свое имя, поскольку действительно выполняются многочисленные расчеты.
После включения компьютера сначала вычисляется хэш-значение встроенного ПО UEFI и сохраняется в одном из 24 регистров конфигурации платформы чипа TPM. Речь при этом идет о защищенных областях памяти, которые невозможно изменить и которые могут быть переписаны заново лишь при перезапуске системы.
По спецификации распределение регистров выглядит следующим образом: номера 0-7 отданы под измерения встроенного ПО UEFI, а регистры от 8-15 система может использовать для собственных нужд, например под BitLocker. Остальные доступны для программ сторонних разработчиков, в том числе для антивирусов. Вдобавок к этому технология Secure Boot также активна и проверяет подписи загрузочных компонентов.
Каждый раз, до загрузки модуля, процесс Measured Boot выполняет свое вычисление хэш-значения и сохраняет результат в одном из указанных регистров TPM. График на странице слева раскрывает подробности отдельных этапов.
После теста встроенного ПО UEFI высчитываются контрольные суммы для загрузчика ОС, модулей ядра и системных драйверов, которые затем сохраняются в TPM. Исключением является ELAM (Early Launch AntiMalware). Эта функция разрешает ранний запуск антивируса под Windows. Еще до загрузки собственно операционной системы с помощью ELAM можно привести в действие защитную программу стороннего разработчика, например Kaspersky, Avira или Symantec.
Но и здесь хэш-значение записывается. Процесс завершается лишь после запуска системы и появления экрана входа. Measured Boot предоставляет зашифрованный журнальный файл со списком всех загруженных при запуске компонентов. Внешняя проверка оберегает от руткитов «Фишкой» технологии Measured Boot является то, что лог-файл отдается на дополнительную проверку.
Функция под названием Remote Attestation Client (клиент удаленной аттестации) считывает его и передает дальше на сервер для проверки через локальную сеть или Интернет. Там происходит анализ безопасности загруженных компонентов. Если все в порядке, вы можете без проблем работать на компьютере.
Если же над модулем успели поработать хакеры, он отмечается как зараженный и должен загружаться только офлайн. Преимущество Measured Boot в том, что надежность загруженных компонентов проверяется внешней инстанцией.
Фото: компании-производители