Ранний запуск антивредоносного ПО
Платформы
Клиенты — Windows 8
Серверы — Windows Server 2012
Описание
По мере того как антивредоносное ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ (AM) стало лучше обнаруживать вредоносные программы среды выполнения, злоумышленники также становятся лучше создавать пакеты rootkit, которые могут скрываться от обнаружения. Обнаружение вредоносных программ, которые начинаются в начале цикла загрузки, является проблемой, которую большинство поставщиков AM старательно решают. Как правило, они создают системные взлома, которые не поддерживаются операционной системой узла и на самом деле могут привести к переводу компьютера в нестабильное состояние. До этого момента Windows не предоставляла am хороший способ обнаружения и устранения этих ранних угроз загрузки.
Windows 8 представлена новая функция под названием Безопасная загрузка, которая защищает конфигурацию и компоненты загрузки Windows и загружает драйвер для раннего запуска вредоносных программ (ELAM). Этот драйвер запускается перед другими драйверами запуска загрузки и позволяет оценить эти драйверы и помогает ядру Windows решить, следует ли их инициализировать.
Проявление
При первом запуске ядром ELAM гарантируется, что он будет запущен до любого стороннего программного обеспечения и, следовательно, может обнаруживать вредоносные программы в процессе загрузки и предотвращать его инициализацию.
Меры по снижению риска
Загрузочные драйверы инициализируются на основе классификации, возвращаемой драйвером ELAM в соответствии с политикой инициализации. По умолчанию политика инициализирует известные и неизвестные драйверы, но не инициализирует известные плохие драйверы. Системный администратор может указать настраиваемую политику с помощью групповая политика, которые могут предотвратить инициализацию неизвестных драйверов или включить драйверы, которые являются критически важными для процесса загрузки, но были изменены, загрузка должна быть инициализирована.
Решение
Драйвер ELAM должен регистрироваться для обратных вызовов ядра, чтобы получить сведения о каждом драйвере запуска загрузки во время его инициализации. Затем драйвер ELAM может возвращать классификацию для каждого драйвера. Эти функции являются обязательными:
Драйвер ELAM также может регистрироваться для обратных вызовов реестра. Это позволяет драйверу ELAM проверять данные конфигурации, используемые каждым драйвером запуска загрузки. Затем драйвер ELAM может заблокировать или изменить данные, прежде чем они будут использоваться драйверами запуска загрузки, если это необходимо. Эти функции являются обязательными:
Дополнительные сведения о требованиях к драйверу ELAM и использовании API см. в разделе Ранний запуск антивредоносного ПО.
Тесты
Драйверы ELAM должны быть специально подписаны корпорацией Майкрософт, чтобы убедиться, что они запускаются ядром Windows на ранних этапах процесса загрузки. Чтобы получить подпись, драйверы ELAM должны пройти набор сертификационных тестов для проверки производительности и другого поведения. Эти тесты входят в комплект сертификации оборудования Windows.
Ресурсы
- Ранний запуск антивредоносного ПО
- CmRegisterCallbackEx
- CmUnRegisterCallback
- IoRegisterBootDriverCallback
- IoUnRegisterBootDriverCallback
- Сертификация оборудования с помощью презентации конференции по сборке комплекта сертификации оборудования Windows
- Скачивание комплектов и средств
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по