测量的启动

平台

客户端 - Windows 8 服务器 - Windows Server 2012

说明

随着反恶意软件 (AM) 软件在检测运行时恶意软件时变得更好,攻击者也越来越擅长创建可隐藏检测的 rootkit。 检测启动周期早期启动的恶意软件是大多数 AM 供应商勤奋解决的挑战。 通常,它们会创建主机操作系统不支持的系统黑客攻击,实际上可能会导致计算机处于不稳定状态。 至此,Windows 尚未为 AM 提供检测和解决这些早期启动威胁的好方法。 Windows 8引入了一项名为“度量启动”的新功能,该功能通过启动驱动程序从固件开始测量每个组件,将这些度量存储在受信任的平台模块 (TPM) 计算机上,然后提供一个日志,以便远程测试客户端的启动状态。

表现

度量的启动功能为 AM 软件提供了一个受信任的 (抵制欺骗和篡改) 在 AM 软件之前启动的所有启动组件的日志。 AM 软件可以使用日志来确定在运行之前运行的组件是否可信,或者它们是否感染了恶意软件。 本地计算机上的 AM 软件可以将日志发送到远程服务器进行评估。 远程服务器可以根据需要与客户端上的软件交互或通过带外机制来启动修正操作。

缓解措施

在企业方案中,系统管理员可以控制如何使用度量的启动信息。 例如,在最终用户方案中,在线银行) ,使用者必须选择加入为特定服务使用度量启动。

解决方案

正在准备一份白皮书,详细说明必须针对各种度量启动方案进行的 API 和函数调用。