如何保护Windows 10引导过程

保护Windows 10引导过程

安全启动

安全引导是PC行业成员开发的安全标准，可帮助您通过在系统启动过程中不允许任何未经授权的应用程序运行来保护您的系统免受恶意程序的损害。该功能确保您的PC仅使用PC制造商信任的软件启动。因此，每当您的PC启动时，固件会检查每个引导软件的签名，包括固件驱动程序（选件ROM）和操作系统。如果签名被验证，PC启动，并且固件给操作系统提供控制。

 

可信引导

此引导加载程序使用虚拟可信平台模块（VTPM）来验证Windows 10内核的数字签名，然后再加载它，然后验证Windows启动过程的其他组件，包括引导驱动程序，启动文件和ELAM。如果某个文件已被更改或更改到任何程度，引导加载程序会检测到该文件，并拒绝将其识别为已损坏的组件。简而言之，它为引导期间的所有组件提供了一个信任链。

 

早期发布反恶意软件

早期启动的反恶意软件（ELAM）可在启动时和第三方驱动程序初始化之前为网络中存在的计算机提供保护。安全启动成功管理保护引导加载程序并且可信引导完成/完成保护Windows内核的任务后，ELAM的作用将开始。它会关闭任何漏洞，以防恶意软件启动或通过感染非Microsoft启动驱动程序启动感染。该功能立即加载Microsoft或非Microsoft反恶意软件。这有助于建立由Secure Boot和Trusted Boot提供的连续的信任链。

 

测量引导

已经观察到，即使在反恶意软件运行的情况下，感染rootkit的PC仍然显示健康。如果连接到企业网络的这些受感染的PC通过打开路由来访问大量的机密数据，对其他系统造成严重的风险。 Windows 10中的测量启动允许网络上的可信服务器通过使用以下过程来验证Windows启动过程的完整性。

 

运行非Microsoft远程认证客户机 - 受信任的证明服务器在每次启动过程结束时向客户端发送唯一的密钥。

PC的UEFI固件在TPM中存储固件，引导加载程序，引导驱动程序和将在反恶意软件应用程序之前加载的所有内容的哈希值。

TPM使用唯一的密钥对UEFI记录的日志进行数字签名。客户端然后将日志发送到服务器，可能还有其他安全信息。

掌握所有这些信息，服务器现在可以发现客户端是否正常，并授予客户端对有限隔离网络或完整网络的访问权限。