Comment sécuriser le processus de démarrage de Windows 10

Vous conviendrez que la fonction principale d`un système d`exploitation est de fournir un environnement d`exécution sûr où différentes applications peuvent s`exécuter, en toute sécurité. Cela nécessite l`existence d`un cadre de base pour l`exécution uniforme du programme afin d`utiliser le matériel et d`accéder aux ressources du système de manière sécurisée. Le noyau fournit ce service de base dans tous les systèmes d`exploitation sauf les plus simples. Pour activer ces fonctions fondamentales pour le système d`exploitation, plusieurs parties du système d`exploitation s`initialisent et s`exécutent au démarrage du système.

De plus, il existe d`autres fonctionnalités capables d`offrir une protection initiale. Ceux-ci incluent:

• Windows Defender - Il offre une protection complète pour votre système, vos fichiers et vos activités en ligne contre les logiciels malveillants et autres menaces. l`outil utilise des signatures pour détecter et mettre en quarantaine des applications, connues pour être malveillantes.
• Filtre SmartScreen - Il émet toujours des avertissements aux utilisateurs avant de les autoriser à exécuter une application non fiable. Ici, il est important de garder à l`esprit que ces fonctionnalités ne peuvent offrir de protection qu`après le démarrage de Windows 10. La plupart des malwares et des bootkits, en particulier, peuvent s`exécuter avant même le démarrage de Windows, se trouvant ainsi complètement cachés et sans passer par la sécurité du système d`exploitation.

Heureusement, Windows 10 fournit une protection même au démarrage. Comment? Eh bien, pour cela, nous devons d`abord comprendre ce que sont les Rootkits et comment ils fonctionnent. Par la suite, nous pouvons approfondir le sujet et trouver comment fonctionne le système de protection de Windows 10.

Rootkits

Les rootkits sont un ensemble d`outils utilisés pour pirater un appareil par un pirate. Le pirate tente d`installer un rootkit sur un ordinateur, d`abord en obtenant un accès au niveau de l`utilisateur, soit en exploitant une vulnérabilité connue ou en fendant un mot de passe, puis en récupérant les informations requises. Il dissimule le fait qu`un système d`exploitation a été compromis en remplaçant les exécutables vitaux.

Différents types de rootkits s`exécutent au cours des différentes phases du processus de démarrage. Parmi ceux-ci,

1. Kernel rootkits - Développé en tant que pilotes de périphériques ou modules chargeables, ce kit est capable de remplacer une partie du noyau du système d`exploitation afin que le rootkit puisse démarrer automatiquement. -
2. Ces kits écrasent le micrologiciel du système d`entrée / sortie de base du PC ou d`un autre matériel afin que le rootkit puisse démarrer avant que Windows ne se réveille Rootkits du pilote -
3. Au niveau du pilote, les applications peuvent le matériel du système. Donc, ce kit prétend être l`un des pilotes de confiance que Windows utilise pour communiquer avec le matériel PC Bootkits
4. - c`est une forme avancée de rootkits qui prend les fonctionnalités de base d`un rootkit et l`étend avec le capacité à infecter l`enregistrement de démarrage principal (MBR). Il remplace le bootloader du système d`exploitation pour que le PC charge le Bootkit avant le système d`exploitation. Windows 10 dispose de 4 fonctions sécurisant le processus de démarrage de Windows 10 et évitant ces menaces

Sécuriser le processus de démarrage de Windows 10 Boot

Secure Boot est une norme de sécurité développée par des membres de l`industrie informatique pour vous aider à protéger votre système contre les programmes malveillants en interdisant l`exécution d`applications non autorisées pendant le processus de démarrage du système. La fonction s`assure que votre PC démarre en utilisant uniquement un logiciel approuvé par le fabricant du PC. Ainsi, à chaque démarrage de votre PC, le micrologiciel vérifie la signature de chaque logiciel de démarrage, y compris les pilotes de micrologiciel (ROM en option) et le système d`exploitation. Si les signatures sont vérifiées, le PC démarre et le firmware donne le contrôle au système d`exploitation

Trusted Boot

Ce bootloader utilise le Virtual Trusted Platform Module (VTPM) pour vérifier la signature numérique du noyau Windows 10 avant le chargement qui, à son tour, vérifie tous les autres composants du processus de démarrage de Windows, y compris les pilotes de démarrage, les fichiers de démarrage et ELAM. Si un fichier a été modifié ou modifié dans une mesure quelconque, le bootloader le détecte et refuse de le charger en le reconnaissant comme le composant corrompu. En bref, il fournit une chaîne de confiance pour tous les composants lors du démarrage.

Lancement anticipé de l`anti-maliciel

l`anti-programme malveillant de lancement précoce (ELAM) assure la protection des ordinateurs présents sur un réseau au démarrage et avant l`initialisation des pilotes tiers. Une fois que le démarrage sécurisé a réussi à protéger le chargeur de démarrage et que Trusted Boot a terminé / terminé la tâche de sauvegarde du noyau Windows, le rôle d`ELAM commence. Il ferme toute échappatoire laissée aux logiciels malveillants pour démarrer ou initier une infection en infectant un pilote de démarrage non-Microsoft. La fonctionnalité charge immédiatement un anti-malware Microsoft ou non-Microsoft. Cela permet d`établir une chaîne de confiance continue établie par Secure Boot et Trusted Boot,

Measured Boot

Il a été observé que les ordinateurs infectés par des rootkits continuent à sembler en bonne santé, même avec un anti-malware. Ces ordinateurs infectés, s`ils sont connectés à un réseau dans une entreprise, présentent un risque sérieux pour les autres systèmes en ouvrant des routes permettant aux rootkits d`accéder à de grandes quantités de données confidentielles. l`amorçage mesuré dans Windows 10 permet à un serveur approuvé sur le réseau de vérifier l`intégrité du processus de démarrage de Windows en utilisant les processus suivants:

Exécution d`un client d`attestation distant non Microsoft - Le serveur d`attestation approuvé envoie au client une clé unique.

Le microprogramme UEFI du PC stocke dans le TPM un hachage du micrologiciel, du chargeur de démarrage, des pilotes de démarrage et de tout ce qui sera chargé avant l`application anti-malware.

1. Le TPM utilise la clé unique signer numériquement le journal enregistré par l`UEFI. Le client envoie alors le journal au serveur, éventuellement avec d`autres informations de sécurité.
2. Avec toutes ces informations, le serveur peut maintenant déterminer si le client est en bonne santé et accorder au client l`accès à un réseau de quarantaine limité ou à
3. Lire tous les détails sur Microsoft.