Compartir a través de

Arranque medido

  • Artículo

Plataformas

Clientes: servidores de Windows 8: Windows Server 2012

Descripción

A medida que el software antimalware (AM) se ha vuelto mejor y mejor al detectar malware en tiempo de ejecución, los atacantes también se están volviendo mejores al crear rootkits que pueden ocultarse de la detección. La detección de malware que se inicia al principio del ciclo de arranque es un desafío que la mayoría de los proveedores de AM abordan diligentemente. Normalmente, crean hacks del sistema que no son compatibles con el sistema operativo host y pueden dar lugar a colocar el equipo en un estado inestable. Hasta este punto, Windows no ha proporcionado una buena manera de que AM detecte y resuelva estas amenazas de arranque tempranas. Windows 8 presenta una nueva característica denominada Arranque medido, que mide cada componente, desde el firmware hasta los controladores de inicio de arranque, almacena esas medidas en el Módulo de plataforma segura (TPM) en la máquina y, a continuación, pone a disposición un registro que se puede probar de forma remota para comprobar el estado de arranque del cliente.

Manifestación

La característica Arranque medido proporciona a am software con un registro de confianza (resistente a la suplantación y manipulación) de todos los componentes de arranque que se iniciaron antes del software am. El software am puede usar el registro para determinar si los componentes que se ejecutaron antes de ser de confianza o si están infectados con malware. El software am de la máquina local puede enviar el registro a un servidor remoto para su evaluación. El servidor remoto puede iniciar acciones de corrección mediante la interacción con software en el cliente o a través de mecanismos fuera de banda, según corresponda.

Mitigación

En escenarios empresariales, el administrador del sistema tiene control sobre cómo se usa la información de arranque medido. En escenarios de usuario final, por ejemplo, banca en línea), el consumidor debe optar por usar el arranque medido para el servicio específico.

Solución

Se está preparando un documento técnico que detalla las API y las llamadas de función que se deben realizar para diversos escenarios de arranque medido.