Condividi tramite


Antimalware di avvio anticipato

Piattaforme

Client - Windows 8
Server - Windows Server 2012

Descrizione

Man mano che il software antimalware (AM) è diventato migliore e migliore nel rilevare il malware di runtime, gli utenti malintenzionati stanno diventando migliori anche nella creazione di rootkit che possono nascondersi dal rilevamento. Il rilevamento di malware che inizia all'inizio del ciclo di avvio è una sfida che la maggior parte dei fornitori AM affronta in modo diligente. In genere, creano hack di sistema che non sono supportati dal sistema operativo host e possono effettivamente comportare l'inserimento del computer in uno stato instabile. Fino a questo punto, Windows non ha fornito un buon modo per il rilevamento e la risoluzione di queste minacce di avvio anticipato.

Windows 8 introduce una nuova funzionalità denominata Avvio protetto, che protegge la configurazione e i componenti di avvio di Windows e carica un driver antimalware (ELAM) di avvio anticipato. Questo driver viene avviato prima di altri driver di avvio e abilita la valutazione di tali driver e consente al kernel di Windows di decidere se devono essere inizializzati.

Manifestazione

Essendo stato avviato per primo dal kernel, ELAM viene assicurato di essere avviato prima di qualsiasi software di terze parti, ed è quindi in grado di rilevare malware nel processo di avvio e impedire l'inizializzazione.

Strategia di riduzione del rischio

I driver di avvio vengono inizializzati in base alla classificazione restituita dal driver ELAM in base a un criterio di inizializzazione. Per impostazione predefinita, il criterio inizializza i driver validi e sconosciuti noti, ma non inizializza driver non validi noti. Un amministratore di sistema può specificare criteri personalizzati tramite Criteri di gruppo che possono impedire a driver sconosciuti di inizializzare o abilitare driver critici per il processo di avvio, ma che sono stati manomessi, l'avvio deve essere inizializzato.

Soluzione

Un driver ELAM deve registrarsi per i callback del kernel per ottenere informazioni su ogni driver di avvio di avvio durante l'inizializzazione. Il driver ELAM può quindi restituire una classificazione per ogni driver. Queste funzioni sono obbligatorie:

Un driver ELAM può anche eseguire la registrazione per i callback del Registro di sistema. In questo modo il driver ELAM può controllare i dati di configurazione usati da ogni driver di avvio. Il driver ELAM può quindi bloccare o modificare i dati prima che vengano usati dai driver di avvio, se necessario. Queste funzioni sono obbligatorie:

Per altre informazioni sui requisiti dei driver ELAM e sull'utilizzo delle API, vedere Antimalware di avvio anticipato.

Test

I driver ELAM devono essere firmati appositamente da Microsoft per assicurarsi che vengano avviati dal kernel windows all'inizio del processo di avvio. Per ottenere la firma, i driver ELAM devono superare un set di test di certificazione per verificare le prestazioni e altri comportamenti. Questi test sono inclusi nel Kit di certificazione hardware Windows.

Risorse