測量開機
平台
用戶端- Windows 8伺服器- Windows Server 2012
描述
由於反惡意程式碼 (AM) 軟體在偵測執行時間惡意程式碼時變得更好,因此攻擊者在建立可隱藏偵測的 rootkit 時,也會變得更好。 偵測在開機週期初期啟動的惡意程式碼,是大部分 AM 廠商努力解決的挑戰。 一般而言,它們會建立主機作業系統不支援的系統駭客入侵,而且實際上可能會導致電腦處於不穩定狀態。 目前為止,Windows 並未為 AM 提供偵測並解決這些早期開機威脅的好方法。 Windows 8引進稱為「測量式開機」的新功能,從韌體到開機啟動驅動程式來測量每個元件、將這些度量儲存在電腦上的信賴平臺模組 (TPM) ,然後提供可從遠端測試以驗證用戶端開機狀態的記錄檔。
表現
「測量式開機」功能提供 AM 軟體,並提供受信任的 (防止詐騙和竄改) 在 AM 軟體之前啟動的所有開機元件記錄檔。 AM 軟體可以使用記錄檔來判斷執行之前執行的元件是否值得信任,或是否受到惡意程式碼感染。 本機電腦上的 AM 軟體可以將記錄檔傳送至遠端伺服器進行評估。 遠端伺服器可以視需要與用戶端上的軟體互動,或透過頻外機制來起始補救動作。
風險降低
在企業案例中,系統管理員可控制如何使用測量開機資訊。 例如,在使用者案例中,線上銀行) ,取用者必須選擇使用特定服務的量值開機。
解決方法
準備白皮書,詳細說明必須針對各種測量開機案例進行的 API 和函式呼叫。