Windows 10 부팅 프로세스 보안 방법

운영 체제의 주요 기능은 여러 응용 프로그램을 안전하게 실행할 수있는 안전한 실행 환경을 제공한다는 데 있습니다. 이를 위해서는 하드웨어를 사용하고 시스템 리소스를 안전하게 사용하기 위해 균일 한 프로그램 실행을위한 기본 프레임 워크가 필요합니다. 커널은 가장 단순한 운영 체제를 제외한 모든 운영 체제에서이 기본 서비스를 제공합니다. 운영 체제에서 이러한 기본 기능을 사용하려면 OS의 여러 부분이 시스템 부팅시 초기화되고 실행됩니다.

이외에도 초기 보호 기능을 제공 할 수있는 다른 기능이 있습니다. 다음과 같습니다:

• Windows Defender - 악성 프로그램 및 기타 위협으로부터 시스템, 파일 및 온라인 활동을 포괄적으로 보호합니다. 이 도구는 본질적으로 악의적 인 것으로 알려진 앱을 탐지하고 격리하기 위해 서명을 사용합니다. SmartScreen Filter
• - 신뢰할 수없는 앱을 실행하기 전에 사용자에게 항상 경고를 보냅니다. 이 기능은 Windows 10이 시작된 후에 만 ​​보호 기능을 제공 할 수 있다는 점을 명심해야합니다. 특히 대부분의 최신 악성 프로그램 및 부트 킷은 Windows가 시작되기 전에 실행되어 숨겨져 있으며 운영 체제 보안을 우회 할 수 있습니다. 다행히 Windows 10은 시작 중에도 보호 기능을 제공합니다. 방법? 우선, 우리는 루트킷이 무엇이며 어떻게 작동하는지 이해해야합니다. 그 후, 우리는 Windows 10 보호 시스템이 어떻게 작동하는지에 대해 더 깊이 파고들 수 있습니다.

루트킷

루트킷은 크래커가 장치를 해킹하는 데 사용하는 도구 세트입니다. 크래커는 알려진 취약성을 악용하거나 암호를 해독하고 필요한 정보를 검색하여 사용자 수준 액세스를 획득하여 컴퓨터에 루트킷 설치를 시도합니다. 중요한 실행 파일을 대체하여 운영 체제가 손상되었다는 사실을 숨 깁니다.

시작 프로세스의 여러 단계에서 다른 유형의 루트킷이 실행됩니다.

커널 루트킷 -

1. 장치 드라이버 또는로드 가능한 모듈로 개발 된이 키트는 운영 체제 커널의 일부를 대체 할 수 있으므로 운영 체제가로드 될 때 루트킷이 자동으로 시작될 수 있습니다. 펌웨어 루트킷 -
2. 이 키트는 PC의 기본 입출력 시스템 또는 다른 하드웨어의 펌웨어를 덮어 씁니다. Windows가 깨어나 기 전에 루트킷을 시작할 수 있습니다. 드라이버 루트킷 -
3. 드라이버 수준에서 응용 프로그램은 시스템의 하드웨어. 따라서이 키트는 Windows가 PC 하드웨어와 통신하는 데 사용하는 신뢰할 수있는 드라이버 중 하나입니다. Bootkits
4. - 루트킷의 기본 기능을 수행하는 고급형 루트킷입니다. MBR (Master Boot Record)을 감염시키는 기능. Windows 10은 Windows 10 부팅 프로세스를 보호하고 이러한 위협을 피하는 4 가지 기능을 제공합니다.

Windows 10 부팅 프로세스 보안

Secure 부팅

보안 부팅은 시스템 시작 프로세스 중에 허가되지 않은 응용 프로그램을 실행하지 못하게하여 악의적 인 프로그램으로부터 시스템을 보호하도록 도와주는 PC 업계 구성원이 개발 한 보안 표준입니다. 이 기능을 사용하면 PC 제조업체가 신뢰하는 소프트웨어 만 사용하여 PC를 부팅 할 수 있습니다. 따라서 PC가 시작될 때마다 펌웨어는 펌웨어 드라이버 (옵션 ROM) 및 운영 체제를 포함한 각 부팅 소프트웨어의 서명을 확인합니다. 서명이 확인되면 PC가 부팅되고 펌웨어가 운영 체제를 제어합니다.

신뢰할 수있는 부팅

이 부팅 로더는 VTPM (Virtual Trusted Platform Module)을 사용하여 이전에 Windows 10 커널의 디지털 서명을 확인합니다 부팅 드라이버, 시작 파일 및 ELAM을 포함하여 Windows 시작 프로세스의 다른 모든 구성 요소를 차례로 확인합니다. 파일이 변경되거나 어느 정도 변경된 경우 부트 로더는이를 감지하고 파일을 손상된 구성 요소로 인식하여로드를 거부합니다. 요컨대, 부팅하는 동안 모든 구성 요소에 대한 신뢰 체인을 제공합니다.

조기 출시 맬웨어 방지 프로그램

조기 출시 맬웨어 방지 프로그램 (ELAM)은 네트워크를 시작할 때 및 타사 드라이버를 초기화하기 전에 네트워크에있는 컴퓨터를 보호합니다. 보안 부팅이 부트 로더를 성공적으로 관리하고 신뢰할 수있는 부팅이 Windows 커널을 보호하는 작업을 완료했거나 완료 한 후에는 ELAM의 역할이 시작됩니다. Microsoft가 아닌 타사 부팅 드라이버를 감염시켜 맬웨어가 감염을 시작하거나 감염시킬 수있는 허점을 제거합니다. 이 기능은 즉시 Microsoft 또는 Microsoft 제품이 아닌 맬웨어 방지 프로그램을로드합니다. 이것은 보안 부트 및 트러스티 드 부트 (Trusted Boot)가 이전에 설립 한 연속적인 트러스트 체인을 구축하는 데 도움이됩니다.

측정 된 부트

루트킷에 감염된 PC는 맬웨어 방지 실행 중에도 계속해서 건강 해지는 것으로 나타났습니다. 이러한 감염된 PC는 기업의 네트워크에 연결되어 있으면 루트킷이 방대한 양의 기밀 데이터에 액세스 할 수있는 경로를 열어 다른 시스템에 심각한 위험을 초래합니다. Windows 10에서 측정 된 부팅을 사용하면 네트워크의 신뢰할 수있는 서버가 다음 프로세스를 사용하여 Windows 시작 프로세스의 무결성을 확인할 수 있습니다.

타사 원격 인증 클라이언트 실행 - 신뢰할 수있는 증명 서버는 클라이언트에 고유 키를 PC의 UEFI 펌웨어는 TPM에 펌웨어, 부트 로더, 부트 드라이버 및 맬웨어 방지 프로그램 이전에로드 될 모든 항목의 해시를 저장합니다.

1. TPM은 고유 한 키 UEFI가 기록한 로그에 디지털 서명. 그런 다음 클라이언트는 다른 보안 정보와 함께 서버에 로그를 전송합니다.
2. 이 모든 정보를 바탕으로 서버는 클라이언트가 정상인지 여부를 확인하고 클라이언트가 제한된 격리 네트워크 또는 전체 네트워크.
3. Microsoft의 전체 세부 정보 읽기