Share via

Kontrollierter Start

  • Artikel

Plattformen

Clients - Windows 8 Server - Windows Server 2012

Beschreibung

Da Antimalware (AM)-Software besser und besser zum Erkennen von Laufzeitsoftware geworden ist, werden Angreifer auch bei der Erstellung von Stammkits, die sich aus der Erkennung ausblenden können, besser. Die Erkennung von Schadsoftware, die früh im Startzyklus beginnt, ist eine Herausforderung, die die meisten AM-Anbieter sorgfältig adressieren. Normalerweise erstellen sie System-Hacks, die vom Hostbetriebssystem nicht unterstützt werden, und können tatsächlich dazu führen, dass der Computer in einem instabilen Zustand platziert wird. Bis zu diesem Punkt hat Windows keine gute Möglichkeit für AM bereitgestellt, diese früh gestarteten Bedrohungen zu erkennen und zu beheben. Windows 8 führt ein neues Feature namens "Gemessener Start" ein, das jede Komponente, von Firmware bis hin zu Starttreibern, diese Messungen im Trusted Platform Module (TPM) auf dem Computer speichert und dann ein Protokoll bereitstellt, das remote getestet werden kann, um den Startstatus des Clients zu überprüfen.

Manifestation

Das Feature "Gemessener Start" bietet AM-Software ein vertrauenswürdiges Protokoll (vertrauenswürdig für Spoofing und Manipulation) aller Startkomponenten, die vor der AM-Software gestartet wurden. Am-Software kann das Protokoll verwenden, um zu bestimmen, ob Komponenten, die ausgeführt wurden, bevor sie vertrauenswürdig sind oder ob sie mit Schadsoftware infiziert sind. Die AM-Software auf dem lokalen Computer kann das Protokoll an einen Remoteserver für die Auswertung senden. Der Remoteserver kann Korrekturaktionen entweder durch Interaktion mit Software auf dem Client oder über Out-of-Band-Mechanismen initiieren, sofern erforderlich.

Minderung

In Unternehmensszenarien hat der Systemadministrator Kontrolle darüber, wie gemessene Startinformationen verwendet werden. In Endbenutzerszenarien muss sich der Verbraucher z. B. für den bestimmten Dienst entscheiden, den Gemessenen Start zu verwenden.

Lösung

Ein Whitepaper wird vorbereitet, um die APIs und Funktionsaufrufe anzuzeigen, die für verschiedene Messstartszenarien erstellt werden müssen.