Antischadsoftware-Frühstart

Plattformen

Clients – Windows 8
Server – Windows Server 2012

Beschreibung

Da Antischadsoftware (AM) immer besser zur Erkennung von Runtime-Schadsoftware geworden ist, werden Angreifer auch besser darin, Rootkits zu erstellen, die sich vor der Erkennung verbergen können. Die Erkennung von Schadsoftware, die früh im Startzyklus gestartet wird, ist eine Herausforderung, die die meisten AM-Anbieter sorgfältig bewältigen müssen. In der Regel erstellen sie System-Hacks, die vom Hostbetriebssystem nicht unterstützt werden und tatsächlich dazu führen können, dass der Computer in einem instabilen Zustand platziert wird. Bis zu diesem Zeitpunkt bietet Windows keine gute Möglichkeit für AM, diese Bedrohungen für den frühen Start zu erkennen und zu beheben.

Windows 8 führt ein neues Feature namens Sicherer Start ein, das die Windows Bootkonfiguration und -komponenten schützt und einen Early Launch Anti-Malware (ELAM)-Treiber lädt. Dieser Treiber startet vor anderen Starttreibern und ermöglicht die Auswertung dieser Treiber und hilft dem Windows Kernel zu entscheiden, ob sie initialisiert werden sollen.

Manifestation

Durch den ersten Start durch den Kernel wird sichergestellt, dass ELAM vor Software von Drittanbietern gestartet wird und daher Schadsoftware im Startprozess erkennen und deren Initialisierung verhindern kann.

Minderung

Starttreiber werden basierend auf der Klassifizierung initialisiert, die vom ELAM-Treiber gemäß einer Initialisierungsrichtlinie zurückgegeben wird. Standardmäßig initialisiert die Richtlinie bekannte gute und unbekannte Treiber, initialisiert jedoch keine bekannten fehlerhaften Treiber. Ein Systemadministrator kann eine benutzerdefinierte Richtlinie über Gruppenrichtlinie angeben, die die Initialisierung unbekannter Treiber verhindern oder die Initialisierung von Treibern ermöglichen kann, die für den Startprozess wichtig sind, aber manipuliert wurden.

Lösung

Ein ELAM-Treiber muss sich für Kernelrückrufe registrieren, um Informationen zu jedem Starttreiber während der Initialisierung zu erhalten. Der ELAM-Treiber kann dann eine Klassifizierung für jeden Treiber zurückgeben. Diese Funktionen sind erforderlich:

Ein ELAM-Treiber kann sich auch für Registrierungsrückrufe registrieren. Auf diese Weise kann der ELAM-Treiber die Konfigurationsdaten überprüfen, die von den einzelnen Starttreibern verwendet werden. Der ELAM-Treiber kann dann die Daten blockieren oder ändern, bevor sie bei Bedarf von den Starttreibern verwendet werden. Diese Funktionen sind erforderlich:

Weitere Informationen zu den Anforderungen des ELAM-Treibers und zur API-Nutzung finden Sie unter Early Launch Antimalware.

Tests

ELAM-Treiber müssen speziell von Microsoft signiert werden, um sicherzustellen, dass sie vom Windows Kernel zu einem frühen Teil des Startprozesses gestartet werden. Um die Signatur zu erhalten, müssen ELAM-Treiber eine Reihe von Zertifizierungstests bestehen, um die Leistung und anderes Verhalten zu überprüfen. Diese Tests sind im Windows Hardware Certification Kit enthalten.

Ressourcen