Avvio con misurazioni

  • Articolo

Piattaforme

Client - server Windows 8 - Windows Server 2012

Descrizione

Poiché il software antimalware (AM) è diventato migliore e migliore nel rilevare il malware di runtime, gli utenti malintenzionati stanno diventando migliori anche per la creazione di rootkit che possono nascondersi dal rilevamento. Il rilevamento di malware che inizia all'inizio del ciclo di avvio è una sfida che la maggior parte dei fornitori di AM affronta in modo diligente. In genere, creano hack di sistema che non sono supportati dal sistema operativo host e possono effettivamente causare l'inserimento del computer in uno stato instabile. Fino a questo punto, Windows non ha fornito un buon modo per rilevare e risolvere queste minacce di avvio anticipato. Windows 8 introduce una nuova funzionalità denominata Avvio misurato, che misura ogni componente, dal firmware fino ai driver di avvio, archivia le misurazioni nel modulo TPM (Trusted Platform Module) nel computer e quindi rende disponibile un log che può essere testato in remoto per verificare lo stato di avvio del client.

Manifestazione

La funzionalità di avvio misurata fornisce un software AM con un log attendibile (resistente allo spoofing e alla manomissione) di tutti i componenti di avvio avviati prima del software AM. Il software AM può usare il log per determinare se i componenti eseguiti prima che siano attendibili o se sono infettati da malware. Il software AM nel computer locale può inviare il log a un'istanza remota per la valutazione. Il server remoto può avviare azioni di correzione tramite l'interazione con il software nel client o tramite meccanismi fuori banda, in base alle esigenze.

Strategia di riduzione del rischio

Negli scenari aziendali, l'amministratore di sistema ha il controllo del modo in cui vengono usate le informazioni di avvio misurate. Negli scenari dell'utente finale, ad esempio, online banking, il consumer deve acconsentire esplicitamente all'uso dell'avvio misurato per il servizio specifico.

Soluzione

Viene preparato un white paper che illustra in dettaglio le API e le chiamate di funzione che devono essere effettuate per vari scenari di avvio misurati.