Proteggere il processo di avvio di Windows 10

Si applica a:

  • Windows10
  • Windows 8.1

Il sistema operativo Windows ha numerose funzionalità che consentono di garantire la protezione da malware. Fatta eccezione per le app che le aziende sviluppano e utilizzano internamente, tutte le app di Microsoft Store devono soddisfare una serie di requisiti per essere certificate e incluse in Microsoft Store. Il processo di certificazione esamina criteri diversi, tra cui la sicurezza ed è un mezzo efficace per impedire l'immissione di malware in Microsoft Store. Anche se l'app non funziona, il sistema operativo Windows10 include una serie di funzionalità di sicurezza che possono mitigare l'impatto. Ad esempio, le app di Microsoft Store sono applicazioni sandbox e non dispongono dei privilegi necessari per accedere ai dati utente o modificare le impostazioni di sistema.

Windows10 ha più livelli di protezione per le app e i dati desktop. Windows Defender utilizza le firme per rilevare e mettere in quarantena le app note come dannose. Il filtro SmartScreen avvisa gli utenti prima di consentire loro l'esecuzione di un'app non attendibile, anche viene riconosciuta come malware. Prima che un'app possa cambiare le impostazioni di sistema, l'utente dovrebbe concedere all'app privilegi amministrativi tramite il Controllo dell'account utente.

Questi sono solo alcuni dei modi in cui Windows10 ti protegge da malware. Tuttavia, queste caratteristiche di sicurezza ti proteggono solo dopo l'avvio di Windows10. Il malware moderno e i bootkit in particolare sono in grado di avviarsi prima di Windows, ignorando del tutto la protezione del sistema operativo e rimanendo completamente nascosti.

Quando esegui Windows 10 in un PC o in un qualsiasi PC che supporta la Unified Extensible Firmware Interface (UEFI), l'avvio sicuro protegge il PC da malware dal momento in cui accendi il PC fino a quando non viene avviato l'antimalware. Nell'eventualità improbabile che il malware infetti un PC, non può rimanere nascosto; Avvio sicuro può dimostrare l'integrità del sistema all'infrastruttura in un modo che il malware non riesce a mascherare. Anche nei PC senza UEFI, Windows10 offre una sicurezza di avvio ancora migliore rispetto alle versioni precedenti di Windows.

Prima di tutto, esaminiamo quali sono i rootkit e il relativo funzionamento. Ti mostreremo in che modo Windows10 può proteggerti.

La minaccia: rootkit

I rootkit sono un tipo complesso e pericoloso di malware in esecuzione in modalità kernel, che utilizza gli stessi privilegi del sistema operativo. Poiché i rootkit hanno gli stessi diritti del sistema operativo e si avviano prima, possono nascondere completamente se stessi e altre applicazioni. Spesso i rootkit fanno parte di un'intera famiglia di malware in grado di ignorare gli accessi locali, registrare le password e le pressioni dei tasti, trasferire file privati e acquisire dati crittografici.

Diversi tipi di rootkit si caricano nelle varie fasi del processo di avvio:

  • Rootkit del firmware. Questi kit sovrascrivono il firmware di sistema di input/output di base del PC o altri componenti hardware in modo che il rootkit possa avviarsi prima di Windows.
  • Bootkit. Questi kit sostituiscono il bootloader del sistema operativo (la piccola parte del software che avvia il sistema operativo) in modo che il PC carichi il bootkit prima del sistema operativo.
  • Rootkit kernel. Questi kit sostituiscono una parte del kernel del sistema operativo in modo che il rootkit possa avviarsi automaticamente quando viene caricato il sistema operativo.
  • Rootkit dei driver. Questi kit fingono di essere uno dei driver attendibili che Windows usa per comunicare con l'hardware del PC.

Le contromisure

Windows10 supporta quattro funzionalità per evitare che i rootkit e i bootkits vengano caricati durante il processo di avvio:

  • Avvio protetto I PC con firmware UEFI e un Trusted Platform Module (TPM) possono essere configurati per caricare solo i bootloader attendibili del sistema operativo.
  • Avvio sicuro. Windows controlla l'integrità di ogni componente del processo di avvio prima di caricarla.
  • Antimalware ad esecuzione anticipata (Early Launch Antimalware o "ELAM"). Antimalware ad esecuzione anticipata verifica tutti i driver prima che vengano caricati e impedisce il caricamento dei driver non approvati.
  • Avvio con misurazioni. Il firmware del PC esegue il processo di avvio e Windows può inviarlo a un server attendibile che può valutare obiettivamente lo stato del PC.

Figure1 Mostra il processo di avvio di Windows10.

Processo di avvio di Windows10

Figura 1. Avvio protetto, Avvio sicuro e Avvio con misurazioni bloccano il malware in ogni fase

L'avvio sicuro e l'avvio misurato sono possibili solo sui PC con UEFI 2.3.1 e un chip TPM. Fortunatamente, tutti i PC 10 Windows che soddisfano i requisiti del Programma di compatibilità hardware con Windows dispongono di questi componenti e così come molti PC progettati per le versioni precedenti di Windows.

Le sezioni che seguono descrivono Avvio protetto, Avvio sicuro, Antimalware ad esecuzione anticipata e Avvio con misurazioni.

Avvio protetto

Quando viene avviato, un PC prima di tutto rileva il bootloader del sistema operativo. Nei PC senza Avvio protetto viene è semplicemente eseguito un qualsiasi bootloader che si trova nell'unità disco rigido del PC. Non è possibile per il PC indicare se si tratta di un sistema operativo attendibile o di un rootkit.

Quando un PC con UEFI viene avviato, verifica innanzitutto che il firmware sia firmato digitalmente, riducendo il rischio di rootkit del firmware. Se Avvio protetto è abilitato, il firmware esamina la firma digitale del bootloader per controllare che non sia stata modificata. Se il bootloader è integro, il firmware lo avvia solo se si verifica una delle seguenti condizioni:

  • Il bootloader è stato sottoscritto con un certificato attendibile. Nel caso di PC certificati per Windows10, il certificato Microsoft® è attendibile.
  • L'utente ha approvato manualmente la firma digitale del bootloader. In questo modo all'utente è consentito caricare sistemi operativi non Microsoft.

Tutte le certificate basate su x86 per i PC Windows10 devono soddisfare diversi requisiti correlati all'avvio sicuro:

  • Devono avere Avvio protetto abilitato per impostazione predefinita.
  • Devono considerare attendibile il certificato di Microsoft (e anche tutti i bootloader firmati da Microsoft).
  • Devono consentire all'utente di configurare Avvio protetto per considerare attendibili altri bootloader.
  • Devono consentire all'utente di disabilitare completamente Avvio protetto.

Questi requisiti consentono di garantire la protezione da rootkit, permettendoti nel contempo di eseguire qualsiasi sistema operativo che desideri. Hai tre opzioni per eseguire sistemi operativi non Microsoft:

  • Usare un sistema operativo con un bootloader certificato. Poiché tutte le certificate per i PC Windows10 devono considerare attendibile il certificato Microsoft, Microsoft offre un servizio per analizzare e firmare qualsiasi bootloader non Microsoft in modo che sia attendibile per tutti i PC Windows10. Infatti, un bootloader open source in grado di caricare Linux è già disponibile. Per iniziare il processo di ottenimento di un certificato, http://partner.microsoft.com/dashboardVai a.
  • Configura UEFI per considerare attendibile il bootloader personalizzato. Tutte le certificate per i PC Windows10 consentono di considerare attendibile un bootloader non certificato aggiungendo una firma al database UEFI, consentendo l'esecuzione di qualsiasi sistema operativo, inclusi i sistemi operativi fatti in casa.
  • Disattiva Avvio protetto. Tutte le certificate per i PC Windows10 consentono di disattivare l'avvio sicuro in modo da poter eseguire qualsiasi software. Questo tuttavia non consente di proteggerti dai bootkit.

Per impedire al malware di utilizzare in modo improprio queste opzioni, l'utente deve configurare manualmente il firmware UEFI per considerare attendibile un bootloader non certificato o per disattivare Avvio protetto. Il software non può modificare le impostazioni di Avvio protetto. Per altre informazioni su Avvio protetto, leggi il blog sulla protezione dell'ambiente del sistema pre-operativo con UEFI.

Come la maggior parte dei dispositivi mobili, la certificazione basata su ARM per i dispositivi WindowsRT, come il dispositivo Microsoft Surface RT, è progettata per l'esecuzione di solo Windows 8.1. Di conseguenza, Avvio protetto non può essere disattivato e non puoi caricare un altro sistema operativo. Fortunatamente, esiste un mercato di grandi dimensioni di dispositivi ARM progettato per l'esecuzione di altri sistemi operativi.

Avvio sicuro

Avvio sicuro inizia dove non interviene più Avvio protetto. Il bootloader verifica la firma digitale del kernel Windows10 prima del caricamento. Il kernel Windows10, a sua volta, verifica ogni altro componente del processo di avvio di Windows, inclusi i driver di avvio, i file di avvio e ELAM. Se un file è stato modificato, il bootloader rileva il problema e si rifiuta di caricare il componente danneggiato. Spesso Windows10 può ripristinare automaticamente il componente danneggiato, ripristinando l'integrità di Windows e consentendo il riavvio normale del PC.

Antimalware ad esecuzione anticipata

Poiché Avvio protetto ha protetto il bootloader e Avvio sicuro ha protetto il kernel di Windows, la successiva opportunità che il malware ha di eseguire l'avvio è infettando un driver di avvio non Microsoft. Le tradizionali app antimalware vengono avviate solo dopo che i driver di avvio sono stati caricati, dando a un rootkit sotto forma di driver l'opportunità di funzionare.

Antimalware ad esecuzione anticipata può caricare un driver antimalware Microsoft o non Microsoft prima di tutte le applicazioni e di tutti i driver di avvio non Microsoft, continuando quindi la catena di attendibilità stabilita da Avvio protetto e Avvio sicuro. Poiché non è ancora stato avviato il sistema operativo e dato che Windows deve eseguire l'avvio al più presto, Antimalware ad esecuzione anticipata è un'operazione semplice: esamina ogni driver di avvio e stabilisce se è presente nell'elenco dei driver attendibili. Se non sarà attendibile, Windows non lo caricherà.

Un driver antimalware ad esecuzione anticipata non è una soluzione antimalware completa, che viene caricata in un secondo momento nel processo di avvio. Windows Defender (incluso in Windows10) supporta ELAM, così come Microsoft System Center2012 Endpoint Protection e diverse app anti-malware non Microsoft.

Avvio con misurazioni

Se un PC dell'organizzazione è infettato da un rootkit, devi saperlo. App antimalware aziendali possono segnalare infezioni da malware al reparto IT, ma ciò non funziona con i rootkit che nascondono la loro presenza. In altre parole, non ti puoi fidare del client per sapere se è integro.

Di conseguenza, i PC infettati da rootkit sembrano integri, anche con l'antimalware in esecuzione. I PC infetti continuano a connettersi alla rete aziendale, offrendo al rootkit l'accesso a quantità elevate di dati riservati e consentendogli potenzialmente di diffondersi attraverso la rete interna.

Uso del software TPM e non Microsoft, l'avvio misurato in Windows10 consente a un server attendibile della rete di verificare l'integrità del processo di avvio di Windows. Avvio con misurazioni usa la procedura seguente:

  1. Il firmware UEFI del PC archivia nel TPM un hash del firmware, un bootloader, i driver di avvio e tutto ciò che verrà caricato prima dell'app antimalware.
  2. Al termine del processo di avvio, Windows avvia il client di attestazione remoto non Microsoft. Il server di attestazione attendibile invia al client una chiave univoca.
  3. Il TPM utilizza la chiave univoca per firmare digitalmente il log registrato dall'UEFI.
  4. Il client invia il log al server, possibilmente con altre informazioni di protezione.

In base all'implementazione e alla configurazione, il server può ora determinare se il client è integro e concedergli l'accesso a una rete in quarantena limitata o all'intera rete.

Figura2 illustra il processo di avvio e di attestazione remoto misurato.

Avvio con misurazioni e processo di attestazione remoto

Figura 2. Avvio con misurazioni dimostra l'integrità del PC a un server remoto

Windows10 include le interfacce di programmazione delle applicazioni per supportare l'avvio misurato, ma è necessario usare strumenti non Microsoft per implementare un client di attestazione remota e un server di attestazione attendibile per sfruttarlo. Per un esempio di tale strumento, scarica il toolkit del provider di crittografia della piattaforma TPM da Microsoft Research o lo strumento Avvio con misurazioni di Dan Griffin, MVP della sicurezza aziendale Microsoft.

L'avvio misurato usa la potenza di UEFI, TPM e Windows10 per valutare in modo sicuro l'affidabilità di un PC client in rete.

Avvio protetto, Avvio sicuro e Avvio con misurazioni creano un'architettura che è essenzialmente resistente ai bootkit e ai rootkit. In Windows10 queste funzionalità hanno il potenziale per eliminare il malware a livello di kernel dalla rete. Si tratta della soluzione antimalware più innovativa che Windows ha mai avuto; è migliore e al primo posto rispetto a tutto il resto. Con Windows10 è possibile fidarsi veramente dell'integrità del sistema operativo.

Risorse aggiuntive