측정된 부팅

플랫폼

클라이언트 - Windows 8 서버 - Windows Server 2012

설명

AM(맬웨어 방지) 소프트웨어가 런타임 맬웨어를 검색하는 데 점점 더 좋아짐에 따라 공격자는 탐지에서 숨길 수 있는 루트킷을 만드는 데 더 적합해지고 있습니다. 부팅 주기 초기에 시작되는 맬웨어를 검색하는 것은 대부분의 AM 공급업체가 부지런히 해결하는 과제입니다. 일반적으로 호스트 운영 체제에서 지원되지 않는 시스템 해킹을 만들고 실제로 컴퓨터를 불안정한 상태로 만들 수 있습니다. 지금까지 Windows는 AM이 이러한 초기 부팅 위협을 감지하고 해결할 수 있는 좋은 방법을 제공하지 않았습니다. Windows 8 부팅 시작 드라이버를 통해 펌웨어에서 각 구성 요소를 측정하는 측정 부팅이라는 새로운 기능을 도입하고, 해당 측정값을 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈)에 저장한 다음, 원격으로 테스트하여 클라이언트의 부팅 상태를 확인할 수 있는 로그를 제공합니다.

형상

측정 부팅 기능은 AM 소프트웨어 이전에 시작된 모든 부팅 구성 요소의 신뢰할 수 있는(스푸핑 및 변조에 저항하는) 로그를 AM 소프트웨어에 제공합니다. AM 소프트웨어는 로그를 사용하여 이전에 실행된 구성 요소가 신뢰할 수 있는지 또는 맬웨어에 감염되었는지 여부를 확인할 수 있습니다. 로컬 컴퓨터의 AM 소프트웨어는 평가를 위해 원격 서버로 로그를 보낼 수 있습니다. 원격 서버는 클라이언트의 소프트웨어와 상호 작용하거나 대역 외 메커니즘을 통해 적절하게 수정 작업을 시작할 수 있습니다.

완화 방법

엔터프라이즈 시나리오에서는 시스템 관리자가 측정 부팅 정보를 사용하는 방법을 제어할 수 있습니다. 최종 사용자 시나리오(예: 온라인 뱅킹)에서 소비자는 특정 서비스에 대해 측정 부팅을 사용하도록 옵트인해야 합니다.

솔루션

다양한 측정 부팅 시나리오에 대해 수행해야 하는 API 및 함수 호출을 자세히 설명한 백서가 준비되고 있습니다.