Як працює безпечний запуск Windows 10

Діджитал 31 жовтня 2022 Перегляди: 43

Нова операційна система від Microsoft скоро буде запускатися тільки з криптопроцесором. Він перевіряє, чи заражений комп’ютер шкідливими програмами.

Windows 10 — це не просто безкоштовне оновлення системи, в якому повертається таке довгоочікуване меню Пуск. Нова версія відкриває шлях у майбутнє, наприклад щодо запуску системи. Тут Microsoft посилює захист від шкідливих програм, ставлячи в обов’язок оснащення комп’ютера крипточипом.

Втім, саму Windows 10 можна встановити на будь-яке обладнання. Для нових же пристроїв діє принцип:

протягом року в кожному комп’ютері з Windows 10 повинен бути чіп Trusted Platform Module (TPM) версії 2.0. Цей криптопроцесор є основою технології Measured Boot. У зв’язку з цим компанія Microsoft підвищує вимоги до апаратного забезпечення для сертифікованих пристроїв на базі Windows.

Завдяки запропонованому процесу Secure Boot система вже при старті буде відрізнятися підвищеною безпекою в порівнянні з усіма іншими версіями Windows. Зворотній бік: функція відключення Secure Boot перестала бути обов’язковою, а всього лише опціональною. Якщо безпечний запуск активовано, це може призвести до проблем з іншими, встановленими паралельно, операційними системами і з запуском ПК з USB-накопичувачів і DVD.

Основна мета впровадження Measured Boot вкрай прозора: запуск пристрою (смартфонів, планшетів і комп’ютерів у випадку з Windows 10) повинен стати безпечнішим. Якщо під час роботи за системою придивляються різні утиліти і функції, наприклад антивірусний сканер і брандмауер, то за фазою запуску практично не було нагляду.

Коли хакеру вдавалося за допомогою руткіта впровадитися в процес завантаження Windows, він отримував контроль за системою і легко ховав свою програму від антивірусів та інших інструментів захисту. Рівень безпеки підвищився вже в Windows 8. Ключовим елементом стала специфікація UEFI версії 2.3.1 з Secure Boot.

Перевага: вбудоване UEFI не може бути змінено іншими програмами і дозволяє запустити систему тільки з підписаних завантажувачів. При використанні Secure Boot при запуску комп’ютера всі компоненти перевіряються на валідність підпису. Непідписані, тобто змінені модулі, таким чином, блокуються ще до старту Windows.

Запуск Windows за допомогою крипточипа

Secure Boot не потребує модуля TPM. Криптопроцесор за бажанням користувача додатково захищає процес запуску комп’ютера з Windows 10, компанія Microsoft називає це Measured Boot. Новий метод повністю виправдовує своє ім’я, оскільки дійсно виконуються численні розрахунки.

Після включення комп’ютера спочатку обчислюється хеш-значення вбудованого ЗА UEFI і зберігається в одному з 24 регістрів конфігурації платформи чіпа TPM. Мова при цьому йде про захищені області пам’яті, які неможливо змінити і які можуть бути переписані заново лише при перезапуску системи.

За специфікацією розподіл регістрів виглядає наступним чином: номери 0-7 віддані під вимірювання вбудованого ЗА UEFI, а регістри від 8-15 система може використовувати для власних потреб, наприклад під BitLocker. Інші доступні для програм сторонніх розробників, у тому числі для антивірусів. До того ж до цього технологія Secure Boot також активна і перевіряє підписи завантажувальних компонентів.

Кожен раз, до завантаження додатка, процес Measured Boot виконує своє обчислення хеш-значення і зберігає результат в одному з зазначених регістрів TPM. Графік на сторінці ліворуч розкриває подробиці окремих етапів.

Після тесту вбудованого ПО UEFI вираховуються контрольні суми для завантажувача ОС, додатків ядра і системних драйверів, які потім зберігаються в TPM. Винятком є ELAM (Early Launch AntiMalware). Ця функція дозволяє ранній запуск антивірусу під Windows. Ще до завантаження власне операційної системи за допомогою ELAM можна привести в дію захисну програму стороннього розробника, наприклад Kaspersky, Avira або Symantec.

Але і тут хеш-значення записується. Процес завершується лише після запуску системи і появи екрану входу. Measured Boot надає зашифрований журнальний файл зі списком всіх завантажених під час запуску компонентів. Зовнішня перевірка оберігає від руткітів «Фішкою» технології Measured Boot є те, що лог-файл віддається на додаткову перевірку.

Функція під назвою Remote Attestation Client (клієнт віддаленої атестації) зчитує його і передає далі на сервер для перевірки через локальну мережу або Інтернет. Там відбувається аналіз безпеки завантажених компонентів. Якщо все гаразд, ви можете без проблем працювати на комп’ютері.

Якщо ж над модулем встигли попрацювати хакери, він відзначається як заражений і повинен завантажуватися тільки офлайн. Перевага Measured Boot в тому, що надійність завантажених компонентів перевіряється зовнішньою інстанцією.