Улучшения System Guard Защитника Windows в Windows 10 April 2018 Update (версия 1803)

Microsoft добавила в Windows 10 новую функцию безопасности System Guard Защитника Windows еще при выходе Fall Creators Update в октябре 2017 года.

System Guard Защитника Windows разработан “для создания условий, чтобы целостность системы не была скомпрометирована”. Компонент безопасности служит для защиты против атак уровня загрузки системы, в частности против руткитов и буткитов.

Новая система включает функции для защиты, поддержания и проверки целостности операционной системы Windows при запуске, когда при работе ОС используется локальная или удаленная аттестация.

Впервые Microsoft представила безопасную загрузку (Secure Boot) в Windows 8. Функция позиционировалась как механизм защиты против атак уровня загрузки. Secure Boot является функцией Unified Extensible Firmware Interface (UEFI) и отвечает за добавление аппаратного корня доверия, который предотвращает запуск стороннего кода до инициализации загрузчика Windows.

Secure Boot блокирует возможность атаковать компьютеры Windows с момент начала фазы запуска системы до момента фазы загрузки других компонентов Windows.

System Guard Защитника Windows защищает данную фазу процесса загрузки:

System Guard Защитника Windows позволяет гарантировать, что только правильно подписанные и безопасные файлы Windows и драйвера, включая драйвера от сторонних разработчиков, могут запускаться на устройстве.

В конце процесса загрузки системы System Guard запускает решение для защиты от вредоносных программ, которое сканирует все сторонние драйверы, после чего процесс загрузки системы будет завершен. Таким образом, System Guard Защитника Windows обеспечивает корректную загрузку целостной системы без компрометации до того момента, пока не подключатся другие защитные механизмы.

Недавно Microsoft сообщила, что устройства под управлением Windows 10 при обновлении до версии April 2018 Update (1803) получат новую функцию под названием аттестация среды выполнения (runtime attestation):

В Windows 10 Fall Creators Update, мы переработали все функции поддержания целостности системы в System Guard Защитника Windows. Это усовершенствование позволило нам постоянно делать значительные инновации в сфере безопасности платформы.

Аттестация среды выполнения System Guard Защитника Windows, встроенная в основную операционную систему Windows, скоро будет доставлена во все редакции Windows.

Microsoft заявляет, что аттестация среды выполнения может помочь в следующих сценариях:

• Обнаружение фальсификации ядра, распознавание руткитов и эксплойтов (или их следов).
• Предоставление сигналов для антивирусных вендоров и конечных систем обнаружения.
• Запуск банковских приложений или использовании торговых платформ.
• Повышение политик доступа, связанных с безопасностью устройства.
• Защита от мошенничества в компьютерных играх.

Microsoft разрабатывает API, который смогут использовать антивирусные вендоры, производители устройств и другие организации. Новый интерфейс позволит “подтвердить состояние устройства в определенный момент времени”.

Следующее крупное обновление функции включает первую фазу интеграции аттестации среды выполнения System Guard Защитника Windows:

В следующем обновлении функций Windows 10 мы выполняем первый этап интеграции аттестации среды выполнения System Guard Защитника Windows, заложив основу для будущих инноваций в этой области. Разработка новых функций безопасности продолжится - в будущем в случае потенциальной компрометации системы, например, с помощью эксплойта на уровне ядра, все данные цепочки нарушений безопасности могут быть восстановлены и станут доступными для других организаций.