Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Plattformen
Clients – Windows 8
Server – Windows Server 2012
Beschreibung
Da Antischadsoftware (AM)-Software bei der Erkennung von Laufzeit-Schadsoftware besser und besser geworden ist, werden Angreifer auch besser beim Erstellen von Rootkits, die sich vor der Erkennung verstecken können. Das Erkennen von Schadsoftware, die früh im Startzyklus beginnt, ist eine Herausforderung, die die meisten AM-Anbieter sorgfältig adressieren. In der Regel erstellen sie Systemhacks, die vom Hostbetriebssystem nicht unterstützt werden, und können tatsächlich dazu führen, dass der Computer in einem instabilen Zustand platziert wird. Bis zu diesem Punkt hat Windows keine gute Möglichkeit bereitgestellt, diese frühen Startbedrohungen zu erkennen und zu beheben.
Windows 8 führt ein neues Feature namens "Sicherer Start" ein, das die Windows-Startkonfiguration und -komponenten schützt und einen ELAM-Treiber (Early Launch Anti-Malware) lädt. Dieser Treiber beginnt vor anderen Starttreibern und ermöglicht die Auswertung dieser Treiber und hilft dem Windows-Kernel zu entscheiden, ob sie initialisiert werden sollen.
Manifestation
Durch den Ersten Start durch den Kernel wird ELAM vor jeder Drittanbietersoftware gestartet und kann daher Schadsoftware im Startprozess erkennen und verhindern, dass sie initialisiert wird.
Milderung
Starttreiber werden basierend auf der Klassifizierung initialisiert, die gemäß einer Initialisierungsrichtlinie vom ELAM-Treiber zurückgegeben wird. Standardmäßig initialisiert die Richtlinie bekannte gute und unbekannte Treiber, initialisiert jedoch keine bekannten fehlerhaften Treiber. Ein Systemadministrator kann eine benutzerdefinierte Richtlinie über eine Gruppenrichtlinie angeben, die verhindern kann, dass unbekannte Treiber initialisiert werden oder Treiber aktivieren können, die für den Startvorgang kritisch sind, aber manipuliert wurden, starten, um initialisiert zu werden.
Lösung
Ein ELAM-Treiber muss sich für Kernelrückrufe registrieren, um Informationen zu jedem Starttreiber zu erhalten, da er initialisiert wird. Der ELAM-Treiber kann dann eine Klassifizierung für jeden Treiber zurückgeben. Diese Funktionen sind erforderlich:
Ein ELAM-Treiber kann sich auch für Registrierungsrückrufe registrieren. Auf diese Weise kann der ELAM-Treiber die Konfigurationsdaten prüfen, die von jedem Startstarttreiber verwendet werden. Der ELAM-Treiber kann die Daten dann blockieren oder ändern, bevor sie von den Starttreibern verwendet wird, falls erforderlich. Diese Funktionen sind erforderlich:
Weitere Informationen zu ELAM-Treiberanforderungen und api-Nutzung finden Sie unter Early Launch Antimalware.
Tests
ELAM-Treiber müssen speziell von Microsoft signiert sein, um sicherzustellen, dass sie früh im Startvorgang vom Windows-Kernel gestartet werden. Um die Signatur zu erhalten, müssen ELAM-Treiber eine Reihe von Zertifizierungstests bestehen, um die Leistung und das andere Verhalten zu überprüfen. Diese Tests sind im Zertifizierungskit für Windows-Hardware enthalten.
Betriebsmittel
- Antischadsoftware
- CmRegisterCallbackEx-
- CmUnRegisterCallback-
- IoRegisterBootDriverCallback-
- IoUnRegisterBootDriverCallback-
- Zertifizieren der Hardware mit der Buildkonferenzpräsentation des Windows-Hardwarezertifizierungskits
- Herunterladen von Kits und Tools