Dans les articles précédents j'ai discuté des dangers des infections par rootkit sur les PC et du fait qu'une technologie développée par Intel est obligatoire sur tous les PC vendus avec Windows 8.1 ou des versions ultérieures. Il existe, en fait, une série de technologies disponibles dans Windows 8.1 et Windows 10 (pas Windows 7) qui aident à se protéger contre les logiciels malveillants du secteur de démarrage.
Chiffrement BitLocker
Il convient de commencer cette section en notant que le chiffrement du ou des disques durs sur un PC grâce à l'utilisation d'une fonction de sécurité telle que BitLocker, qui est fourni avec chaque édition Pro et Enterprise de Windows, peut aider à protéger un PC contre les attaques. En effet, les lecteurs chiffrés sont maintenus verrouillés et sécurisés jusqu'à ce que le mot de passe de l'utilisateur soit saisi sur l'écran de connexion. Un PC chiffré avec BitLocker sur lequel l'utilisateur est déconnecté est beaucoup plus sécurisé les logiciels malveillants, les rootkits et le vol que ceux qui ne sont pas cryptés.
-Démarrage sécurisé
Développé pour la première fois par Intel, Secure Boot effectue deux tâches lorsqu'un PC est allumé et avant le chargement du système d'exploitation. Tout d'abord, il vérifie que le micrologiciel de la carte mère est signé numériquement, ce qui permet de réduire le risque de rootkits, qui modifieront le micrologiciel et, par conséquent, corrompront la signature. Secure Boot interroge ensuite la signature numérique du système d'exploitation dans le chargeur de démarrage pour voir si elle correspond à une signature cryptographique stockée dans le micrologiciel UEFI. Si les deux signatures correspondent, le système d'exploitation est autorisé à se charger. Si ce n'est pas le cas, Secure Boot conclut que le chargeur de démarrage a été falsifié et empêchera le démarrage du système d'exploitation. Ce ne sont pas toujours de bonnes nouvelles, cependant. J'ai déjà mentionné que Windows 7 ne prend pas en charge le démarrage sécurisé et qu'il ne peut pas non plus stocker sa signature cryptographique dans le micrologiciel du PC lorsqu'il est installé. De nombreuses distributions Linux ne prennent pas non plus en charge le démarrage sécurisé, bien que les distributions les plus courantes le fassent, et des informations sont disponibles sur leurs sites Web. L'activation du démarrage sécurisé signifie qu'un système d'exploitation qui n'a pas de signature cryptographique valide ne sera pas autorisé à démarrer. Il existe des façons de le faire. Certains systèmes UEFI vous permettront d'enregistrer un chargeur de démarrage comme "sûr", tandis que vous pouvez également désactiver le démarrage sécurisé sur certains systèmes UEFI, mais pas tous. Si vous envisagez d'installer un système d'exploitation qui ne prend pas en charge l'UEFI sur un nouveau PC, il vaut la peine de vérifier le firmware ou le manuel de la carte mère avant d'acheter le PC, pour voir si Secure Boot peut être désactivé ou s'il vous permettra pour ajouter des systèmes d'exploitation non signés.
-Démarrage de confiance
Autre fonctionnalité exclusive à Windows 8.1 et Windows 10, Trusted Boot prend le relais une fois que le système d'exploitation commence à se charger. Ce système vérifie le noyau du système d'exploitation et tous les autres composants du système d'exploitation, tels que les pilotes, les fichiers de démarrage, Early Launch Anti-Malware (plus d'informations à ce sujet dans une minute) et tous les autres composants Windows, pour voir s'ils ont été modifiés. Secure Boot interroge ensuite la signature numérique du système d'exploitation dans le chargeur de démarrage pour voir si elle correspond à une signature cryptographique stockée dans le micrologiciel UEFI. Si les deux signatures correspondent, le système d'exploitation est autorisé à se charger. Si ce n'est pas le cas, Secure Boot conclut que le chargeur de démarrage a été falsifié et empêchera le démarrage du système d'exploitation. Un PC chiffré avec BitLocker sur lequel l'utilisateur est déconnecté est beaucoup plus sécurisé S'il constate qu'un composant a été modifié, il refusera de charger ce composant. Windows dispose d'une fonction automatique qui s'exécutera ensuite en arrière-plan et tentera de réparer le composant endommagé ou modifié.
-Antimalware à lancement anticipé
L'un des problèmes de sécurité des versions héritées de Windows était que les logiciels malveillants pouvaient souvent se charger avant le logiciel antivirus des utilisateurs et, par conséquent, ils pouvaient interférer avec ce logiciel et empêcher sa détection ou sa suppression.
-Early Launch Anti-Malware (ELAM)
Quant à lui empêche cela et empêche également un rootkit de se déguiser en pilote antivirus et de se charger. ELAM lancera un pilote antivirus vérifié avant tous les autres pilotes dans ce que Microsoft appelle une «chaîne de confiance». Pour ce faire, il examine tous les pilotes qui démarrent avec le système d'exploitation et détermine s'ils sont signé et sur une liste de conducteurs de confiance. S'ils ne figurent pas dans la liste, ils ne seront pas chargés. Tous les principaux packages antivirus prennent en charge ELAM, qui n'est disponible que sous Windows 8.1 et Windows 10. Il convient de noter, cependant, que le principal logiciel antivirus se chargera plus tard dans le processus de démarrage, ce qui signifie que même si ELAM est une défense utile, ce n'est pas le pack antivirus complet.
.jpg)
Aucun commentaire:
Enregistrer un commentaire