Windows 10系統啟動項安全引導策略

　　Windows 10作業系統比起以往作業系統，具有一項非常有特色的免受惡意軟體攻擊的安全措施，這項措施在系統啟動的時候就已經啟用，並且保護用戶不受惡意軟體（應用商店中的）的侵擾。甚至這項安全措施缺少存取用戶資料或更改系統設定所需要的許可權來保護用戶計算機的安全。

　　Windows 10 對桌面應用程式和資料也有多個層級的保護，例如：

　　1、Windows Defender使用簽名來檢測和隔離已知的惡意應用程式。

　　2、SmartScreen 篩選器會在執行不可信賴的應用程式之前對用戶進行警告。

　　3、用戶帳戶控制（UAC）可以在應用程式更改系統設定之前提醒用戶授予應用程式管理許可權。

　　或許以上功能是 Windows 10保護用戶免受惡意軟體侵擾的一些方法，但這些安全特性都僅在 Windows 10啟動後才能保護個人計算機。但一些先進的惡意軟體和特殊的 bootkits 程式卻能夠在 Windows 啟動之前就扎根系統中，並一次饒過系統安全機制。

　　而我們本文中所講的Trusted Boot功能就可以防止這項侵害的發生，當用戶在 UEFI（統一可延伸韌體介面）裝置上執行 Windows 10 系統時，Trusted Boot（受信啟動）功能會在開啟電腦之前保護 PC 免受惡意軟體侵害，直到反惡意軟體啟動為止。Trusted Boot 能夠用讓惡意軟體無法偽裝的方式來向 PC 的基礎結構證明作業系統的完整性，即便在沒有 UEFI 的 PC 上，Windows 10 也可以比以前的 Windows 提供更好的啟動安全性。

　　Rootkit是什麼？

　　Rootkit 是一種複雜而危險的惡意軟體，它們使用與作業系統相同的許可權，以核心模式執行。由於 Rootkit 與作業系統具有相同的許可權並在系統前啟動，因此它們可以完全隱藏自身和其它應用程式。通常情況下，Rootkit 是整套惡意軟體的一部分，可以繞過本地登入、記錄密碼和按鍵、傳輸用戶私有檔案和捕獲加密資料。

　　不同型別的 Rootkit 會在 PC 啟動過程的不同階段載入：

　　1、Firmware Rootkit 會覆蓋 PC 的基本輸入/輸出系統或其他硬體的韌體，以便 Rootkit 能夠在 Windows 之前啟動。

　　2、Bootkit 可以取代作業系統的引導載入程式，以便 PC 在作業系統之前載入bootkit。

　　3、Kernel Rootkit 可以替換作業系統核心的一部分，以便 Rootkit 可以在作業系統載入時自動啟動。

　　4、Driver Rootkit 會偽裝是 Windows 用來與 PC 硬體進行通訊的值得信賴的驅動程式之一。

　　Win10系統啟動項安全引導策略：

　　為了保護作業系統能夠安全啟動，Windows 10 引入了 4 大安全特性，以防止在啟動過程中載入 Rootkit 和 bootkit：

　　1、Secure Boot（安全啟動）：具有 UEFI 韌體和TPM（可信平台模組）晶片的 PC 可以設定為只載入受信任的 bootloader（作業系統引導載入程式）。

　　2、Trusted Boot（受信啟動）：Windows 10 會檢查啟動過程中每個元件的完整性，然後才會載入它。

　　3、早期啟動反惡意軟體（ELAM）：ELAM 會在測試所有驅動程式後才載入，並能夠阻止未經批准的驅動程式載入。

　　4、Measured Boot（測量啟動）：PC 的韌體會記錄啟動過程，Windows 10 可以將其傳送到可以客觀評估 PC 健康狀況的受信任伺服器。

　　Win10系統啟動過程中 Secure Boot、Trusted Boot、ELAM 和 Measured Boot 各自能夠應對哪些安全威脅？

　　Secure Boot 和 Measured Boot 在具有 UEFI 2.3.1 和 TPM 晶片的 PC 上可用。幸運的是，符合 Windows 硬體相容性計劃（WHL）要求的所有 Windows 10 PC 都具有這些元件，而且許多專門為早期版本 Windows 設計的 PC 也具有這些功能。

　　下面分別為大家介紹 Secure Boot、Trusted Boot、ELAM 和 Measured Boot 功能。

　　Secure Boot（安全啟動）

　　當 Windows PC 加電啟動時，會首先找到作業系統引導載入程式。無 Secure Boot 功能的 PC 會直接引導硬碟中的任何引導載入程式，PC 無法知道它是一個值得信賴的作業系統還是 Rootkit。

　　當裝有 UEFI 的 PC 啟動時，PC 會首先驗證韌體是否經過數位簽章，從而降低 Firmware Rootkit 的風險。如果啟用 Secure Boot，韌體將檢查引導載入程式的數位簽章並驗證其是否被篡改過。如果引導載入程式完整無誤，而且滿足以下條件之一，韌體才會啟動載入程式：

　　1、載入程式使用受信任的證書進行了簽名。對於經過 Windows 10 認證的 PC， Microsoft® 證書是可信的。

　　2、用戶手動批准了引導載入程式的數位簽章。這允許用戶載入非 Microsoft 作業系統。

　　Trusted Boot（受信啟動）

　　此引導載入程式會使用虛擬可信平台模組（VTPM）來驗證 Windows 10 核心的數位簽章後再載入它，然後驗證 Windows 啟動過程的其他元件，包括：引導驅動程式、啟動檔案和 ELAM。

　　早期啟動反惡意軟體（ELAM）

　　早期啟動反惡意軟體（ELAM）可在啟動時和第三方驅動程式初始化之前為計算機提供保護。在 Secure Boot 成功管理保護引導載入程式並且 Trusted Boot 完成保護 Windows 10 核心的任務後，ELAM 的作用就會開始，它會主動關閉任何已知漏洞，以防惡意軟體啟動或通過感染非 Microsoft 啟動驅動程式。此安全特性這有助於建立由 Secure Boot 和 Trusted Boot 提供的連續信任鏈。

　　Measured Boot（測量啟動）

　　如果你組織中的 PC 機感染了 Rootkit，則需對其進行分析了解。 企業防惡意軟體應用程式可以向 IT 部門報告惡意軟體感染，但這並不適用於隱藏其存在的 Rootkit 。 換句話說，管理員不能信任用戶來告訴你它是否健康。

　　因此，即便反惡意軟體正在執行，感染 Rootkit 的 PC 看起來也似乎是健康的。如果受感染的 PC 繼續連線到企業網路，就可以使 Rootkit 可以存取大量的機密資料，並可能允許 Rootkit 擴充套件到內部網路。

　　而 Windows 10 中的 Measured Boot 允許網路上的可信伺服器來驗證 Windows 啟動過程的完整性。

　　以上內容便是關於Windows 10系統啟動項安全引導策略的一些介紹，如果用戶的計算機感染了Rootkit惡意程式，在使用Windows 10系統的時候基本不受其侵擾。