Logiciel anti-programme malveillant à lancement anticipé

Plateformes

Clients - Windows 8
Serveurs - Windows Server 2012

Description

Étant donné que les logiciels anti-programme malveillant (AM) sont de plus en plus performants pour détecter les programmes malveillants d’exécution, les attaquants deviennent de plus en plus efficaces pour créer des rootkits qui peuvent se cacher de la détection. La détection des programmes malveillants qui démarrent au début du cycle de démarrage est un défi que la plupart des fournisseurs AM résolvent avec diligence. En règle générale, ils créent des hacks système qui ne sont pas pris en charge par le système d’exploitation hôte et peuvent en fait entraîner le placement de l’ordinateur dans un état instable. Jusqu’à présent, Windows n’a pas fourni un bon moyen pour AM de détecter et de résoudre ces menaces de démarrage précoce.

Windows 8 introduit une nouvelle fonctionnalité appelée démarrage sécurisé, qui protège la configuration et les composants de démarrage Windows, et charge un pilote ELAM (Early Launch Anti-malware). Ce pilote démarre avant les autres pilotes de démarrage et permet l’évaluation de ces pilotes et aide le noyau Windows à décider s’ils doivent être initialisés.

Manifestation

En étant lancé en premier par le noyau, ELAM est assuré d’être lancé avant tout logiciel tiers, et est donc en mesure de détecter les programmes malveillants dans le processus de démarrage et de les empêcher de s’initialiser.

Limitation des risques

Les pilotes de démarrage sont initialisés en fonction de la classification retournée par le pilote ELAM conformément à une stratégie d’initialisation. Par défaut, la stratégie initialise les pilotes connus bons et inconnus, mais n’initialise pas les pilotes incorrects connus. Un administrateur système peut spécifier une stratégie personnalisée par le biais de stratégie de groupe qui peut empêcher l’initialisation des pilotes inconnus ou peut activer l’initialisation des pilotes essentiels au processus de démarrage, mais qui ont été falsifiés.

Solution

Un pilote ELAM doit s’inscrire aux rappels du noyau pour obtenir des informations sur chaque pilote de démarrage au cours de l’initialisation. Le pilote ELAM peut ensuite retourner une classification pour chaque pilote. Ces fonctions sont requises :

• IoRegisterBootDriverCallback
• IoUnRegisterBootDriverCallback

Un pilote ELAM peut également s’inscrire aux rappels du Registre. Cela permet au pilote ELAM d’inspecter les données de configuration utilisées par chaque pilote de démarrage. Le pilote ELAM peut ensuite bloquer ou modifier les données avant leur utilisation par les pilotes de démarrage, si nécessaire. Ces fonctions sont requises :

• CmRegisterCallbackEx
• CmUnRegisterCallback

Pour plus d’informations sur la configuration requise pour les pilotes ELAM et l’utilisation de l’API, consultez Early Launch Antimalware.

Tests

Les pilotes ELAM doivent être spécialement signés par Microsoft pour s’assurer qu’ils sont démarrés par le noyau Windows au début du processus de démarrage. Pour obtenir la signature, les pilotes ELAM doivent réussir un ensemble de tests de certification pour vérifier les performances et d’autres comportements. Ces tests sont inclus dans le Kit de certification matérielle Windows.

Ressources

• Logiciel anti-programme malveillant à lancement anticipé
• CmRegisterCallbackEx
• CmUnRegisterCallback
• IoRegisterBootDriverCallback
• IoUnRegisterBootDriverCallback
• Présentation de la certification du matériel avec la conférence de génération du Kit de certification du matériel Windows
• Télécharger des kits et des outils