Microsoft gaat Windows 10 van een aanvullende nieuwe beveiligingslaag voorzien die het besturingssysteem tegen rootkits, exploits en andere aanvallen moet beschermen. Het gaat om Windows Defender System Guard runtime attestation, dat onderdeel van de Windows-kern gaat uitmaken.
De technologie controleert de integriteit van het systeem tijdens het opstarten en maakt hiervoor gebruik van een apart "vertrouwensdomein". Huidige beveiligingstechnologieën zijn geregeld het doelwit van aanvallen die in hetzelfde vertrouwensdomein draaien. Neem als voorbeeld geprivilegieerde processen, die zijn ontworpen om een bepaald niveau van scheiding te geven van normale gebruikers-mode processen .
De NT-kernel bepaalt aan de hand van bepaalde waarden in het proces-object of een proces beschermd is. Het aanpassen van deze waarden, bijvoorbeeld via een kernel-exploit of een driver, kan de procesbescherming uitschakelen. Door de beveiligingsbeslissing met betrekking tot het manipuleren naar een apart vertrouwensdomein te verplaatsen, wordt de complexiteit voor aanvallers vergroot, aldus Microsoft.
Runtime attestation moet in verschillende scenario's gaan helpen, zoals het geven van aanvullende signalen voor anti-virussoftware, het detecteren van rootkits en exploits, detectie van cheats, het uitvoeren van gevoelige transacties en het verzorgen van de toegang tot een apparaat. Windows Defender System Guard runtime attestation stelt de integriteit en veiligheid van het systeem in een rapport vast en geeft dit via een programmeerinterface (API) door aan bijvoorbeeld een applicatie. Die weet zo dat het systeem niet is gemanipuleerd en alle belangrijke processen naar behoren draaien.
Het rapport moet echter niet eenvoudig kunnen worden aangepast. Daarom moet het op een locatie worden gegenereerd waar de aanvaller niet bij kan. De scheiding tussen deze locatie en de aanvaller moet daarnaast te controleren zijn. Verder moet het rapport cryptografisch ondertekend zijn op een manier die niet na te maken is buiten de geïsoleerde locatie. Iets wat runtime attestation doet.
"Je kunt runtime attestation meer beschouwen als het detecteren van minuscule symptomen die op een aanval kunnen duiden dan dat er naar knipperende signalen wordt gezocht", zegt Microsofts David Kaplan. Het doel is dat de veiligheid van Windows continu wordt gemonitord en aanpassingen die invloed op de veiligheid van het systeem hebben te detecteren zijn. Volgens Kaplan heeft de technologie de potentie om grote stappen te maken in de veiligheid van Windows. Met de volgende Windows 10-update wordt de eerste fase van Windows Defender System Guard runtime attestation geïmplementeerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.