Windows 8: Trusted Boot: Secure Boot – Measured Boot
Mein Top-3 Windows 8 Feature:
Trusted Boot: Secure Boot – Measured Boot
Einer der Vorteile einer UEFI-Konfiguration ist, dass es das Signieren und Überprüfen der ausführbaren Dateien von UEFI selbst unterstützt. Dazu gehört auch der Boot-Manager und das Boot-Menü, das in Windows 8 implementiert ist.
Secure Boot
Zusammen mit weiteren Überprüfungen, die von Windows selbst vorgenommen werden, wird der gesamte Bootvorgang vertrauenswürdig, denn es können nur vertrauens-würdige Komponenten gestartet werden. Daher der Name „Secure Boot“. Es ist ein Bestandteil des „Trusted Boot“ Prozesses.
Diese Funktion schützt Windows vor Malware oder anderen Manipulationen von Boot-Komponenten.
![clip_image002[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/91/01/metablogapi/8787.clip_image0021_0BC086B3.jpg "clip_image002[1]")
Figur 1: Secure Boot
Im Diagramm aus Figur 1 werden drei Aktionen aus dem „Secure Boot” Feature beschrieben:
- Die UEFI Firmware verifiziert alle ausführbaren Dateien des UEFI und des OS-Loaders um sicherzustellen, dass diese vertrauenswürdig sind.
- Windows prüft die Signatur aller Boot-Komponenten, die beim Start geladen werden. Nicht-vertrauenswürdige Komponenten werden nicht geladen und Windows nimmt einen „Rollback“ auf sichere Versionen vor.
- Die Signatur aller zu ladenden Treiber wird von der WinLoad-Komponente und vom ELAM Treiber (siehe unten bei „Early-Launch Anti-Malware“) überprüft.
Secure Boot Reparatur
In dem Fall, dass die UEFI-Firmware keine Übereinstimmung der Signaturen von Boot-Manager und gespeichertem Zertifikat findet, wird der Boot-Manager mit einer Sicherungskopie ersetzt. Falls diese Reparatur nicht möglich sein sollte, zeigt die UEFI-Firmware Sicherheits-Informationen an und geht in einen vertrauenswürdigen Zustand zurück. Dieser Zustand wird vom jeweiligen Hardwarehersteller definiert und ist daher unterschiedlich je nach Hersteller.
Early-Launch Anti-Malware
Durch „Secure Boot” kommt noch ein weiteres neues Feature mit Windows 8: Early-Launch Anti-Malware (ELAM).
Dies bietet die Möglichkeit, einen Anti-Malware-Treiber als ersten vertrauenswürdigen, kritischen Boot-Treiber zu registrieren. Dies ist der erste nicht-Microsoft Code, der auf dem Computer ausgeführt wird. Der Anti-Malware-Treiber kann dann wiederum andere Treiber überprüfen, bevor sie initialisiert werden.
Durch Secure Boot wird verhindert, dass Malware vor dem Betriebssystem gestartet wird und durch den ELAM Treiber wird sichergestellt, dass vor allen anderen Komponenten zuerst eine Anti-Malware Software läuft, die danach alle weiteren Boot-Komponenten prüft.
![clip_image004[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/91/01/metablogapi/3005.clip_image0041_41E1FF02.jpg "clip_image004[1]")
Figur 2: Secure Boot mit ELAM
Im Diagramm aus Figur 2 wird die vierte Aktionen aus dem „Secure Boot” Prozess beschrieben, die durch ELAM aktiviert wird:
- Der ELAM Treiber wird durch eine spezielle Signatur von Microsoft auf Vertrauenswürdigkeit geprüft und danach als erster Third-party Treiber geladen.
Measured Boot
„Measured Boot“ ist ein anderes Boot Feature in Windows 8, das ebenfalls mit Anti-Malware zu tun hat. Dadurch wird dem ELAM Treiber eine Log-Datei übergeben, welche alle Komponenten, die vor und nach dem ELAM Treiber geladen wurden, enthält. Diese Datei wird im TPM (Trusted Platform Module) Chip gespeichert und kann vom ELAM Treiber oder einem Administrator verwendet werden, um festzustellen, ob sich irgendwelche Malware auf dem Computer befindet.
Trusted Boot
Windows 8 Systeme werden mit einem Zertifikat von Microsoft in der UEFI Firmware ausgeliefert, durch das der Boot-Loader und andere Boot-Komponenten geprüft werden. Falls eine Boot-Komponente durch Malware infiziert wurde, wird das System nicht gestartet, sondern stattdessen in einen sicheren Zustand zurückversetzt.
Mit anderen Worten, UEFI schützt das pre-OS environment. Darüber hinaus überprüft Windows 8 anschließend alle weiteren Komponenten beim Booten, um sicherzustellen, dass diese vertrauenswürdig sind. Falls Windows 8 nicht vertrauenswürdige Dateien findet, werden diese ebenfalls durch sichere Versionen ersetzt.
Das „Secure Boot” Feature is eines von drei neuen Security Features, die das Booten von Windows sicher machen. Diese drei Komponenten bilden den „Trusted Boot Prozess” !
Falls jemand tiefer in das Thema „Trusted Boot” einsteigen möchte, kann ich folgenden Artikel bei MSDN sehr empfehlen. Dies ist die offizielle Dokumentation zu dem Thema und es werden alle Details genau beschrieben. Viel Spaß!
https://msdn.microsoft.com/en-us/library/windows/hardware/br259097.aspx
ONiehus, Microsoft