Windows 10 對桌面應用程序和數據也有多個層級的保護，例如：

• Windows Defender 使用簽名來檢測和隔離已知的惡意應用程序
• SmartScreen 篩選器會在運行不可信賴的應用程序之前對用戶進行警告
• 用戶帳戶控制（UAC）可以在應用程序更改系統設置之前提醒用戶授予應用程序管理權限

雖然以上功能是 Windows 10 保護用戶免受惡意軟件侵擾的一些方法，但這些安全特性都僅在 Windows 10 啟動后才能保護您。而一些現代惡意軟件和特殊的 bootkits 卻能夠在 Windows 之前啟動，以達到完全繞過操作系統安全功能并保持完全隱藏的目的。

當用戶在 UEFI（統一可擴展固件接口）設備上運行 Windows 10 系統時，Trusted Boot（受信啟動）功能會在打開電腦之前保護 PC 免受惡意軟件侵害，直到反惡意軟件啟動為止。Trusted Boot 能夠用讓惡意軟件無法偽裝的方式來向 PC 的基礎結構證明操作系統的完整性，即便在沒有 UEFI 的 PC 上，Windows 10 也可以比以前的 Windows 提供更好的啟動安全性。

首先，我們來看看 rootkit 是什么，以及它們如何工作。 然后，系統極客將向你展示 Windows 10 是如何保護系統安全啟動的。

Rootkit

Rootkit 是一種復雜而危險的惡意軟件，它們使用與操作系統相同的權限，以內核模式運行。由于 Rootkit 與操作系統具有相同的權限并在系統前啟動，因此它們可以完全隱藏自身和其它應用程序。通常情況下，rootkit 是整套惡意軟件的一部分，可以繞過本地登錄、記錄密碼和按鍵、傳輸用戶私有文件和捕獲加密數據。

不同類型的 rootkit 會在 PC 啟動過程的不同階段加載：

• Firmware rootkit 會覆蓋 PC 的基本輸入/輸出系統或其他硬件的固件，以便 rootkit 能夠在 Windows 之前啟動。
• Bootkit 可以取代操作系統的引導加載程序，以便 PC 在操作系統之前加載bootkit。
• Kernel rootkit 可以替換操作系統內核的一部分，以便 rootkit 可以在操作系統加載時自動啟動。
• Driver rootkit 會偽裝是 Windows 用來與 PC 硬件進行通信的值得信賴的驅動程序之一。

Windows 10安全引導啟動對策

為了保護操作系統能夠安全啟動，Windows 10 引入了 4 大安全特性，以防止在啟動過程中加載 rootkit 和 bootkit：

• Secure Boot（安全啟動）：具有 UEFI 固件和TPM（可信平臺模塊）芯片的 PC 可以配置為只加載受信任的 bootloader（操作系統引導加載程序）。
• Trusted Boot（受信啟動）：Windows 10 會檢查啟動過程中每個組件的完整性，然后才會加載它。
• 早期啟動反惡意軟件（ELAM）：ELAM 會在測試所有驅動程序后才加載，并能夠阻止未經批準的驅動程序加載。
• Measured Boot（測量啟動）：PC 的固件會記錄啟動過程，Windows 10 可以將其發送到可以客觀評估 PC 健康狀況的受信任服務器。

介紹了 Windows 10 為系統安全引導推出的 4 大安全功能，我們就來看一下在啟動過程中 Secure Boot、Trusted Boot、ELAM 和 Measured Boot 各自能夠應對哪些安全威脅。

Secure Boot 和 Measured Boot 在具有 UEFI 2.3.1 和 TPM 芯片的 PC 上可用。幸運的是，符合 Windows 硬件兼容性計劃（WHL）要求的所有 Windows 10 PC 都具有這些組件，而且許多專門為早期版本 Windows 設計的 PC 也具有這些功能。

下面系統極客將分別為大家介紹 Secure Boot、Trusted Boot、ELAM 和 Measured Boot 功能。

Secure Boot（安全啟動）

當 Windows PC 加電啟動時，會首先找到操作系統引導加載程序。無 Secure Boot 功能的 PC 會直接引導硬盤中的任何引導加載程序，PC 無法知道它是一個值得信賴的操作系統還是 rootkit。

當裝有 UEFI 的 PC 啟動時，PC 會首先驗證固件是否經過數字簽名，從而降低 Firmware Rootkit 的風險。如果啟用 Secure Boot，固件將檢查引導加載程序的數字簽名并驗證其是否被篡改過。如果引導加載程序完整無誤，而且滿足以下條件之一，固件才會啟動引導程序：

• 引導程序使用受信任的證書進行了簽名。 對于經過 Windows 10 認證的 PC， Microsoft? 證書是可信的。
• 用戶手動批準了引導加載程序的數字簽名。 這允許用戶加載非 Microsoft 操作系統。

Trusted Boot（受信啟動）

此引導加載程序會使用虛擬可信平臺模塊（VTPM）來驗證 Windows 10 內核的數字簽名后再加載它，然后驗證 Windows 啟動過程的其他組件，包括：引導驅動程序、啟動文件和 ELAM。

早期啟動反惡意軟件（ELAM）

早期啟動反惡意軟件（ELAM）可在啟動時和第三方驅動程序初始化之前為計算機提供保護。在 Secure Boot 成功管理保護引導加載程序并且 Trusted Boot 完成保護 Windows 10 內核的任務后，ELAM 的作用就會開始，它會主動關閉任何已知漏洞，以防惡意軟件啟動或通過感染非 Microsoft 啟動驅動程序。此安全特性這有助于建立由 Secure Boot 和 Trusted Boot 提供的連續信任鏈。

Measured Boot（測量啟動）

如果你組織中的 PC 機感染了 rootkit，則需對其進行分析了解。 企業防惡意軟件應用程序可以向 IT 部門報告惡意軟件感染，但這并不適用于隱藏其存在的 rootkit 。 換句話說，管理員不能信任用戶來告訴你它是否健康。

因此，即便反惡意軟件正在運行，感染 rootkit 的 PC 看起來也似乎是健康的。如果受感染的 PC 繼續連接到企業網絡，就可以使 rootkit 可以訪問大量的機密數據，并可能允許 rootkit 擴展到內部網絡。

而 Windows 10 中的 Measured Boot 允許網絡上的可信服務器來驗證 Windows 啟動過程的完整性。