Microsoft通過(guò)添加統(tǒng)一可擴(kuò)展固件接口(UEFI)掃描程序���,擴(kuò)展了Microsoft Defender高級(jí)威脅防護(hù)(ATP)的保護(hù)功能����。
在過(guò)去幾年中�����,隨著硬件和固件級(jí)別攻擊的頻率越來(lái)越高���,Microsoft已決定擴(kuò)展其安全解決方案的功能��,以確�����?梢岳^續(xù)保持用戶安全��。
兩年前���,這家技術(shù)巨頭推出了 Windows Defender System Guard,以通過(guò)通過(guò)虛擬機(jī)監(jiān)控程序級(jí)別的證明和安全啟動(dòng)(或動(dòng)態(tài)信任根(DRTM))來(lái)保證安全啟動(dòng)���,從而防止固件級(jí)別的攻擊���,這是Secured-core中默認(rèn)啟用的兩個(gè)功能個(gè)人電腦���。
該公司現(xiàn)在尋求通過(guò)在Microsoft Defender ATP中添加UEFI掃描引擎來(lái)增強(qiáng)這些保護(hù),從而使固件掃描廣泛可用�����。
利用合作伙伴芯片組制造商的見(jiàn)識(shí)��,該掃描程序包含在Windows 10的內(nèi)置防病毒解決方案中��,并使Microsoft Defender ATP可以掃描固件文件系統(tǒng)并執(zhí)行安全評(píng)估����。
UEFI通常無(wú)法從操作系統(tǒng)級(jí)別訪問(wèn),以替代傳統(tǒng)的BIOS���,UEFI中的任何植入物都很難檢測(cè)到�。但是����,微軟表示��,如果正確配置了UEFI并啟用了安全啟動(dòng),則固件是相當(dāng)安全的����。否則,攻擊者可能會(huì)更改UEFI驅(qū)動(dòng)程序或篡改固件�����,最終控制設(shè)備����。
微軟解釋說(shuō),在啟動(dòng)時(shí)�����,UEFI掃描程序與主板芯片組進(jìn)行交互以讀取固件文件系統(tǒng)�,從而可以在運(yùn)行時(shí)檢查固件內(nèi)容。
該解決方案使用UEFI防rootkit(可通過(guò)串行外圍設(shè)備接口(SPI)訪問(wèn)固件)���,完整的文件系統(tǒng)掃描程序(分析固件內(nèi)容)和檢測(cè)引擎(識(shí)別漏洞利用和惡意行為)等組件執(zhí)行動(dòng)態(tài)分析����。 。
“固件掃描是由運(yùn)行時(shí)事件(例如可疑驅(qū)動(dòng)程序加載)和定期的系統(tǒng)掃描精心安排的���。檢測(cè)在Windows安全中的“保護(hù)歷史記錄”中報(bào)告���。” Microsoft 解釋說(shuō)����。
Microsoft Defender安全中心中的Microsoft Defender ATP客戶也可以使用這些檢測(cè),以在固件級(jí)別對(duì)固件攻擊和可疑活動(dòng)進(jìn)行快速調(diào)查和響應(yīng)����。
“憑借其UEFI掃描器,Microsoft Defender ATP可以更深入地了解固件級(jí)別的威脅�,攻擊者已將精力集中在這些級(jí)別上。[…] Microsoft威脅防護(hù)(MTP)也提供了這種可見(jiàn)性��,該威脅提供了更廣泛的跨域防御���,可以協(xié)調(diào)端點(diǎn)����,身份�,電子郵件和應(yīng)用程序之間的保護(hù)。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
