Главная » Справочник » Современные компьютерные технологии и криминалистика » Настраиваемая целостность кода

Настраиваемая целостность кода

Операционная система Windows состоит из 2-х рабочих режимов: пользовательского и режима ядра. База операционной системы запускается в режима ядра и именно в этот момент операционная система

Windows непосредственно взаимодействует с аппаратными ресурсами. В пользовательском режиме, в первую очередь, выполняется запуск приложений и передача информации в режим ядра и обратно в ответ на запросы аппаратных ресурсов.

Например, если приложение, которое выполняется в пользовательском режиме, требует дополнительного объема памяти, процесс пользовательского режима должен запросить ресурсы из ядра, а не непосредственно из оперативной памяти.

Целостность кода – это компонент ОС Windows, проверяющий, поступает ли выполняемый Windows код из надежного источника и не был ли он изменен.

Подобно операционной системе целостность кода Windows также содержит 2 основных компонента: целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI). KMCI используется в последних версиях операционной системы Windows для защиты режима ядра от запуска неподписанных драйверов.

Хотя это и эффективно, драйверы не являются единственным способом проникновения вредоносных программ в пространство режима ядра операционной системы. Однако в Windows 10 корпорация Майкрософт повысила требования к встроенному коду режима ядра и предложила предприятиям возможность задавать свои собственные политики UMCI и KMCI.

Корпорация Майкрософт сделала Windows 10 более безопасной, чем любая из предыдущих версий Windows, во всех отношениях, начиная с самой службы целостности кода и заканчивая политиками, которые клиент Windows использует для проверки в целях выдачи разрешения на запуск приложения.

Раньше компонент UMCI был доступен только в Windows RT и на устройствах Windows Mobile, что усложняло заражение данных устройств вирусами или проникновение вредоносных программ. Эти же эффективные политики UMCI доступны и в Windows 10.

Большинство вредоносных программ не подписаны. Путем простого развертывания политик целостности кода организации смогут мгновенно защититься от неподписанных вредоносных программ, которые в большинстве случаев применяются в атаках на компьютеры.

С помощью политик целостности кода организация может выбрать, какие двоичные файлы могут запускаться в пользовательском режиме и режиме ядра, в зависимости от подписывающего субъекта, двоичного хеша или и того, и другого.

Интересно

В случае всесторонней реализации политик пользовательский режим в Windows функционирует почти как мобильный телефон, позволяя запускать только конкретные приложения или конкретные подписи и доверяя только им. Только одна эта функция фундаментально изменяет уровень безопасности на предприятии.

Такая дополнительная защита распространяется не только на приложения Windows и не требует переписывать приложения для обеспечения совместимости с вашими существующими и, возможно, неподписанными приложениями. Можно запустить настраиваемую целостность кода независимо от Device Guard, сделав ее доступной для устройств, не соответствующих аппаратным требованиям Device Guard.

Предыдущая статья Методика углубленного обучения на основе нейронных сетей Следующая статья Настраиваемая целостность кода Device Guard

Статьи по теме