F

So schützt ELAM beim Bootvorgang in Windows 8 vor Rootkits und Malware

ELAM ist Teil der neuen Secure-Boot-Funktionen in Windows 8/8.1 und schützt den Bootvorgang von Rootkits. Ein Angriff wird so wesentlich erschwert.

Wie funktioniert eigentlich Microsofts ELAM-Mechanismus in Windows 8/8.1? Wäre ELAM ein guter Grund für ein Upgrade auf Microsofts neuestes Betriebssystem?

In den letzten Jahren haben Angreifer immer häufiger versucht, Anti-Malware-Software durch böswillige Treiber und ins System eingeschleuste Rootkits auszutricksen. Entsprechende Malware lädt sofort, wenn ein Rechner eingeschaltet wird. Solche Anwendungen werden also bereits ausgeführt, noch bevor eine Anti-Malware- oder Antiviren-Software überhaupt die Chance hat, diese Malware zu entdecken.

Dadurch kann sich das Schadprogramm frühzeitig vor einer Erkennung verstecken oder sogar verhindern, dass Treiber für die Antiviren-Software geladen werden. Auf diesem Weg ist es für Angreifer also wesentlich einfach als bisher, ein fremdes System unter Kontrolle zu bekommen. Mit Windows 8/8.1 und dem darin enthaltenen ELAM-Mechanismus hat Microsoft versucht, genau diesem Angriffsweg einen Riegel vorzuschieben und Windows 8 sicherer als seine Vorgänger zu machen.

Die neue ELAM-Funktion (Early Launch Antimalware) ist Teil von Windows 8/8.1 und Windows Server 2012/2012 R2 und soll den Bootvorgang eines Systems sichern, indem der Virenschutz der erste Software-Treiber ist, der durch das Betriebssystem geladen wird. Da der Schutz vor allen anderen Boot-Start-Treibern und Drittanbieter-Komponenten initialisiert wird, kann er nachfolgende Treiber bewerten, bevor sie geladen werden. ELAM verhindert also idealerweise, dass ein Treiber geladen oder initialisiert wird, falls der Treiber verändert wurde, nicht signiert ist oder Malware enthält.

ELAM verhindert idealerweise, dass ein Treiber geladen oder initialisiert wird, falls der Treiber verändert wurde, nicht signiert ist oder Malware enthält.

Ein Systemadministrator kann die zugehörige Boot-Option mithilfe von Gruppenrichtlinien oder im Startmenü von Windows 8.1 deaktivieren. Das kann zum Beispiel notwendig werden, wenn eine Software geladen werden soll, die fälschlicherweise als Virus erkannt wird.

Standardmäßig initialisiert die Richtlinie bekannte und unbekannte – aber keine fehlerhaften oder gefährlichen – Treiber. Wenn ein Unternehmen Legacy-Treiber benötigt, kann die Richtlinie so aktualisiert werden, dass der ELAM-Treiber weiß, welche anderen Treiber geladen werden sollen.

Windows Defender, die von Microsoft vorinstallierte Antiviren-Software, nutzt bereits die Vorteile der ELAM -Technologie. Auch andere Hersteller von Antiviren-Lösungen, deren Produkt für Windows 8/8.1 zertifiziert ist, nutzen den ELAM-Mechanismus und integrieren die Funktion in ihre eigene Software. Mittlerweile dürften so die meisten Antiviren-Produkte für Windows 8 ELAM unterstützten.

ELAM ist Teil der neuen Secure-Boot-Funktion, mit der Malware von der Beeinträchtigung des Boot-Prozesses in Windows 8/8.1 abgehalten werden soll. So soll verhindert werden, dass ein System durch Schadsoftware angegriffen wird, bevor es überhaupt richtig gestartet ist. Secure Boot unterstützt auch das Unified Extensible Firmware Interface (UEFI). Dabei handelt es sich um den Nachfolger des inzwischen in die Jahre gekommenen BIOS (Basic Input/Output System).

UEFI funktioniert anders als herkömmliche BIOS- und Firmware-Richtlinien und verfügt über eine eigene Engine, die für das Laden der OS-Loader und aller notwendigen Treiber verantwortlich ist. UEFI Secure Boot stellt sicher, dass nur Firmware mit einer akzeptablen digitalen Signatur geladen wird. Ein Sicherheits-Check verhindert zudem, dass nicht-signierte Bootloader, wie ein Rootkit, geladen wird. ELAM sorgt dann dafür, dass nur digital signiert Anti-Malware-Programme direkt nach dem Laden starten, wenn Secure Boot beendet ist.

Diese und andere Sicherheitsverbesserungen in Microsofts aktueller Windows-Generation bieten durchaus starke Anreize für ein Upgrade auf Windows 8/8.1 und Windows Server 2012/2012 R2. Gerade Unternehmen sollten im Sinne eines sichereren Firmennetzwerkes über eine Aktualisierung ihrer Systeme nachdenken.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close