Windows 10操作系統比起以往操作系統，具有一項非常有特色的免受惡意軟件攻擊的安全措施，這項措施在系統啟動的時候就已經啟用，并且保護用戶不受惡意軟件（應用商店中的）的侵擾。甚至這項安全措施缺少訪問用戶數據或更改系統設置所需要的權限來保護用戶計算機的安全。

Windows 10 對桌面應用程序和數據也有多個層級的保護，例如：

1、Windows Defender使用簽名來檢測和隔離已知的惡意應用程序。

2、SmartScreen 篩選器會在運行不可信賴的應用程序之前對用戶進行警告。

3、用戶帳戶控制（UAC）可以在應用程序更改系統設置之前提醒用戶授予應用程序管理權限。

或許以上功能是 Windows 10保護用戶免受惡意軟件侵擾的一些方法，但這些安全特性都僅在 Windows 10啟動后才能保護個人計算機。但一些先進的惡意軟件和特殊的 bootkits 程序卻能夠在 Windows 啟動之前就扎根系統中，并一次饒過系統安全機制。

而我們本文中所講的Trusted Boot功能就可以防止這項侵害的發生，當用戶在 UEFI（統一可擴展固件接口）設備上運行 Windows 10 系統時，Trusted Boot（受信啟動）功能會在打開電腦之前保護 PC 免受惡意軟件侵害，直到反惡意軟件啟動為止。Trusted Boot 能夠用讓惡意軟件無法偽裝的方式來向 PC 的基礎結構證明操作系統的完整性，即便在沒有 UEFI 的 PC 上，Windows 10 也可以比以前的 Windows 提供更好的啟動安全性。

Rootkit是什么？

Rootkit 是一種復雜而危險的惡意軟件，它們使用與操作系統相同的權限，以內核模式運行。由于 Rootkit 與操作系統具有相同的權限并在系統前啟動，因此它們可以完全隱藏自身和其它應用程序。通常情況下，Rootkit 是整套惡意軟件的一部分，可以繞過本地登錄、記錄密碼和按鍵、傳輸用戶私有文件和捕獲加密數據。

不同類型的 Rootkit 會在 PC 啟動過程的不同階段加載：

1、Firmware Rootkit 會覆蓋 PC 的基本輸入/輸出系統或其他硬件的固件，以便 Rootkit 能夠在 Windows 之前啟動。

2、Bootkit 可以取代操作系統的引導加載程序，以便 PC 在操作系統之前加載bootkit。

3、Kernel Rootkit 可以替換操作系統內核的一部分，以便 Rootkit 可以在操作系統加載時自動啟動。

4、Driver Rootkit 會偽裝是 Windows 用來與 PC 硬件進行通信的值得信賴的驅動程序之一。

Win10系統啟動項安全引導策略：

為了保護操作系統能夠安全啟動，Windows 10 引入了 4 大安全特性，以防止在啟動過程中加載 Rootkit 和 bootkit：

1、Secure Boot（安全啟動）：具有 UEFI 固件和TPM（可信平臺模塊）芯片的 PC 可以配置為只加載受信任的 bootloader（操作系統引導加載程序）。

2、Trusted Boot（受信啟動）：Windows 10 會檢查啟動過程中每個組件的完整性，然后才會加載它。

3、早期啟動反惡意軟件（ELAM）：ELAM 會在測試所有驅動程序后才加載，并能夠阻止未經批準的驅動程序加載。

4、Measured Boot（測量啟動）：PC 的固件會記錄啟動過程，Windows 10 可以將其發送到可以客觀評估 PC 健康狀況的受信任服務器。

Win10系統啟動過程中 Secure Boot、Trusted Boot、ELAM 和 Measured Boot 各自能夠應對哪些安全威脅？

Secure Boot 和 Measured Boot 在具有 UEFI 2.3.1 和 TPM 芯片的 PC 上可用。幸運的是，符合 Windows 硬件兼容性計劃（WHL）要求的所有 Windows 10 PC 都具有這些組件，而且許多專門為早期版本 Windows 設計的 PC 也具有這些功能。

下面分別為大家介紹 Secure Boot、Trusted Boot、ELAM 和 Measured Boot 功能。

Secure Boot（安全啟動）

當 Windows PC 加電啟動時，會首先找到操作系統引導加載程序。無 Secure Boot 功能的 PC 會直接引導硬盤中的任何引導加載程序，PC 無法知道它是一個值得信賴的操作系統還是 Rootkit。

當裝有 UEFI 的 PC 啟動時，PC 會首先驗證固件是否經過數字簽名，從而降低 Firmware Rootkit 的風險。如果啟用 Secure Boot，固件將檢查引導加載程序的數字簽名并驗證其是否被篡改過。如果引導加載程序完整無誤，而且滿足以下條件之一，固件才會啟動引導程序：

1、引導程序使用受信任的證書進行了簽名。對于經過 Windows 10 認證的 PC， Microsoft® 證書是可信的。

2、用戶手動批準了引導加載程序的數字簽名。這允許用戶加載非 Microsoft 操作系統。

Trusted Boot（受信啟動）

此引導加載程序會使用虛擬可信平臺模塊（VTPM）來驗證 Windows 10 內核的數字簽名后再加載它，然后驗證 Windows 啟動過程的其他組件，包括：引導驅動程序、啟動文件和 ELAM。

早期啟動反惡意軟件（ELAM）

早期啟動反惡意軟件（ELAM）可在啟動時和第三方驅動程序初始化之前為計算機提供保護。在 Secure Boot 成功管理保護引導加載程序并且 Trusted Boot 完成保護 Windows 10 內核的任務后，ELAM 的作用就會開始，它會主動關閉任何已知漏洞，以防惡意軟件啟動或通過感染非 Microsoft 啟動驅動程序。此安全特性這有助于建立由 Secure Boot 和 Trusted Boot 提供的連續信任鏈。

Measured Boot（測量啟動）

如果你組織中的 PC 機感染了 Rootkit，則需對其進行分析了解。 企業防惡意軟件應用程序可以向 IT 部門報告惡意軟件感染，但這并不適用于隱藏其存在的 Rootkit 。 換句話說，管理員不能信任用戶來告訴你它是否健康。

因此，即便反惡意軟件正在運行，感染 Rootkit 的 PC 看起來也似乎是健康的。如果受感染的 PC 繼續連接到企業網絡，就可以使 Rootkit 可以訪問大量的機密數據，并可能允許 Rootkit 擴展到內部網絡。

而 Windows 10 中的 Measured Boot 允許網絡上的可信服務器來驗證 Windows 啟動過程的完整性。

以上內容便是關于Windows 10系統啟動項安全引導策略的一些介紹，如果用戶的計算機感染了Rootkit惡意程序，在使用Windows 10系統的時候基本不受其侵擾。