Как работает защита UEFI в Защитнике Windows: сканер прошивки в Windows 11/10

Как работает защита UEFI в Защитнике Windows

Вредоносные программы, способные внедряться в прошивку материнской платы (UEFI), представляют собой одну из наиболее серьезных угроз для компьютерных систем. Такие вирусы (называемые буткитами или руткитами) загружаются еще до старта самой операционной системы Windows. Это делает их невидимыми для большинства обычных антивирусных программ, работающих внутри ОС, а также позволяет им «выживать» даже после полной переустановки Windows или замены жесткого диска.

Для борьбы с подобными угрозами в состав встроенного антивируса «Безопасность Windows» (Microsoft Defender) включен специализированный аппаратный сканер UEFI. В этой статье мы подробно расскажем, как работает защита прошивки в Windows 11 и Windows 10, зачем она нужна и как проверить ее статус.

Почему прошивка UEFI так уязвима?

Интерфейс UEFI (Unified Extensible Firmware Interface) пришел на смену устаревшему BIOS. Он представляет собой миниатюрную операционную систему, хранящуюся на чипе флэш-памяти SPI материнской платы. Поскольку UEFI имеет полный доступ к оборудованию компьютера, вредоносный код, внедренный в прошивку, может:

  • Запускаться самым первым, отключая или обходя защитные механизмы ядра Windows;
  • Скрытно устанавливать в систему трояны и шпионское ПО при каждом запуске ПК;
  • Оставаться в системе даже в случае форматирования накопителя.

Известные атаки с использованием таких буткитов, как CosmicStrand, MoonBounce или BlackLotus, доказали, что антивирусам необходимы средства прямого контроля низкоуровневого кода материнской платы.

Как работает сканер UEFI в Microsoft Defender?

Встроенный сканер прошивки взаимодействует с аппаратным обеспечением Вашего компьютера для выявления скрытых угроз во время работы системы. Он состоит из нескольких ключевых компонентов:

  1. Антируткит UEFI: взаимодействует с чипсетом через интерфейс SPI (Serial Peripheral Interface), что позволяет ему читать содержимое флэш-памяти прошивки непосредственно во время выполнения;
  2. Анализатор файловой системы: полностью сканирует и парсит структуру файлов внутри прошивки UEFI;
  3. Механизм поведенческого анализа: обнаруживает попытки выполнения подозрительных эксплойтов и сигнатурных изменений в низкоуровневом коде.

Защитник Windows получает защиту UEFI.

Сканирование прошивки происходит автоматически в фоновом режиме в рамках регулярных полных проверок компьютера антивирусом. Если сканер обнаруживает аномалию или известную угрозу, Защитник Windows блокирует выполнение опасного кода, а Вы получаете уведомление в разделе «Защита от вирусов и угроз». В журнале защиты угроза обычно помечается префиксом Defender:UEFI/.

Сопутствующие технологии защиты загрузки в Windows 11 и 10

Сканер UEFI работает наиболее эффективно, когда на Вашем компьютере задействованы другие встроенные функции безопасности:

1. Безопасная загрузка (Secure Boot)

Secure Boot — это важнейший стандарт безопасности UEFI, который разрешает запуск только тех загрузчиков и драйверов, которые подписаны доверенными цифровыми подписями. Это предотвращает запуск неподписанных вредоносных модулей на самом раннем этапе загрузки.

Чтобы проверить статус безопасной загрузки:

Шаг 1. Нажмите клавиши Win + R, введите команду msinfo32 и нажмите Enter.

Шаг 2. В открывшемся окне «Сведения о системе» найдите пункт «Состояние безопасной загрузки». В идеале там должно быть написано «Вкл.».

2. Изоляция ядра и целостность памяти

Эти функции используют виртуализацию (VBS) для создания изолированной области памяти, защищенной от остальной операционной системы. Это предотвращает внедрение вредоносного кода в драйверы и важные процессы Windows.

Чтобы включить изоляцию ядра:

Шаг 1. Откройте приложение «Безопасность Windows».

Шаг 2. Перейдите в раздел «Безопасность устройства»«Сведения об изоляции ядра».

Шаг 3. Включите функцию «Целостность памяти».

3. Доверенный платформенный модуль (TPM 2.0)

TPM — это физический или программный криптографический чип, который проверяет целостность конфигурации загрузки Вашей системы (технология измеряемой загрузки). Если прошивка UEFI или загрузочные файлы были изменены без Вашего ведома, TPM заблокирует доступ к зашифрованным ключам диска (например, BitLocker).

Заключение

Интеграция сканера UEFI в Microsoft Defender существенно повышает уровень защиты современных компьютеров, позволяя вовремя обнаружить угрозы, скрывающиеся за пределами операционной системы. Однако для максимальной безопасности крайне важно держать функцию Secure Boot включенной в настройках BIOS/UEFI Вашей материнской платы и своевременно устанавливать обновления прошивки от производителя устройства.

Если у Вас возникли вопросы по настройке безопасной загрузки или изоляции ядра в Windows 11 и 10, пишите о них в комментариях под статьей.