Asus отключение uefi: Как отключить UEFI в BIOS: подробная инструкция
Путаница в настройках безопасной загрузки ASUS ROG · Garden in the Wonderland
3-минутное чтение
№
Всех с Рождеством!
Недавно я купил игровую материнскую плату ASUS ROG Strix X570-E. Чтобы защитить себя от зловредных атак, я хочу использовать безопасную загрузку, чтобы подписать свое ядро и защитить его от несанкционированных модификаций. Однако после импорта моих ключей безопасной загрузки в BIOS (PK, KEK, DB и DBX) мне не удалось найти возможность его включить.
В разделе Загрузка -> Безопасная загрузка написано следующее:
Состояние безопасной загрузки Пользователь Состояние ключа платформы (PK) Выгружено
Что случилось? Даже когда я успешно установил ключ PK, он все еще Unloaded, и ОС также сообщает, что безопасная загрузка отключена:
$ bootctl status systemd-boot не установлен в ESP.Система: Прошивка: UEFI 2.70 (American Megatrends 5.17) Безопасная загрузка: отключена Режим настройки: пользовательский Поддержка TPM2: да Загрузка в прошивку: поддерживается
Система:
Прошивка: UEFI 2.70 (American Megatrends 5.17)
Безопасная загрузка: отключена
Режим настройки: пользовательский
Поддержка TPM2: да
Загрузка в прошивку: поддерживается
Отказ от ответственности:
Я не эксперт по UEFI. Я не знаю, что говорит спецификация UEFI о безопасной загрузке, и не знаю, как она связана с Microsoft Windows.
Я предполагаю, что это указано в спецификации UEFI и не имеет ничего общего с Microsoft, за исключением того, что Microsoft требует, чтобы поставщики BIOS предварительно устанавливали свои ключи и разрешали пользователям отключать эту функцию.
Поправьте меня, если я ошибаюсь.
Окружающая среда:
Я использую BIOS 3604 x64.
Я ожидал найти переключатель типа Dell BIOS, который можно включить или отключить, но ничего подобного не нашел. Я просмотрел несколько веб-сайтов, но все они показывают одну и ту же почти бесполезную информацию.
Никто явно не упоминает, где находится переключатель безопасной загрузки.
В руководстве по материнской плате также мало упоминается Secure Boot. Кроме того, безопасная загрузка обозначается как «безопасная загрузка Windows (R)», какой позор для спецификации UEFI и пользователей, не использующих Windows?
В любом случае, после нескольких попыток я заметил, что прямо над подменю «Управление ключами» есть выпадающее меню «Тип ОС». Он имеет два варианта, и текст справки выглядит следующим образом:
Режим Windows UEFI: выполнить проверку безопасной загрузки Microsoft. Выбирайте этот параметр только при загрузке в режиме Windows UEFI или других операционных системах, совместимых с безопасной загрузкой Майкрософт. Другая ОС: выберите этот параметр, чтобы получить оптимизированные функции при загрузке в режиме Windows, отличном от UEFI, и операционных системах, несовместимых с безопасной загрузкой Microsoft. * Безопасная загрузка Microsoft может правильно работать только в режиме Windows UEFI.
Сначала меня это не сильно беспокоило, потому что я не рассматриваю свою ОС (самоподписанный Linux EFISTUB) как Windows UEFI и не считаю ее операционной системой, совместимой с безопасной загрузкой Microsoft. Поэтому я всегда держу его как «Другая ОС».
Я также думал, что если я выберу «режим Windows UEFI», он загрузит ключи Microsoft, поэтому мои ключи будут перезаписаны.
Оказалось, что я совершенно не прав, а можно сказать, что ASUS сделал это крайне запутанным.
Настоящее значение «режима Windows UEFI» — включить Secure Boot , а «Другая ОС» означает отключить Secure Boot , и они абсолютно не связаны с ключами . Вот почему многие статьи в Интернете просят вас перевести его в «режим Windows UEFI» и сбросить ключи в подменю «Управление ключами», чтобы использовать ключи Microsoft.
Вот как это бывает. После переключения типа ОС на «режим Microsoft UEFI» он начинает загружать мой самоподписанный двоичный файл Linux.
Какой позор для вас, ASUS, что вы делаете подсказки такими запутанными? «Включить» и «Отключить» — гораздо лучший выбор.
В течение многих лет некоторые материнские платы Gigabyte и Asus содержали вредоносное ПО UEFI
В контексте: Фирма ESET, занимающаяся безопасностью, обнаружила первый руткит UEFI, который активно использовался еще в 2018 году. дискуссии среди исследователей безопасности, но за последние годы стало ясно, что это гораздо более распространено, чем считалось ранее, несмотря на то, что его относительно сложно разработать.
На этой неделе исследователи «Лаборатории Касперского» обнаружили новый руткит встроенного ПО под названием «CosmicStrand», который, как полагают, является работой неизвестной группы китайских злоумышленников.
Исследователи объясняют, что руткит был обнаружен в образах прошивок нескольких материнских плат Asus и Gigabyte, оснащенных набором микросхем Intel H81, одним из самых долгоживущих наборов микросхем эпохи Haswell, выпуск которого был окончательно прекращен в 2020 году.
Поскольку прошивка UEFI является первой фрагмент кода, который запускается при включении компьютера, поэтому CosmicStrand особенно сложно удалить по сравнению с другими типами вредоносных программ. Руткиты встроенного ПО также сложнее обнаружить, и они открывают путь хакерам для установки дополнительных вредоносных программ в целевую систему.
Простая очистка памяти на вашем ПК не устранит инфекцию, равно как и полная замена устройств хранения. UEFI — это, по сути, небольшая операционная система, которая живет внутри чипа энергонезависимой памяти, обычно припаянного к материнской плате. Это означает, что для удаления CosmicStrand требуются специальные инструменты для повторного создания образа флэш-чипа при выключенном ПК. Все остальное оставило бы ваш компьютер в зараженном состоянии.
На данный момент скомпрометированы только системы Windows в таких странах, как Россия, Китай, Иран и Вьетнам. Однако имплантат UEFI используется в дикой природе с конца 2016 года, что повышает вероятность того, что этот тип инфекции более распространен, чем предполагалось ранее.
Еще в 2017 году охранная фирма Qihoo360 обнаружила то, что могло быть ранним вариантом CosmicStrand. В последние годы исследователи обнаружили дополнительные руткиты UEFI, такие как MosaicRegressor, FinSpy, ESpecter и MoonBounce.
Что касается CosmicStrand, это очень мощная вредоносная программа размером менее 100 килобайт. Мало что известно о том, как он оказался на целевых системах, но принцип его работы прост. Во-первых, он заражает процесс загрузки, устанавливая так называемые «перехватчики» в определенные точки потока выполнения, тем самым добавляя функциональные возможности, необходимые злоумышленнику для модификации загрузчика ядра Windows перед его выполнением.
Оттуда злоумышленники могут установить еще один хук в виде функции в ядре Windows, которая вызывается в последующем процессе загрузки. Эта функция развертывает в памяти шелл-код, который может связаться с командно-контрольным сервером и загрузить дополнительные вредоносные программы на зараженный компьютер.
