Erase all secure boot setting что это: Erase all secure boot setting перевод

Содержание

Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать?

Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.

При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Содержание:

Принцип работы и особенности Secure Boot





Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.

Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.

Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.

Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:

  • Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
  • Режим User или режим пользователя, в котором компьютер работает по умолчанию.

Для того, чтобы убрать функцию следует воспользоваться первым режимом.

Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.

Определение режима загрузки

Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:

  • уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
  • через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;

Рис.2. Вход в меню «Свойств системы».

  • путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.

Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.

После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.

Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности.

Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.

Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.

к содержанию ↑

Отключение утилиты



Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:

  • Войти в настройки интерфейса UEFI;
  • Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.

На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:

  • Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
  • После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
  • Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).

После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.

Он зависит от конкретной модели компьютера и марки материнской платы.

Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.

После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.

Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.

Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.

Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.

На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.

к содержанию ↑

Исправление неполадок




Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

  • Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
  • Проверка типа политики безопасности;
  • Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

к содержанию ↑

Нужен ли пользователям Secure Boot?





Появление функции было неоднозначно воспринято пользователями Windows.

С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.

С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.

Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:

  1. Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
  2. Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
  3. Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
  4. Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).

Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.

Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.

И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.

Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.

Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.

Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.

А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.


Читайте другие наши материалы про работу с BIOS/UEFI:

Настройки Bios — Детальная инструкция в картинках

Три способа сбросить БИОС на ноутбуке


Как отключить безопасную загрузку (Secure Boot) в Биосе на ноутбуках и ПК

Microsoft постоянно ужесточает механизмы безопасности. Secure Boot в Windows – одно из таких «ужесточений». Ни первый год технология SB оберегает компьютер от загрузки сомнительного ПО до запуска системы. Но сомнительными сочтут и ваши мультизагрузочные флешки. Расскажем, как отключить безопасную загрузку в Биосе на ноутбуках и материнских платах ПК.

Содержание

  1. Отключить Secure Boot
  2. Как зайти в настройки UEFI и отключить Secure Boot?
  3. BIOS
  4. Примеры отключения Secure Boot на материнских платах и различных ноутбуках
  5. Asus (ноутбуки и материнские платы)
  6. Отключить Secure Boot на ноутбуке Samsung и Acer
  7. Отключение Secure Boot на ноутбуке HP
  8. Lenovo/ Toshiba
  9. Ноутбуки Dell
  10. Huawei
  11. Отключение безопасной загрузки на материнской плате Gigabyte
  12. Материнские платы MSI
  13. Видео инструкция – как отключить безопасную загрузку
  14. Как проверить включена или отключена безопасная загрузка Secure Boot в Windows 10

Отключить Secure Boot

Проблема в том, что SB – стандарт безопасности Microsoft и сторонним разработчикам пока не удалось достойно реализовать прохождение проверки этим протоколом. Поэтому для загружаемых до запуска Windows накопителей больше недостаточно правильно настроить параметр order. Технология запрещает использовать неопознанные устройства с данными.

Если вы увидели ошибку Secure Boot Violation или Security Boot Fail, убрать её проще через отключение проверки ключей. Сделать это получится только через Unified Extensible Firmware Interface – современный вариант Bios. Сначала доберемся до низкоуровневой оболочки UEFI.

Как зайти в настройки UEFI и отключить Secure Boot?

Вариантов интерфейса Уефи – множество, но на Windows последних поколений удалось привести к единству хотя бы методы попадания в Биос. Чтобы добраться до нужного раздела:

  1. Нажимаем на клавишу Win.
  2. Открываем раздел, предназначенный для отключения устройства.
  3. Зажимаем клавишу Shift.
  4. Кликаем по кнопке «Перезагрузка».
  5. После появления меню на синем фоне клавишу Shift можно отпустить.
  6. Выбираем нижний левый вариант из списка.
  7. Открываем последний пункт.
  8. Открываем «Параметры встроенного ПО UEFI».
  9. Перезагружаемся.

Осталось отыскать раздел для корректировки безопасной загрузки Secure Boot.

BIOS

Так как безопасная загрузка –новая технология, то и работает она на новых платформах. Нет смысла углубляться в особенности старых способов открытия Биоса в этом контексте. Но, если вы решили поискать протокол на старом компьютере, отметим несколько нюансов, которые помогут отыскать дорогу в BIOS:

  • для запуска подпрограммы обычно используются клавиши Ctrl, Alt, Esc, Delete, Shift, F1, F2, F10 или F12. После запуска компьютера определённые клавиши нужно ритмично нажимать до тех пор, пока не загрузится Биос;
  • нужный набор кнопок можно узнать из первого экрана, который появляется сразу после запуска устройства. Он содержит техническую информацию о компьютере, среди которой есть и необходимые нам данные.

Примеры отключения Secure Boot на материнских платах и различных ноутбуках

Сколько вариантов компьютеров и ноутбуков, столько же вариаций на тему отключения Secure Boot. Перечислим наиболее часто встречающиеся примеры.

Asus (ноутбуки и материнские платы)

Интерфейс УЕФИ может отличаться, в зависимости от того на чем вы работаете – на ноутбуке Asus или на компьютере с материнской платой ASRock. Индивидуальным будет и алгоритм отключения Secure Boot. Рассмотрим 2 варианта, первый:

  1. Выберите пункт верхнего меню «Boot».
  2. Нажмите на серую кнопку напротив пункта «OS Type».
  3. Выберите второй вариант, который предусматривает работу с операционными система не из семейства Windows.
  4. Подтвердите сохранение изменений способом, определенным в UEFI.

Второй вариант мало отличается от предыдущего:

  1. Нажмите F7, чтобы включить Advanced Mode.
  2. Выберите пункт верхнего меню Бут.
  3. Раскройте раздел Secure Boot в UEFI.
  4. Найдите параметр State и поменяйте его значение на отключенное.
  5. Найдите параметр «OS Type» и выберите вариант значения «Other OS».
  6. Раскройте раздел «Compatibility…».
  7. Переведите параметр «Launch…» во включенное состояние.
  8. Для параметров «Boot Device Control» и «Boot From Storage Devices» выберите значения, которые предусматривают приоритет «Legacy».
  9. Сохраните изменения.

Отключить Secure Boot на ноутбуке Samsung и Acer

Для отключения Secure Boot на продукции брендов Acer и Samsung подойдет схожий алгоритм:

  1. Выберите для настройки элемент Boot в верхнем меню.
  2. Откройте пункт с нужным названием в списке.
  3. Выключите протокол во всплывающем окне.
  4. Примените изменения с помощью клавиши, указанной в нижнем меню ПО.

Скриншот приведен на примере ноутбука Acer Aspire.

Отключение Secure Boot на ноутбуке HP

Для отключения Secure Boot, перейдя в Биос:

  1. Откройте раздел системных конфигураций в меню.
  2. В верхней половине окна найдите название нужного протокола.
  3. Откройте нужный пункт и поменяйте значение с Enabled на Disabled.
  4. Сохраните изменения.

Если на шаге 2 возникли проблемы, возможно вы имеете дело с другим интерфейсом на ноутбуке HP. В этом случае:

  1. Отыщите и откройте «Boot Options».
  2. Найдите строку с названием протокола.
  3. Откройте и отключите обнаруженный пункт.
  4. Включите параметр Legacy Support, он расположен на 1 пункт выше предыдущего.
  5. Откройте «Clear All Secure Boot Keys», введите код Pass между квадратными скобками и нажмите Enter.
  6. Сохраните изменения, перед тем, как отключаться.

Lenovo/ Toshiba

Lenovo и Toshiba имеют схожую оболочку УЕФИ, поэтому рассматривать их как отдельные примеры не будем. Чтобы отключить UEFI с нужными изменениями:

  1. Откройте раздел безопасности.
  2. Выберите строчку с названием Секьюрити бут.
  3. Осуществите перевод параметра в значение Выключено.
  4. Примените изменения и перезагрузитесь с помощью горячей клавиши F10.

Ноутбуки Dell

Алгоритм для продукции компании Dell аналогичен:

  1. Открываете раздел настроек параметров загрузки Бут в верхнем меню.
  2. Выбираете строчку напротив названия протокола.
  3. Выключаете параметр.
  4. Сохраняете прогресс, достигнутый во время выполнения инструкции.

Huawei

На ноутбуках этого производителя решение проблемы встречает пользователя прямо на главной странице Insydeh3O® в UEFI Биосе. Как отключить boot с защитой:

  1. Откройте пункт, соответствующий названию протокола, в нижней части окна.
  2. Выберите пункт «Disable», чтобы отключить протокол.
  3. Примените изменения с помощью клавиши F10.

Отключение безопасной загрузки на материнской плате Gigabyte

Для решения проблемы со стационарным компьютером, собранном на базе материнской платы Gigabyte:

  1. Выберите пункт Биос Features в верхнем меню DualBios.
  2. Поменяйте параметр Boot Mode Selection, который находится в блоке OS Type. На некоторых вариантах ПО блок может называться именем вашей текущей ОС. Значение Бут Мод Селекшн должно включать «Legacy».
  3. Поменяйте параметр, касающийся PCI устройств на значение «Legacy OpROM».
  4. Примените сделанные изменения с помощью клавиши, определенной для этого в правом боковом информационном блоке.
  5. Дождитесь окончания перезагрузки, чтобы отключить Secure Boot.

Материнские платы MSI

Для MSI путь будет схож с описанными ранее:

  1. Откройте пункт меню «Setting» слева.
  2. Откройте подпункт бут.
  3. Выберите название SB.
  4. Выключите параметр.

То, что вы не нашли строчку Секьюрити Бут, не означает, что у вас нет такого протокола. Возможно на устройстве другая версия Биоса. Тогда на шаге 3 поищите элемент «Boot Mode Select» и установите значение «Legacy+…».

Видео инструкция – как отключить безопасную загрузку

Лучше один раз увидеть, что делать, чем десять раз прочесть – смотрите, как можно отключить Secure Boot в UEFI.

Как проверить включена или отключена безопасная загрузка Secure Boot в Windows 10

Чтобы убедиться в том, что Secure Boot на Windows 10 выключился, достаточно одной предустановленной утилиты:

  1. Откройте окно выполнить с помощью сочетания клавиш Win и R.
  2. Введите и запустите команду «msinfo32».
  3. Отыщите строчку «Состояние безопасной загрузки» в разделе сведений. Обратите внимание на значение элемента.

Если протокол SB в Windows 10 работает не так, как хотелось, озаботьтесь отключением этой функции – такое действие всегда можно отменить, чтобы защититься от запрещенных носителей информации.

Укрощаем UEFI SecureBoot / Хабр

Данные обещания надо выполнять, тем более, если они сделаны сначала в заключительной части опуса о безопасности UEFI, а потом повторены со сцены ZeroNights 2015, поэтому сегодня поговорим о том, как заставить UEFI SecureBoot работать не на благо Microsoft, как это чаще всего настроено по умолчанию, а на благо нас с вами.

Если вам интересно, как сгенерировать свои собственные ключи для SecureBoot, как установить их вместо стандартных (или вместе с ними), как подписать ваш любимый EFI-загрузчик, как запретить загрузку неподписанного или подписанного чужими ключами кода, как выглядит интерфейс для настройки SecureBoot у AMI, Insyde и Phoenix и почему это, по большому счету, совершенно не важно — добро пожаловать под кат, но опасайтесь большого количества картинок и длинных консольных команд.

Введение


О том, как устроен и работает SecureBoot, я уже рассказывал в начале пятой части вышеупомянутого опуса, повторяться смысла не вижу. Если вы не в курсе, о чем весь этот UEFI SecureBoot вообще, кто такие PK, KEK, db и dbx, и почему с точки зрения SecureBoot по умолчанию хозяином вашей системы является производитель UEFI, а единственным авторизованным пользователем является Microsoft — смело проследуйте туда, мы вас тут пока подождем.

С ликбезом закончили, теперь к делу. Несмотря на то, что про создание своих ключей и настройку SecureBoot написано за три последних года с десяток отличных статей (ссылки на часть из которых приведены в разделе Литература), воз и ныне там. Основная проблема с информацией о настройке SecureBoot даже в англоязычном сегменте сети (не говоря уже о рунете) — большая часть статей, текстов и постов обрывается на «вот у нас теперь есть ключи в формате EFI Signature List, добавьте их зависимым от вашего вендора прошивки способом и готово». При этом сами вендоры не торопятся описывать меню настройки SecureBoot ни в документации на свои платформы для OEM’ов, ни в мануалах на конечные системы, в результате пользователь теряется на незнакомой местности и либо отключает SecureBoot, мешающий загружать его любимую OpenBSD (или что там у него), либо оставляет его на настройках по умолчанию (а чего, Windows грузится же). Именно этот последний шаг я и попытаюсь описать более подробно, но не в ущерб остальным необходимым шагам.

Тестовая конфигурация


Специально для этой статьи я достал из закромов пару не самых новых ноутбуков с прошивками на платформах Phoenix SCT и Insyde h3O, а также совершенно новую плату congatec (разработкой прошивки для которой я занят в данный момент) на платформе AMI AptioV. Встречайте, наши тестовые стенды:

1. AMI, они же «треугольные«: congatec conga-TR3 @ conga-TEVAL, AMD RX-216GD (Merlin Falcon), AMI AptioV (UEFI 2. 4)

2. Insyde, они же «квадратные«: Acer Aspire R14 R3-471T (Quanta ZQX), Intel Core i3-4030U (Ivy Bridge), Insyde h3O (UEFI 2.3.1C)

3. Phoenix, они же «полукруглые«: Dell Vostro 3360 (Quanta V07), Intel Core i7-3537U (Ivy Bridge), Phoenix SCT (UEFI 2.3.1C)

Об интерфейсах для настройки SecureBoot


На всех вышеперечисленных системах производитель заявляет о поддержке технологии UEFI SecureBoot, но интерфейс для ее настройки сильно отличается между системами. К счастью, это не очень большая проблема, поскольку для настройки SecureBoot на совместимых со спецификацией UEFI 2.3.1C (и более новых) прошивках

никакого интерфейса в Setup, кроме возможности удаления текущего PK

(т.е. перевода SecureBoot в так называемый Setup Mode)

не требуется

, а после этого можно использовать любое EFI-приложение, способное вызвать UEFI-сервис gRS->SetVariable с предоставленными пользователем данными, в том числе утилиту KeyTool. efi из пакета efitools, которая специально для управления ключами и предназначена, осталось только научиться ей пользоваться.

Тем не менее, если удобный интерфейс для настройки присутствует (у AMI он, на мой взгляд, даже удобнее KeyTool‘а) — можно воспользоваться им, так что рассказывать про эти самые интерфейсы все равно придется.

Пара слов про скриншоты UEFI

Благодаря универсальности GOP, ConIn/ConOut и DevicePath можно было сесть и написать за полчаса простой DXE-драйвер, который снимал бы замечательные скриншоты в формате BMP со всего, что происходит в графической консоли после его (драйвера) загрузки по нажатию горячей клавиши, после чего сохранял бы их на первом попавшемся USB-носителе с ФС FAT32… Но его нужно сначала написать, потом отладить, потом интегрировать в прошивки так, чтобы они от этого не развалились (а на ноутбуках придется микросхему с прошивкой выпаивать и под программатор класть, если вдруг что-то не так пойдет), плюс с подконтрольного мне AptioV можно снимать скриншоты просто используя терминал и console serial redirection, а у остальных там настроек буквально на два-три экрана, которые можно банально с монитора сфотографировать, поэтому прошу вас, уважаемые читатели, простить вашего покорного слугу за эти кривые фотографии и за тот факт, что он — ленивая жопа.

Готовим плацдарм


Начнем с лирического отступления о наличии нужного софта для разных ОС. Несмотря на то, что Microsoft является одним из разработчиков технологии, в открытом доступе до сих пор отсутствуют нормальные средства для работы с ней из Windows (ключи можно сгенерировать утилитой MakeCert из Windows SDK, а для всего остального предлагается использовать HSM третьих лиц за большие деньги). Я подумывал сначала взять и написать нужную утилиту на Qt, но потому решил, что ключи и подписи каждый день генерировать не нужно, а на пару раз хватит и существующих решений. Можете попробовать переубедить меня в комментариях, если хотите.

В общем, для всего нижеперечисленного вам понадобится Linux (который можно запустить с LiveUSB, если он у вас не установлен). Для него существует целых два набора утилит для работы с SecureBoot: efitools/sbsigntool и EFIKeyGen/pesign. У меня есть положительный опыт работы с первым набором, поэтому речь пойдет именно о нем.

В итоге, кроме Linux, нам понадобятся несколько вещей:

1. Пакет openssl и одноименная утилита из него для генерирования ключевых пар и преобразования сертификатов из DER в PEM.

2. Пакет efitools, а точнее утилиты cert-to-efi-sig-list, sign-efi-sig-list для преобразования сертификатов в формат ESL и подписи файлов в этом формате, и KeyTool.efi для управления ключами системы, находящейся в SetupMode.

3. Пакет sbsigntool, а точнее утилита sbsign для подписи исполняемых файлов UEFI (т.е. загрузчиков, DXE-драйверов, OptionROM’ов и приложений для UEFI Shell) вашим ключом.

Загрузите Linux, установите вышеуказанные пакеты, откройте терминал в домашней директории и переходите к следующему шагу.

Генерируем собственные ключи для SecureBoot


Как обычно, есть несколько способов сделать что-либо, и чем мощнее используемый инструмент, тем таких способов больше. OpenSSL же как инструмент развит настолько, что кажется, что он умеет делать вообще всё, а если почитать к нему man — то и абсолютно всё остальное. Поэтому в этой статье я ограничусь непосредственной генерацией ключевых файлов, а танцы вокруг создания собственного CA оставлю на самостоятельное изучение.

Генерируем ключевые пары

Ключей понадобится сгенерировать три штуки: PK, KEK и ISK.

Начнем с PK, для генерации которого нужно выполнить следующее

openssl req -new -x509 -newkey rsa:2048 -sha256 -days 365 -subj "/CN=Platform Key" -keyout PK.key -out PK.pem

после чего ввести и подтвердить пароль, который потом спросят при попытке подписи чего-либо получившимся закрытым ключом.

Командой выше мы просим OpenSSL сгенерировать нам ключевую пару RSA2048/SHA256 со сроком действия на один год, под названием Platform Key, с выводом закрытого ключа в файл PK. key, а открытого — в файл PK.pem. Если добавить -nodes, то для подписи этой ключевой парой не нужен будет пароль, но здесь мы этого делать не станем — с паролем хоть ненамного, но безопаснее.

Таким же образом генерируем ключевые пары для KEK и ISK, пароли при этом советую вводить разные:

openssl req -new -x509 -newkey rsa:2048 -sha256 -days 365 -subj "/CN=Key Exchange Key" -keyout KEK.key -out KEK.pem
openssl req -new -x509 -newkey rsa:2048 -sha256 -days 365 -subj "/CN=Image Signing Key" -keyout ISK.key -out ISK.pem

Конвертируем открытые ключи в формат ESL

Теперь нужно сконвертировать открытые ключи из формата PEM в понятный UEFI SecureBoot формат ESL. Этот бинарный формат описан в спецификации UEFI (раздел 30.4.1 в текущей версии 2.5) и интересен тем, что файлы в нем можно соединять друг с другом конкатенацией, и этот факт нам еще пригодится.

cert-to-efi-sig-list -g "$(uuidgen)" PK.pem PK. esl
cert-to-efi-sig-list -g "$(uuidgen)" KEK.pem KEK.esl
cert-to-efi-sig-list -g "$(uuidgen)" ISK.pem ISK.esl

Ключ -g добавляет к сгенерированному ESL-файлу GUID, в нашем случае — случайный, полученый запуском утилиты uuidgen и использованием ее вывода. Если этой утилиты у вас нет — придумывайте GUIDы сами или оставьте значение по умолчанию.

Подписываем ESL-файлы

Для правильно работы SecureBoot необходимо, чтобы PK был подписан сам собой, KEK подписан PK, а хранилища db и dbx — сответственно KEK. При этом PK не может быть несколько, а вот ситуация с несколькими KEK хоть и встречается в дикой природе, но я все же настоятельно рекомендую удалить предустановленный ключ Microsoft из KEK по простой причине — db и dbx могут быть подписаны любым ключом из хранилища KEK, т.е. если ключ MS оттуда не удалить, то у MS будет возможность управлять содержимым db и dbx, т.е. добавлять любые новые ключи или хеши в список доверенной загрузки и удалять из него существующие. На мой взгляд, это немного слишком, и если мы берем управление ключами в свои руки, то нужно делать это до конца.

Если вы думаете иначе

Ну тогда вам прямая дорога вот сюда, там в самом конце раздела 1.3.4.3 есть ссылка на сертификат Microsoft Corporation KEK CA 2011 в формате DER, из которого нужно сначала получить PEM командой

openssl x509 -in MicCorKEKCA2011_2011-06-24.crt -inform DER -out MsKEK.pem -outform PEM

затем сконвертировать полученный PEM в ESL командой

cert-to-efi-sig-list -g "$(uuidgen)" MsKEK.pem MsKEK.esl

после чего добавить получившийся файл к нашему файлу KEK.esl командой

cat KEK.esl MsKEK.esl > NewKEK.esl
mv -f NewKEK.esl KEK.esl

Теперь Microsoft такой же авторизованный пользователь вашей платформы, как и вы сами, с чем я вас и поздравляю.

С другой стороны, если вы не хотите терять возможность загрузки Windows и подписанных ключом Microsoft исполняемых компонентов (к примеру, GOP-драйверов внешних видеокарт и PXE-драйверов внешних сетевых карточек), то к нашему ISK.esl надо будет добавить еще пару ключей — ключ Microsoft Windows Production CA 2011, которым MS подписывает собственные загрузчики и ключ Microsoft UEFI driver signing CA, которым подписываются компоненты третьих сторон (именно им, кстати, подписан загрузчик Shim, с помощью которого теперь стартуют разные дистрибутивы Linux, поддерживающие SecureBoot из коробки).

Последовательность та же, что и под спойлером выше. Конвертируем из DER в PEM, затем из PEM в ESL, затем добавляем к db.esl, который в конце концов надо будет подписать любым ключом из KEK:

openssl x509 -in MicWinProPCA2011_2011-10-19.crt -inform DER -out MsWin.pem -outform PEM
openssl x509 -in MicCorUEFCA2011_2011-06-27.crt -inform DER -out UEFI. pem -outform PEM
cert-to-efi-sig-list -g "$(uuidgen)" MsWin.pem MsWin.esl
cert-to-efi-sig-list -g "$(uuidgen)" UEFI.pem UEFI.esl
cat ISK.esl MsWin.esl UEFI.esl > db.esl


Теперь подписываем PK самим собой:

sign-efi-sig-list -k PK.key -c PK.pem PK PK.esl PK.auth

Подписываем KEK.esl ключом PK:

sign-efi-sig-list -k PK.key -c PK.pem KEK KEK.esl KEK.auth

Подписываем db.esl ключом KEK:

sign-efi-sig-list -k KEK.key -c KEK.pem db db.esl db.auth


Если еще не надоело, можно добавить чего-нибудь еще в db или создать хранилище dbx, нужные команды вы теперь знаете, все дальнейшее — на ваше усмотрение.

Подписываем загрузчик

Осталось подписать какой-нибудь исполняемый файл ключом ISK, чтобы проверить работу SecureBoot после добавления ваших ключей. Для тестов я советую подписать утилиту RU.efi, она графическая и яркая, и даже издалека видно, запустилась она или нет. На самом деле, утилита эта чрезвычайно мощная и ей можно натворить немало добрых и не очень дел, поэтому после тестов лучше всего будет её удалить, и в дальнейшем подписывать только загрузчики.

В любом случае, подписываются исполняемые файлы вот такой командой:

sbsign --key ISK.key --cert ISK.pem --output bootx64.efi RU.efi

Здесь я заодно переименовал исполняемый файл в bootx64.efi, который нужно положить в директорию /EFI/BOOT тестового USB-носителя с ФС FAT32. Для 32-битных UEFI (избавь вас рандом от работы с ними) используйте bootia32.efi и RU32.efi.

В результате вот этого всего у вас получились три файла .auth, которые нужно будет записать «как есть» в NVRAM-переменные db, KEK и PK, причем именно в таком порядке. Скопируйте все три файла в корень другого USB-носителя с ФС FAT32, на котором в качестве /EFI/BOOT/bootx64. efi выступит /usr/share/efitools/efi/KeyTool.efi (скопируйте его еще и в корень, на всякий случай) и ваш «набор укротителя SecureBoot» готов.

Укрощение строптивого


Начинается все одинаково: вставляем нашу флешку с ключами и KeyTool‘ом в свободный USB-порт, включаем машину, заходим в BIOS Setup. Здесь, прежде чем заниматься настройкой SecureBoot, нужно отключить CSM, а с ним — и легаси-загрузку, с которыми наша технология не совместима. Также обязательно поставьте на вход в BIOS Setup пароль подлиннее, иначе можно будет обойти SecureBoot просто отключив его, для чего на некоторых системах с IPMI и/или AMT даже физическое присутсвие не потребуется.

AMI AptioV

У большинства прошивок, основанных на коде AMI, управление технологией SecureBoot находится на вкладке Security, у меня это управление выглядит так:


Заходим в меню Key Management (раньше оно было на той же вкладке, сейчас его выделили в отдельное) и видим там следующее:


Выбираем нужную нам переменную, после чего сначала предлагают выбрать между установкой нового ключа и добавлением к уже имеющимся, выбираем первое:


Теперь предлагается либо установить значение по умолчанию, либо загрузить собственное из файла, выбираем последнее:


Далее нужно устройство и файл на нем, а затем выбрать формат этого файла, в нашем случае это Authenticated Variable:


Затем нужно подтвердить обновление файла, и если все до этого шло хорошо, в результате получим лаконичное сообщение:


Повторяем то же самое для KEK и PK, и получам на выходе вот такое состояние:


Все верно, у нас есть единственный PK, всего один ключ в KEK и три ключа в db, возвращаемся в предыдущее меню кнопкой Esc и включаем SecureBoot:


Готово, сохраняем настройки и выходим с перезагрузкой, после чего пытаемся загрузиться с нашей флешки и видим вот такую картину:


Отлично, неподписанные загрузчики идут лесом, осталось проверить подписанный. Вставляем другую флешку, перезагружаемся и видим что-то такое:


Вот теперь можно сказать, что SecureBoot работает как надо.

Если у вашего AMI UEFI такого интерфейса для добавления ключей нет, то вам подойдет другой способ, о котором далее.

Insyde h3O

Здесь все несколько хуже, чем в предыдущем случае. Никакого интерфейса для добавления собственных ключей нет, и возможностей настройки SecureBoot предлагается всего три: либо удалить все переменные разом, переведя SecureBoot в Setup Mode, либо выбрать исполняемый файл, хеш которого будет добавлен в db, и его можно будет запускать даже в том случае, если он не подписан вообще, либо вернуться к стандартным ключам, в качестве которых на этой машине выступают PK от Acer, по ключу от Acer и MS в KEK и куча всякого от Acer и MS в db.

Впрочем, нет интерфейса — ну и черт с ним, у нас для этого KeyTool есть, главное, что в Setup Mode перейти можно. Интересно, что BIOS Setup не дает включить SecureBoot, если пароль Supervisor Password не установлен, поэтому устанавливаем сначала его, затем выполняем стирание ключей:


После чего на соседней вкладке Boot выбираем режим загрузки UEFI и включаем SecureBoot:


Т. к. фотографии у меня посреди ночи получаются невыносимо отвратительными, то скриншоты KeyTool‘а я сделаю на предыдущей системе, и придется вам поверить в то, что на этой все выглядит точно также (мамой клянусь!).

Загружаемся с нашего носителя в KeyTool, и видим примерно следующее:


Выбираем Edit Keys, попадаем в меню выбора хранилища:


Там сначала выбираем db, затем Replace Keys, затем наше USB-устройство, а затем и файл:


Нажимаем Enter и без всяких сообщений об успехе нам снова показывают меню выбора хранилища. Повторяем то же самое сначала для KEK, а затем и для PK, после выходим в главное меню двойным нажатием на Esc. Выключаем машину, включаем заново, пытаемся загрузить KeyTool снова и видим такую картину (которую я утащил из дампа прошивки, ее фото на глянцевом экране еще кошмарнее, чем предыдущие):


Ну вот, одна часть SecureBoot’а работает, другая проверяется запуском подписанной нами RU. efi и тоже работает. У меня на этой системе Windows 8 установлена в UEFI-режиме, так вот — работает и она, Microsoft с сертификатом не подвели.

Phoenix SCT

Здесь возможностей еще меньше, и во всем меню Secure Boot Configuration на вкладке Security всего два пункта: возврат к стандартным ключам и удаление всех ключей с переводом системы в SetupMode, нам нужно как раз второе:


Затем на вкладке Boot нужно выбрать тип загрузки UEFI, включить SecureBoot, и создать загрузочную запись для KeyTool‘а, иначе на этой платформе его запустить не получится:


Нажимаем Yes, выходим с сохранением изменений, перезагружаемся, нажимаем при загрузке F12, чтобы попасть в загрузочное меню, оттуда выбираем KeyTool, работа с которым описана выше. После добавления ключей и перезагрузки попытка повторного запуска KeyTool‘а заканчивается вот так:


При этом установленный на той же машине Linux продолжает исправно загружаться, как и подписанная нами RU. efi, так что SecureBoot можно признать работоспособным.

Заключение


В итоге, благодаря утилитам с открытым кодом, удалось завести SecureBoot на системах с UEFI трех различных вендоров, сгенерировать свои собственные ключи и подписать ими нужные нам исполняемые файлы. Теперь загрузка платформы целиком в наших руках, но только в случае, если пароль на BIOS стойкий и не хранится открытым текстом, как у некоторых, а в реализации SecureBoot нет каких-либо известных (или еще неизвестных) дыр. Сам по себе SecureBoot — не панацея от буткитов, но с ним ситуация с безопасной загрузкой все равно намного лучше, чем без него.

Надеюсь, что материал вам поможет, и спасибо за то, что прочитали эту портянку.

Литература

Managing EFI Bootloaders for Linux: Controlling SecureBoot.
AltLinux UEFI SecureBoot mini-HOWTO.
Booting a self-signed Linux kernel.
Sakaki’s EFI Install Guide: Configuring SecureBoot.
Ubuntu Security Team: SecureBoot.
Owning your Windows 8 UEFI Platform.
MinnowBoard Max: Quickstart UEFI Secure Boot.
Windows 8.1 Secure Boot Key Creation and Management Guidance.

руководство по созданию и управлению ключами безопасной загрузки Windows





Twitter




LinkedIn




Facebook




Адрес электронной почты










  • Статья

  • Чтение занимает 36 мин

Этот документ поможет изготовителям оборудования и ODM создавать и управлять ключами и сертификатами безопасной загрузки в производственной среде. Здесь рассматриваются вопросы, связанные с созданием, хранением и получением ключей платформы (PK), защищенными ключами обновления встроенного ПО и сторонними ключами Exchange ключами (KEK).

Примечание

Эти действия не относятся к изготовителям оборудования пк. Предприятия и клиенты также могут использовать эти действия для настройки серверов для поддержки безопасной загрузки.

Windows требования к UEFI и безопасной загрузке можно найти в Windows требованиях к сертификации оборудования. Этот документ не вводит новые требования или не представляет официальную программу Windows. Он предназначен в качестве руководства за пределами требований к сертификации, чтобы помочь в создании эффективных и безопасных процессов для создания ключей безопасной загрузки и управления ими. Это важно, так как безопасная загрузка UEFI основана на использовании инфраструктуры открытых ключей для проверки подлинности кода перед выполнением.

Ожидается, что читатель будет знать основы UEFI, базовое понимание безопасной загрузки (глава 27 спецификации UEFI) и модель безопасности PKI.

Требования, тесты и средства проверки безопасной загрузки на Windows доступны в Windows комплекте сертификации оборудования (HCK). Однако эти ресурсы HCK не рассматривают создание ключей и управление ими для Windows развертываний. В этом документе рассматривается управление ключами в качестве ресурса, помогающего партнерам с помощью развертывания ключей, используемых встроенного ПО. Оно не предназначено как описательное руководство и не включает новые требования.

На этой странице:

  • 1. Безопасная загрузка, Windows и управление ключами содержат сведения о безопасности загрузки и архитектуре PKI, так как она применяется к Windows и безопасной загрузке.
  • 2. Решения по управлению ключами предназначены для того, чтобы помочь партнерам разработать решение по управлению ключами и проектированию, которое соответствует их потребностям.
  • 3. Сводка и ресурсы включают в себя добавления, контрольные списки, API и другие ссылки.

Этот документ служит отправной точкой в разработке компьютеров, готовых к работе с клиентами, средств развертывания фабрики и основных рекомендаций по обеспечению безопасности.

1. Безопасная загрузка, Windows и управление ключами

Спецификация UEFI (унифицированный интерфейс расширяемого встроенного ПО) определяет процесс проверки подлинности выполнения встроенного ПО, называемый безопасной загрузкой. В качестве отраслевого стандарта безопасная загрузка определяет, как встроенное ПО платформы управляет сертификатами, проверяет подлинность встроенного ПО и как интерфейсы операционной системы с помощью этого процесса.

Безопасная загрузка основана на процессе инфраструктуры открытых ключей (PKI) для проверки подлинности модулей до их выполнения. Эти модули могут включать драйверы встроенного ПО, параметры ROM, драйверы UEFI на диске, приложения UEFI или загрузчики UEFI. С помощью проверки подлинности образа перед выполнением безопасная загрузка снижает риск атак вредоносных программ перед загрузкой, таких как rootkits. Корпорация Майкрософт использует безопасную загрузку UEFI в Windows 8 и более поздних версий в рамках своей архитектуры безопасности доверенной загрузки для повышения безопасности платформы для наших клиентов. Безопасная загрузка требуется для Windows 8 и более поздних клиентских компьютеров, а также для Windows Server 2016, как определено в требованиях к совместимости оборудования Windows.

Процесс безопасной загрузки работает следующим образом, как показано на рис. 1.

  1. Компоненты загрузки встроенного ПО: Встроенное ПО проверяет, является ли загрузчик ОС доверенным (Windows или другой доверенной операционной системой.)
  2. Windows загрузочные компоненты: BootMgr, WinLoad, Windows запуск ядра. Windows загрузочные компоненты проверяют подпись для каждого компонента. Все ненадежные компоненты не будут загружены и вместо этого активируют исправление безопасной загрузки.
    • Инициализация антивирусной программы и антивредоносного ПО: Это программное обеспечение проверяется на наличие специальной подписи, выданной корпорацией Майкрософт, которая проверяет, является ли он доверенным загрузочным драйвером и запускается на ранних этапах процесса загрузки.
    • Инициализация критического драйвера для загрузки: Подписи для всех драйверов, критически важных для загрузки, проверяются как часть проверки безопасной загрузки в WinLoad.
  3. Дополнительная инициализация ОС
  4. Экран входа в систему Windows

Рис. 1. Архитектура доверенной загрузки Windows

Реализация безопасной загрузки UEFI является частью доверенной архитектуры загрузки Майкрософт, представленной в Windows 8.1. Растущая тенденция в эволюции эксплойтов вредоносных программ нацелена на путь загрузки в качестве предпочтительного вектора атаки. Этот класс атак был трудно защитить, так как антивредоносные продукты могут быть отключены вредоносным программным обеспечением, которое предотвращает их загрузку полностью. Благодаря Windows доверенной архитектуре загрузки и его созданию корня доверия с безопасной загрузкой клиент защищен от вредоносного кода, выполняемого по пути загрузки, гарантируя, что только подписанный сертифицированный «известный хороший» код и загрузчики могут выполняться до загрузки самой операционной системы.

1.1 Public-Key Инфраструктура (PKI) и безопасная загрузка

PKI устанавливает подлинность и доверие к системе. Безопасная загрузка использует PKI для двух общих целей:

  1. Во время загрузки определите, являются ли модули ранней загрузки доверенными для выполнения.
  2. Для проверки подлинности запросов на обслуживание включают изменение баз данных безопасной загрузки и обновлений встроенного ПО платформы.

PKI состоит из следующих элементов:

  • Центр сертификации (ЦС), который выдает цифровые сертификаты.
  • Центр регистрации, который проверяет удостоверение пользователей, запрашивающих сертификат из ЦС.
  • Центральный каталог для хранения и индексирования ключей.
  • Система управления сертификатами.

1.2. Шифрование с открытым ключом

Шифрование с открытым ключом использует пару математически связанных криптографических ключей, известных как открытый и закрытый ключи. Если вы знаете один из ключей, вы не можете легко вычислить то, что другое. Если один ключ используется для шифрования информации, то только соответствующий ключ может расшифровать эти сведения. Для безопасной загрузки закрытый ключ используется для цифровой подписи кода, а открытый ключ используется для проверки подписи этого кода для подтверждения его подлинности. Если закрытый ключ скомпрометирован, системы с соответствующими открытыми ключами больше не защищены. Это может привести к атакам с загрузочным комплектом и повредит репутацию сущности, ответственной за обеспечение безопасности закрытого ключа.

В системе открытого ключа безопасной загрузки имеется следующее:

  • 1.2.1 Шифрование RSA 2048

    RSA-2048 — это асимметричный алгоритм шифрования. Пространство, необходимое для хранения модуля RSA-2048 в необработанной форме, составляет 2048 бит.

  • 1.2.2 Самозаверяющий сертификат

    Сертификат, подписанный закрытым ключом, который соответствует открытому ключу сертификата, называется самозаверяющим сертификатом. Сертификаты корневого центра сертификации (ЦС) относятся к этой категории.

  • 1.2.3 Центр сертификации

    Центр сертификации (ЦС) выдает подписанные сертификаты, которые подтверждают удостоверение субъекта сертификата и привязывают это удостоверение к открытому ключу, содержавшемся в сертификате. ЦС подписывает сертификат с помощью закрытого ключа. Он выдает соответствующий открытый ключ всем заинтересованным сторонам в самозаверяющем корневом сертификате ЦС.

    В безопасной загрузке центры сертификации (ЦС) включают изготовителя оборудования (или их делегатов) и Майкрософт. ЦС создают пары ключей, которые образуют корень доверия, а затем используют закрытые ключи для подписывания допустимых операций, таких как разрешенные модули EFI ранней загрузки и запросы на обслуживание встроенного ПО. Соответствующие открытые ключи поставляются во встроенное ПО UEFI на компьютерах с поддержкой безопасной загрузки и используются для проверки этих операций.

    (Дополнительные сведения об использовании центров сертификации и обмена ключами легко доступны в Интернете, что относится к модели безопасной загрузки. )

  • 1.2.4 Открытый ключ

    Открытый ключ платформы поставляется на компьютере и доступен или «общедоступный». В этом документе мы будем использовать суффикс pub для обозначения открытого ключа. Например, PKpub обозначает общедоступную половину PK.

  • 1.2.5 Закрытый ключ

    Чтобы PKI работал с закрытым ключом, необходимо безопасно управлять. Он должен быть доступен для нескольких лиц с высоким уровнем доверия в организации и расположен в физическо безопасном расположении с строгими ограничениями политики доступа. В этом документе мы будем использовать суффикс «priv» для обозначения закрытого ключа. Например, PKpriv указывает частную половину PK.

  • 1.2.6 Сертификаты

    Основное использование цифровых сертификатов заключается в проверке происхождения подписанных данных, таких как двоичные файлы и т. д. Обычно сертификаты используются для защиты сообщений в Интернете с помощью протокола TLS или SSL. Проверка подписанных данных с помощью сертификата позволяет получателю узнать источник данных и, если они были изменены при передаче.

    Цифровой сертификат в целом содержит на высоком уровне различающееся имя (DN), открытый ключ и подпись. DN идентифицирует сущность ( например, компанию), которая содержит закрытый ключ, соответствующий открытому ключу сертификата. Подписывание сертификата с помощью закрытого ключа и помещение подписи в сертификат связывает закрытый ключ с открытым ключом.

    Сертификаты могут содержать другие типы данных. Например, сертификат X.509 включает формат сертификата, серийный номер сертификата, алгоритм сигнатуры сертификата, имя ЦС, которым был издан сертификат, имя и открытый ключ сущности, запрашивающей сертификат, а также сигнатура центра сертификации.

  • 1.2.7. Сертификаты цепочки

    Из: цепочки сертификатов:

    Рис. 2. Цепочка трех сертификатов

    Сертификаты пользователей часто подписываются другим закрытым ключом, например закрытым ключом ЦС. Это представляет собой цепочку двух сертификатов. Проверка подлинности сертификата пользователя включает в себя проверку его подписи, для которой требуется открытый ключ ЦС из сертификата. Но перед использованием открытого ключа ЦС необходимо проверить заключенный сертификат ЦС. Так как сертификат ЦС самозаверяется, открытый ключ ЦС используется для проверки сертификата.

    Сертификат пользователя не должен быть подписан закрытым ключом корневого ЦС. Он может быть подписан закрытым ключом посредника, сертификат которого подписан закрытым ключом ЦС. Это экземпляр цепочки трех сертификатов: сертификат пользователя, промежуточный сертификат и сертификат ЦС. Но несколько посредников могут быть частью цепочки, поэтому цепочки сертификатов могут иметь любую длину.

1.3. Требования к PKI безопасной загрузки

Определяемый UEFI корень доверия состоит из ключа платформы и всех ключей, которые oem или ODM включают в ядро встроенного ПО. Безопасность pre-UEFI и корень доверия не рассматриваются процессом безопасной загрузки UEFI, а не национальным институтом стандартов и технологий (NIST) и публикациями доверенной вычислительной группы (TCG), упоминаемыми в этом документе.

  • 1.3.1. Требования к безопасной загрузке

    Для реализации безопасной загрузки необходимо учитывать следующие параметры:

    • Требования клиента
    • требования к совместимости оборудования Windows
    • Требования к поколению ключей и управлению.

    Вам потребуется выбрать оборудование для управления ключами безопасной загрузки, такими как аппаратные модули безопасности (HSM), рассмотреть особые требования к компьютерам для отправки в правительства и другие учреждения и, наконец, процесс создания, заполнения и управления жизненным циклом различных ключей безопасной загрузки.

  • 1.3.2. Ключи, связанные с безопасной загрузкой

    Ниже приведены ключи, используемые для безопасной загрузки:

    Рис. 3. Ключи, связанные с безопасной загрузкой

    На рисунке 3 выше представлены сигнатуры и ключи на компьютере с безопасной загрузкой. Платформа защищена с помощью ключа платформы, который изготовитель оборудования устанавливает во время производства. Другие ключи используются безопасной загрузкой для защиты доступа к базам данных, которые хранят ключи для разрешения или запрета выполнения встроенного ПО.

    Авторизованная база данных (db) содержит открытые ключи и сертификаты, представляющие доверенные компоненты встроенного ПО и загрузчики операционной системы. База данных запрещенной подписи (dbx) содержит хэши вредоносных и уязвимых компонентов, а также скомпрометированные ключи и сертификаты и блокирует выполнение этих вредоносных компонентов. Сила этих политик основана на использовании встроенного ПО подписывания с помощью Authenticode и инфраструктуры открытых ключей (PKI). PKI — это хорошо установленный процесс создания, управления и отзыва сертификатов, которые устанавливают доверие во время обмена информацией. PKI находится в основе модели безопасности для безопасной загрузки.

    Ниже приведены дополнительные сведения об этих ключах.

  • 1.3.3 Ключ платформы (PK)

    Согласно разделу 27. 5.1 UEFI 2.3.1 Errata C, ключ платформы устанавливает отношение доверия между владельцем платформы и встроенного ПО платформы. Владелец платформы регистрирует общедоступную половину ключа (PKpub) в встроенное ПО платформы, как указано в разделе 7.2.1 UEFI 2.3.1 Errata C. Этот шаг перемещает платформу в пользовательский режим из режима установки. Корпорация Майкрософт рекомендует использовать ключ EFI_CERT_X509_GUID платформы с алгоритмом RSA с открытым ключом, длиной открытого ключа 2048 бит и алгоритмом подписи sha256RSA. Владелец платформы может использовать тип EFI_CERT_RSA2048_GUID , если дисковое пространство является проблемой. Открытые ключи используются для проверки подписей, как описано выше в этом документе. Владелец платформы может позже использовать частную половину ключа (PKpriv):

    • Чтобы изменить владение платформой, необходимо поместить встроенное ПО в определенный режим установки UEFI, который отключает безопасную загрузку. Вернуться к режиму установки только в том случае, если это необходимо сделать во время производства.
    • Для настольных компьютеров изготовители оборудования управляют PK и необходимыми PKI,связанными с ним. Для серверов изготовители оборудования по умолчанию управляют PK и необходимыми PKI. Enterprise клиенты или клиенты сервера также могут настроить PK, заменив доверенный oem-доверенный PK настраиваемым PK, чтобы заблокировать доверие к встроенному ПО безопасной загрузки UEFI самому себе.

    1.3.3.1. Регистрация или обновление ключа Exchange ключа (KEK), регистрируя ключ платформы

    Владелец платформы регистрирует общедоступную половину ключа платформы (PKpub), вызвав UEFI Boot Service SetVariable(), как указано в разделе 7.2.1 спецификации UEFI Spec 2.3.1 errata C, и сбросив платформу. Если платформа находится в режиме установки, новый PKpub должен быть подписан с его аналогом PKpriv . Если платформа находится в пользовательском режиме, новый PKpub должен быть подписан с помощью текущего PKpriv. Если PK имеет тип EFI_CERT_X509_GUID, он должен быть подписан непосредственным PKpriv, а не закрытым ключом любого сертификата, выданного в PK.

    1.3.3.2 Очистка ключа платформы

    Владелец платформы очищает общедоступную половину ключа платформы (PKpub), вызвав UEFI Boot Ser’vice SetVariable() с переменным размером 0 и сбросив платформу. Если платформа находится в режиме установки, пустая переменная не требует проверки подлинности. Если платформа находится в пользовательском режиме, пустая переменная должна быть подписана с помощью текущего PKpriv; Дополнительные сведения см. в разделе 7.2(Службы переменных) в спецификации UEFI 2.3.1 Errata C. Настоятельно рекомендуется, чтобы рабочий PKpriv никогда не использовался для подписывания пакета для сброса платформы, так как это позволяет отключить безопасную загрузку программным способом. Это в первую очередь сценарий предварительного тестирования.

    Ключ платформы также можно очистить с помощью безопасного метода для конкретной платформы. В этом случае режим установки глобальной переменной также должен быть обновлен до 1.

    Рис. 4. Схема состояния ключа платформы

    1.3.3.3 Поколение PK

    Согласно рекомендациям UEFI открытый ключ должен храниться в ненезависимом хранилище, которое является несанкционированным и удаленным на компьютере. Закрытые ключи остаются безопасными в Partner или в Office безопасности OEM, и только открытый ключ загружается на платформу. Дополнительные сведения см. в разделах 2.2.1 и 2.3.

    Количество создаваемых PK осуществляется по усмотрению владельца платформы (OEM). Эти ключи могут быть следующими:

    1. По одному на компьютер. Наличие одного уникального ключа для каждого устройства. Это может потребоваться для государственных учреждений, финансовых учреждений или других клиентов сервера с высоким уровнем безопасности. Для создания закрытых и открытых ключей для большого количества компьютеров может потребоваться дополнительное хранилище и криптообработка. Это усложняет сопоставление устройств с соответствующими PK при отправке обновлений встроенного ПО на устройства в будущем. Существует несколько различных решений HSM для управления большим количеством ключей на основе поставщика HSM. Дополнительные сведения см. в статье «Создание ключей безопасной загрузки с помощью HSM».

    2. По одному на модель. Наличие одного ключа на модель ПК. Компромисс здесь заключается в том, что если ключ скомпрометирован все компьютеры в одной модели будет уязвимым. Это рекомендуется корпорацией Майкрософт для настольных компьютеров.

    3. По одному на линию продукта. Если ключ скомпрометирован вся линейка продуктов будет уязвима.

    4. По одному на изготовителя оборудования. Хотя это может быть проще всего настроить, если ключ скомпрометирован, каждый компьютер, который вы производите, будет уязвим. Чтобы ускорить работу на заводской площадке, PK и потенциально другие ключи могут быть предварительно созданы и сохранены в безопасном месте. Их можно будет извлечь и использовать в строке сборки. Дополнительные сведения см. в разделах 2 и 3.

    1.3.3.4 Повторное создание ключей PK

    Это может потребоваться, если PK скомпрометирован или как требование клиента, что по соображениям безопасности может принять решение о регистрации собственных PK.

    Повторное создание ключей можно выполнить для модели или компьютера на основе выбранного метода для создания PK. Все новые компьютеры будут подписаны с помощью только что созданного PK.

    Для обновления PK на рабочем компьютере потребуется либо изменение переменной, подписанное существующим PK, заменяющим пакет обновления PK, либо пакет обновления встроенного ПО. Изготовитель оборудования также может создать пакет SetVariable() и распространить его с помощью простого приложения, например PowerShell, который просто изменяет PK. Пакет обновления встроенного ПО будет подписан ключом безопасного обновления встроенного ПО и проверен встроенного ПО. При обновлении PK необходимо выполнить обновление встроенного ПО, чтобы обеспечить сохранение KEK, db и dbx.

    На всех компьютерах рекомендуется не использовать PK в качестве ключа безопасного обновления встроенного ПО. Если PKpriv скомпрометирован, то это ключ безопасного обновления встроенного ПО (так как они совпадают). В этом случае обновление для регистрации нового PKpub может оказаться невозможным, так как процесс обновления также был скомпрометирован.

    На пк с SOCs есть еще одна причина не использовать PK в качестве ключа безопасного обновления встроенного ПО. Это связано с тем, что ключ безопасного обновления встроенного ПО постоянно сжигается на компьютерах, которые соответствуют требованиям к сертификации оборудования Windows.

  • 1.3.4 Ключ Exchange ключ (KEK) Ключ обмена ключами устанавливает отношение доверия между операционной системой и встроенного ПО платформы. Каждая операционная система (и, возможно, каждое стороннее приложение, необходимое для взаимодействия с встроенного ПО платформы), регистрирует открытый ключ (KEKpub) в встроенное ПО платформы.

    1.3.4.1. Регистрация ключей Exchange

    Ключи обмена ключами хранятся в базе данных подписи, как описано в базах данных подписей 1.4 (Db и Dbx)). База данных сигнатуры хранится в виде переменной UEFI, прошедшей проверку подлинности.

    Владелец платформы регистрирует ключи обмена ключами, вызывая Метод SetVariable(), как указано в разделе 7.2 (Службы переменных) в спецификации UEFI 2.3.1 Errata C. с набором EFI_VARIABLE_APPEND_WRITE атрибутов и параметром Data, содержащими новые ключи, или считывая базу данных с помощью GetVariable(), добавляя новый ключ обмена ключами к существующим ключам, а затем записывая базу данных с помощью SetVariable(), как указано в разделе 7.2 (Службы переменных) в спецификации UEFI . 2.3.1 Errata C без набора атрибутов EFI_VARIABLE_APPEND_WRITE .

    Если платформа находится в режиме установки, переменная базы данных сигнатуры не должна быть подписана, но параметры вызова SetVariable() по-прежнему должны быть подготовлены к проверке подлинности переменных в разделе 7. 2.1. Если платформа находится в пользовательском режиме, база данных подписи должна быть подписана с помощью текущего PKpriv

    1.3.4.2 Очистка KEK

    Можно «очистить» (удалить) KEK. Обратите внимание, что если PK не установлен на платформе, запросы clear не обязательно подписываются. Если они подписаны, для очистки KEK требуется пакет с подписью PK, а для очистки db или dbx требуется пакет, подписанный любой сущностью, присутствующих в KEK.

    1.3.4.3 Microsoft KEK

    Microsoft KEK требуется для включения отзыва недопустимых образов путем обновления dbx и, возможно, для обновления базы данных для подготовки к новым Windows подписанным образам.

    Включите microsoft Corporation KEK CA 2011 в базу данных KEK со следующими значениями:

    • Хэш сертификата SHA-1: 31 59 0b fd 89 c9 d7 4e d0 87 df ac 66 33 4b 39 31 25 4b 30.
    • GUID SignatureOwner: {77fa9abd-0359-4d32-bd60-28f4e78f784b}.
    • Корпорация Майкрософт предоставит сертификат партнерам, и его можно добавить как подпись типа или EFI_CERT_RSA2048_GUID как EFI_CERT_X509_GUID подпись типа.

    Сертификат Microsoft KEK можно скачать с: https://go.microsoft.com/fwlink/?LinkId=321185.

    1.3.4.4 KEKDefault Поставщик платформы может предоставить набор ключей Exchange по умолчанию в переменной KEKDefault. Дополнительные сведения см. в разделе спецификации UEFI 27.3.3.

    1.3.4.5 OEM/3-й сторонней KEK — добавление нескольких KEK

    Владельцы клиентов и платформ не должны иметь собственный KEK. На компьютерах, отличных от Windows RT, изготовитель оборудования может иметь дополнительные пакеты KEK, чтобы разрешить дополнительный изготовитель оборудования или доверенный сторонний контроль над базой данных и dbx.

  • 1.3.5. Ключ обновления встроенного ПО безопасной загрузки Ключ обновления безопасного встроенного ПО используется для подписывания встроенного ПО, когда его необходимо обновить. Этот ключ должен иметь минимальную надежность ключа RSA-2048. Все обновления встроенного ПО должны быть подписаны изготовителем оборудования, доверенным делегатом, например ODM или IBV (независимым поставщиком BIOS), или службой безопасной подписи.

    В соответствии с публикацией NIST 800-147 Field Firmware Update должна поддерживать все элементы рекомендаций:

    Любое обновление в хранилище флэш-памяти встроенного ПО должно быть подписано создателем.

    Встроенное ПО должно проверять подпись обновления.

  • 1.3.6. Создание ключей для безопасного обновления встроенного ПО

    Тот же ключ будет использоваться для подписи всех обновлений встроенного ПО, так как общедоступная половина будет находиться на компьютере. Вы также можете подписать обновление встроенного ПО с помощью ключа, который цепочек для ключа обновления встроенного ПО secure.

    На пк может быть один ключ, например PK, один на модель или один на линию продукта. Если на компьютере имеется один ключ, который будет означать, что необходимо создать миллионы уникальных пакетов обновления. Учитывайте доступность ресурсов, какой метод будет работать для вас. Наличие ключа для каждой модели или линии продукта является хорошим компромиссом.

    Открытый ключ обновления безопасного встроенного ПО (или его хэш для экономии места) будет храниться в защищенном хранилище на платформе — обычно защищенной флэш-памяти (ПК) или однократных программируемых швов (SOC).

    Если хранится только хэш этого ключа (для экономии места), обновление встроенного ПО будет включать ключ, а первый этап процесса обновления будет проверять, соответствует ли открытый ключ в обновлении хэшу, хранящейся на платформе.

    Капсулы — это средство, с помощью которого ОС может передавать данные в среду UEFI через перезагрузку. Windows вызывает UEFI UpdateCapsule() для доставки обновлений встроенного ПО системы и ПК. Во время загрузки перед вызовом ExitBootServices(),Windows будет передавать любые новые обновления встроенного ПО, найденные в хранилище драйверов Windows в UpdateCapsule(). Встроенное ПО системы UEFI может использовать этот процесс для обновления встроенного ПО системы и КОМПЬЮТЕРА. Используя эту Windows встроенное ПО, изготовитель оборудования может использовать один и тот же общий формат и процесс обновления встроенного ПО как для системы, так и для встроенного ПО компьютера. Встроенное ПО должно реализовать таблицу ACPI ESRT для поддержки UEFI UpdateCapsule() для Windows.

    Дополнительные сведения о реализации поддержки платформы обновления встроенного ПО UEFI Windows см. в следующей документации: Windows платформе обновления встроенного ПО UEFI.

    Капсулы обновления могут находиться в памяти или на диске. Windows поддерживается в обновлениях памяти.

    1.3.6.1 Капсула (капсула в памяти)

    Ниже приведен поток событий для капсулы обновления в памяти для работы.

    1. Капсула помещается в память приложением в ОС
    2. Событие почтового ящика настроено для информирования BIOS об ожидающих обновлении
    3. Перезагрузка компьютера, проверка образа капсулы и обновления выполняется BIOS.
  • 1.3.7 Рабочий процесс типичного обновления встроенного ПО

    1. Скачайте и установите драйвер встроенного ПО.
    2. Перезагрузите систему.
    3. Загрузчик ОС обнаруживает и проверяет встроенное ПО.
    4. Загрузчик ОС передает двоичный BLOB-объект в UEFI.
    5. UEFI выполняет обновление встроенного ПО (этот процесс принадлежит поставщику кремния).
    6. Обнаружение загрузчика ОС успешно завершено.
    7. ОС завершает загрузку.

1.4. Базы данных сигнатур (база данных и dbx)

  • 1.4.1 Разрешенная база данных подписи (db)

    Содержимое базы данных EFI _IMAGE_SECURITY_DATABASE управляет доверенными изображениями при проверке загруженных образов. База данных может содержать несколько сертификатов, ключей и хэшей для идентификации разрешенных образов.

    Microsoft Windows Production PCA 2011 с хэшом 58 0a 6f 4c c4 e4 b6 69 b9 eb dc 1b 2b 3e 08 7b 80 d0 67 8d сертификатов SHA-1 должен быть включен в базу данных, чтобы разрешить загрузку загрузчика ОС Windows. Windows ЦС можно скачать здесь: https://go.microsoft.com/fwlink/p/?linkid=321192

    На компьютерах, отличных от Windows RT, изготовитель оборудования должен рассмотреть возможность включения microsoft Corporation UEFI CA 2011 с хэшом 46 de f6 3b 5c e6 1c f8 ba 0d e2 e6 63 9c 10 19 d0 ed 14 f3сертификата SHA-1. Подписывание драйверов и приложений UEFI с помощью этого сертификата позволит драйверам и приложениям UEFI от сторонних поставщиков работать на компьютере, не требуя дополнительных действий для пользователя. ЦС UEFI можно скачать здесь: https://go.microsoft.com/fwlink/p/?linkid=321194

    На компьютерах, отличных от Windows RT, изготовитель оборудования может также содержать дополнительные элементы в базе данных, чтобы разрешить другим операционным системам или драйверам UEFI, утвержденным OEM, но эти образы не должны скомпрометировать безопасность компьютера каким-либо образом.

  • 1.4.2 DbDefault: поставщик платформы может предоставить набор записей по умолчанию для базы данных подписей в переменной dbDefault. Дополнительные сведения см. в разделе 27.5.3 в спецификации UEFI.

  • 1.4.3 Запрещенная база данных подписи (dbx)

    Содержимое EFI_IMAGE_SIGNATURE_DATABASE1 dbx должно проверяться при проверке образов перед проверкой базы данных, а все совпадения должны препятствовать выполнению образа. База данных может содержать несколько сертификатов, ключей и хэшей, чтобы определить запрещенные образы. Состояние Windows требования к сертификации оборудования, которое должно присутствовать в dbx, поэтому любое фиктивное значение, например хэш SHA-256, может использоваться в качестве безопасного 0заполнителя до тех пор, пока корпорация Майкрософт не начнет доставку обновлений dbx. Щелкните здесь , чтобы скачать последний список отзыва UEFI от корпорации Майкрософт.

  • 1.4.4 DbxDefault: поставщик платформы может предоставить набор записей по умолчанию для базы данных подписей в переменной dbxDefault. Дополнительные сведения см. в разделе 27.5.3 в спецификации UEFI.

1.5 Ключи, необходимые для безопасной загрузки на всех компьютерах

PKpub

PK

OEM

Только PK – 1. Должен быть RSA 2048 или сильнее.

Microsoft Corporation KEK CA 2011

KEK

пиринг Майкрософт.

Разрешает обновления для базы данных и dbx:

https://go.microsoft.com/fwlink/p/?linkid=321185.

Microsoft Windows Production CA 2011

db

пиринг Майкрософт.

Этот ЦС в базе данных подписи (db) позволяет Windows загружать: https://go.microsoft.com/fwlink/?LinkId=321192.

База данных запрещенной подписи

Dbx

пиринг Майкрософт.

Список известных недопустимых ключей, ЦС или образов от Майкрософт

Безопасный ключ обновления встроенного ПО

OEM

Рекомендуется, чтобы этот ключ отличались от PK

Таблица 1. Ключи и база данных, необходимые для безопасной загрузки

2. Решения по управлению ключами

Ниже приведены некоторые метрики, используемые для сравнения.

2.1 Используемые метрики

Следующие метрики помогут выбрать компьютер HSM на основе требований спецификации UEFI 2.3.1 Errata C и ваших потребностей.

  • Поддерживает ли она RSA 2048 или более позднюю версию? — Спецификация UEFI 2.3.1 Errata C рекомендует использовать ключи rsA-2048 или более поздней версии.
  • Есть ли у него возможность создавать ключи и подписывать их?
  • Сколько ключей можно хранить? Хранит ли он ключи на HSM или подключенном сервере?
  • Метод проверки подлинности для получения ключа.
    Некоторые компьютеры поддерживают несколько сущностей проверки подлинности для получения ключа.
Цены
  • Какова цена? HSM может варьироваться по цене от $ 1500 до $ 70000 в зависимости от доступных функций.
Производственная среда
  • Скорость работы на заводской площадке. Криптопроцессоры могут ускорить создание ключей и доступ.
  • Простота настройки, развертывания, обслуживания.
  • Требуется набор навыков и обучение?
  • Сетевой доступ для резервного копирования и высокого уровня доступности
Стандарты и соответствие
  • Какой уровень соответствия ТРЕБОВАНИЯМ FIPS он имеет? Устойчива ли она к незаконному изменению?
  • Поддержка других стандартов, например API шифрования MS.
  • Соответствует ли оно требованиям правительства и других учреждений?
Надежность и аварийное восстановление
  • Разрешает ли она резервное копирование ключей?

    Резервные копии можно хранить как на месте в безопасном расположении, так и в физическом расположении, отличном от физического расположения компьютера ЦС и HSM и /или в расположении вне сайта.

  • Разрешает ли она высокий уровень доступности для аварийного восстановления?

2.2. Параметры управления ключами

  • 2. 2.1 Аппаратный модуль безопасности (HSM)

    Основываясь на приведенных выше критериях, это, вероятно, наиболее подходящее и безопасное решение. Большинство устройств HSM имеют соответствие FIPS 140-2 уровня 3. Соответствие FIPS 140-2 уровня 3 строго в отношении проверки подлинности и требует, чтобы ключи не экспортировались или импортированы из HSM.

    Они поддерживают несколько способов хранения ключей. Они могут храниться локально на самом устройстве HSM или на сервере, подключенном к HSM. На сервере ключи шифруются и хранятся и предпочтительнее для решений, для которых требуется хранить много ключей.

    Политика безопасности криптографического модуля должна указывать физическую политику безопасности, включая физические механизмы безопасности, реализованные в криптографических модулях, таких как, печать, блокировки, реагирование на незаконное изменение и переключатели обнуления, а также сигнализации. Он также позволяет указать действия, необходимые операторам, чтобы обеспечить физическую безопасность, такую как периодическая проверка запечаток, очевидных от незаконного изменения, или тестирование параметров реагирования на незаконное изменение и нулирование коммутаторов.

    • 2.2.1.1 Сетевой модуль HSM

      Это решение является лучшим в своем классе с точки зрения безопасности, соблюдения стандартов, создания ключей, хранения и извлечения. Большинство этих компьютеров поддерживают высокий уровень доступности и имеют возможность резервного копирования ключей.

      Стоимость этих продуктов может быть в десятках тысяч долларов на основе дополнительных услуг, которые они предлагают.

    • 2.2.1.2 Автономный модуль HSM

      Они отлично работают с автономными серверами. Можно использовать Microsoft CAPI и CNG или любой другой безопасный API, поддерживаемый HSM. Эти модули HSM поставляются в различных форм-факторах, поддерживающих usb-автобусы, PCIe и PCMCIA.

      При необходимости они поддерживают резервное копирование ключей и высокий уровень доступности.

  • 2.2.2 Поставщики пользовательских решений

    Криптография с открытым ключом может быть сложной задачей и требует понимания концепций шифрования, которые могут быть новыми. Существуют настраиваемые поставщики решений, которые могут помочь в получении безопасной загрузки для работы в производственной среде.

    Существуют разновидности пользовательских решений, предлагаемых поставщиками BIOS, компаниями HSM и консультационными компаниями PKI для получения безопасной загрузки PKI, работающих в производственной среде.

    Ниже перечислены некоторые поставщики.

    • Поставщики BIOS версии 2.2.2.1

      Существуют некоторые поставщики BIOS, которые могут предоставлять пользовательские решения.

    • 2.2.2.2 Поставщики HSM

      Некоторые поставщики HSM могут предоставлять настраиваемые консультации. Дополнительные сведения см. в разделе «Создание и подписывание безопасного ключа загрузки с помощью HSM (пример)».

  • 2.2.3 Доверенный платформенный модуль (TPM)

    Доверенный платформенный модуль (TPM) — это аппаратная микросхема на материнской плате, в которой хранятся криптографические ключи, используемые для шифрования. Многие компьютеры включают доверенный платформенный модуль, но если компьютер не включает его, его невозможно добавить. После включения доверенный платформенный модуль может защитить все продукты шифрования дисков, такие как возможности Microsoft BitLocker. Он сохраняет жесткие диски заблокированными или запечатанными, пока компьютер не завершит процесс проверки системы или проверки подлинности.

    Доверенный платформенный модуль может создавать, хранить и защищать ключи, используемые в процессе шифрования и расшифровки.

    Недостатки TPM в том, что они могут не иметь быстрых криптопроцессоров для ускорения обработки в производственной среде. Они также не подходят для хранения большого количества ключей. Резервное копирование и высокий уровень доступности и соответствие стандартам FIPS 140-2 уровня 3 могут быть недоступны.

  • 2.2.4 Смарт-карты

    Смарт-карта может создавать и хранить ключи. Они используют некоторые функции, которые поддерживают HSM, такие как проверка подлинности и проверка подлинности, но они не включают много хранилища ключей или резервного копирования. Они требуют вмешательства вручную и могут не подходить для автоматизации и использования в рабочей среде, так как производительность может быть низкой.

    Недостатки смарт-карт аналогичны TPM. Они могут не иметь быстрых криптопроцессоров для ускорения обработки в производственной среде. Они также не подходят для хранения большого количества ключей. Резервное копирование и высокий уровень доступности и соответствие стандартам FIPS 140-2 уровня 3 могут быть недоступны.

  • 2.2.5 Расширенный сертификат проверки

    Сертификаты EV — это сертификаты с высоким уровнем гарантии, закрытые ключи которых хранятся в аппаратных маркерах. Это помогает установить более надежные методики управления ключами. Сертификаты EV имеют те же недостатки, что и смарт-карты.

  • 2.2.6 Подходы, ориентированные на программное обеспечение (НЕ РЕКОМЕНДУЕТСЯ)

    Используйте API шифрования для управления ключами. Это может включать хранение ключа в контейнере ключей на зашифрованном жестком диске и возможное для дополнительной песочницы и обеспечения безопасности виртуальной машины.

    Эти решения не так безопасны, как использование HSM и предоставляют более высокий вектор атак.

    2.2.6.1 Makecert (НЕ РЕКОМЕНДУЕТСЯ)

    Makecert — это средство Майкрософт, которое можно использовать следующим образом для создания ключей. Чтобы убедиться, что поверхность атаки сведена к минимуму, может потребоваться «разрыв воздуха» пк. Компьютер с PKpriv не должен быть подключен к сети. Он должен находиться в безопасном расположении и в идеале должен по крайней мере использовать средство чтения смарт-карт, если не реальное устройство HSM.

    makecert -pe -ss MY -$ individual -n "CN=your name here" -len 2048 -r
    

    Дополнительные сведения см. в статье о средстве создания сертификатов (Makecert.exe).

    Это решение не рекомендуется.

2.3. Создание и хранение ключей HSM для ключей безопасной загрузки

  • 2.3.1 Хранение закрытых ключей

    Требование к пространству для каждого ключа RSA-2048 составляет 2048 бит. Фактическое расположение хранилища ключей зависит от выбранного решения. HSM — это хороший способ хранения ключей.

    Физическое расположение компьютеров на заводском этаже должно быть защищенной областью с ограниченным доступом пользователей, как безопасный клетки.

    В зависимости от ваших требований эти ключи также могут храниться в разном географическом расположении или создавать резервные копии в другом расположении.

    Требования к повторному ключу для этих ключей могут отличаться в зависимости от клиента (см. руководство по повторному созданию ключей в приложении A для федерального центра сертификации моста).

    Это можно сделать один раз в год. Возможно, вам потребуется доступ к этим ключам в течение 30 лет (в зависимости от требований повторного создания ключей и т. д.).

  • 2.3.2. Получение закрытых ключей

    Ключи могут быть получены по многим причинам.

    1. PK может потребоваться получить, чтобы выдать обновленный PK из-за того, что он скомпрометирован или соблюдать правительственные /другие правила агентства.
    2. KEKpri будет использоваться для обновления базы данных и dbx.
    3. Ключ безопасного обновления встроенного ПО —pri будет использоваться для подписания новых обновлений.
  • Проверка подлинности 2.3.3

    Согласно проверке подлинности FIPS 140-2 зависит от уровня доступа.

    Уровень 2

    Для уровня безопасности 2 требуется как минимум проверка подлинности на основе ролей, при которой криптографический модуль проверяет подлинность оператора для выполнения определенной роли и выполнения соответствующего набора служб.

    Уровень 3

    Уровень безопасности 3 требует механизмов проверки подлинности на основе удостоверений, повышая безопасность, предоставляемую механизмами проверки подлинности на основе ролей, указанными для уровня безопасности 2. Криптографический модуль проверяет подлинность удостоверения оператора и проверяет, разрешен ли определенный оператор принимать определенную роль и выполнять соответствующий набор служб.

    Компьютеры, такие как HSM, поддерживают уровень безопасности 3, который требует проверки подлинности на основе удостоверений » k проверки подлинности m». Это означает, что сущности k получают доступ к HSM с маркером, но в заданной точке по крайней мере k из маркеров m должны присутствовать для проверки подлинности, чтобы получить доступ к закрытым ключам из HSM.

    Например, для доступа к HSM может потребоваться 3 из 5 маркеров. Эти члены могут быть сотрудниками службы безопасности, авторизатором транзакций и (или) членами исполнительного управления.

    Токены HSM

    Вы можете иметь политику на HSM, которая требует наличия маркера:

    Рекомендуется использовать сочетание маркеров и пароля маркера.

2.4 Безопасная загрузка и подписывание сторонних поставщиков

  • 2.4.1 Подписывание драйвера UEFI

    Драйверы UEFI должны быть подписаны центром сертификации или ключом в базе данных, как описано в другом месте документа, или иметь хэш образа драйвера, включенного в базу данных. Корпорация Майкрософт предоставит службу подписывания драйверов UEFI, аналогичную службе подписывания драйверов WHQL с помощью microsoft Corporation UEFI CA 2011. Все драйверы, подписанные этим параметром, будут работать без проблем на любых компьютерах, включающих ЦС Microsoft UEFI. Изготовитель оборудования также может подписать доверенные драйверы и включить ЦС OEM в базу данных или включить хэши драйверов в базу данных. Во всех случаях драйвер UEFI (Option ROM) не должен выполняться, если он не является доверенным в базе данных.

    Все драйверы, включенные в образ встроенного ПО системы, не требуют повторной проверки. Будучи частью общего образа системы, обеспечивает достаточную уверенность в том, что драйвер является доверенным на компьютере.

    Корпорация Майкрософт сделала это доступным для всех, кто хочет подписать драйверы UEFI. Этот сертификат является частью Windows тестов безопасной загрузки HCK. Следуйте инструкциям [в этом блоге](),https://blogs.msdn. microsoft.com/windows_hardware_certification/2013/12/03/microsoft-uefi-ca-signing-policy-updates/ чтобы узнать больше о политике подписывания и обновлениях ЦС UEFI.

  • Загрузчики 2.4.2

    Сертификат подписи драйвера Microsoft UEFI можно использовать для подписывания других осов. Например, загрузчик Fedora для Linux будет подписан им.

    Это решение не требует добавления сертификатов в базу данных ключей. Помимо экономичности, его можно использовать для любого дистрибутива Linux. Это решение будет работать для любого оборудования, которое поддерживает Windows, чтобы оно было полезно для широкого спектра оборудования.

    UEFI-CA можно скачать здесь: https://go.microsoft.com/fwlink/p/?LinkID=321194 Следующие ссылки содержат дополнительные сведения о Windows подписывание и отправку HCK UEFI:

    • панель мониторинга оборудования Windows Центр разработки
    • администрирование панели мониторинга сертификации Windows
    • Подписывание встроенного ПО UEFI
    • блог по сертификации оборудования Windows: обновление ЦС подписывания UEFI

3.

Сводка и ресурсы

В этом разделе планируется суммировать приведенные выше разделы и показать пошаговый подход:

  1. Создание безопасного ЦС или определение партнера для безопасного создания и хранения ключей

    Если вы не используете стороннее решение:

    1. Установите и настройте программное обеспечение HSM на сервере HSM. Инструкции по установке см. в справочном руководстве по HSM. Сервер будет подключен к автономному или сетевому устройству HSM.

      Сведения о конфигурации HSM см. в разделе 2.2.1, 2.3 и приложении C.

      Большинство устройств HSM предлагают соответствие FIPS 140-2 уровня 2 и 3. Настройте устройство HSM для соответствия уровня 2 или уровня 3. Соответствие уровня 3 имеет более строгие требования к проверке подлинности и доступу к ключам и, следовательно, является более безопасным. Рекомендуется уровень 3.

    2. Настройте HSM для обеспечения высокой доступности, резервного копирования и проверки подлинности. Проверьте справочник по HSM вручную.

      Следуйте рекомендациям поставщика HSM по настройке HSM для обеспечения высокой доступности и резервного копирования.

      Кроме того, сетевые устройства HSM обычно имеют несколько сетевых портов для разделения трафика; позволяет серверу взаимодействовать с сетевыми устройствами HSM в сети, отдельной от обычной рабочей сети.

      После того как участники команды, которые входят в группу безопасности, были идентифицированы и назначены им маркеры. Необходимо настроить оборудование HSM для проверки подлинности k-of-m.

    3. Безопасные ключи загрузки и предварительное создание сертификата. См. разделы с 1.3 по 1.5

      Используйте API HSM для предварительной создания (заранее) PK и ключа обновления встроенного ПО и сертификатов.

      Обязательный параметр — PK (рекомендуется 1 на модель), ключ обновления встроенного ПО (рекомендуется 1 на модель), Microsoft KEK, Db, Db, Db: Microsoft KEK, db и dbx не должны создаваться изготовителем оборудования и упоминаются для полноты. Необязательно. Oem/3-й сторонней KEK db, dbx и любые другие ключи, которые будут входить в oem Db.

  2. Примените Windows образа к компьютеру.

  3. Установите базу данных Майкрософт и dbx. См. раздел 1.3.6 и приложение B . API безопасной загрузки.

    1. Установите Microsoft Windows Production PCA 2011 в базу данных.

    2. Установите пустой dbx, если корпорация Майкрософт не предоставляет ее. Windows автоматически обновит DBX до последней версии DBX через клиентский компонент Центра обновления Windows при первой перезагрузке.

    Примечание

    Используйте командлеты PowerShell, которые являются частью Windows тестов HCK или используют методы, предоставляемые поставщиком BIOS.

  4. Установите Microsoft KEK. См. раздел 1.3.3.

    Установка Microsoft KEK в базу данных UEFI KEK

    Внимание!

    Используйте командлеты PowerShell, которые являются частью Windows тестов HCK или используют методы, предоставляемые поставщиком BIOS.

  5. Необязательный шаг. Компоненты безопасной загрузки oem/3-го производителя. См. раздел 1.3.4 и 1.4.

    1. Определите, требуется ли создание стороннего KEK, базы данных и dbx изготовителя оборудования или стороннего производителя.

    2. Подписыв oem/3-й сторонней базы данных и dbx с помощью API HSM oem/3-й сторонней KEK(созданной ранее).

    3. Установите oem/3-й сторонней KEK, db и dbx.

  6. Подписывание драйвера UEFI — см. раздел 2.4.

    Если поддерживаются карточки надстройки или другие драйверы UEFI, приложения и загрузчики, установите Microsoft Corporation UEFI CA 2011 в базу данных UEFI.

  7. Ключ обновления встроенного ПО безопасной загрузки . См. раздел 1.3.5.

    1. Только компьютеры, отличные от Windows RT: установите открытый ключ обновления безопасного встроенного ПО или его хэш, чтобы сэкономить место.

    2. Только в SoC может потребоваться сделать что-то другое, например, сжечь ключ обновления безопасного встроенного ПО: открытый или его хэш.

  8. Включение безопасной загрузки. См . приложение B. API безопасной загрузки.

    1. Установите PKpub oem/ODM (предпочтительный сертификат, но ключ в порядке) в PK UEFI.

    2. Зарегистрируйте PK с помощью API безопасной загрузки. Теперь компьютер должен быть включен для безопасной загрузки.

    Примечание

    Если вы устанавливаете PK в конце, ms KEK, db, db, dbx не требуется подписывать — нет подписи SignerInfo. Это ярлык.

  9. Тестирование безопасной загрузки. Выполните все проприетарные тесты и Windows тесты HCK согласно инструкциям. См . приложение B. API безопасной загрузки.

  10. Судоходная платформа: PKpriv, скорее всего, никогда не будет использоваться снова, держать его в безопасности.

  11. Обслуживание: будущие обновления встроенного ПО безопасно подписываются с помощью закрытого ключа обновления встроенного ПО с помощью службы подписывания.

3.1 Ресурсы

Технический документ по стратегиям безопасности — https://go.microsoft.com/fwlink/p/?linkid=321288

Отправка Windows HCK —https://go.microsoft.com/fwlink/p/?linkid=321287

Приложение А. Контрольный список безопасной загрузки PKI для производства

Ниже приведен общий контрольный список, в котором приведены шаги, необходимые для включения безопасной загрузки на компьютерах, отличных от Windows RT.

Настройка безопасной загрузки

  1. Определите стратегию безопасности (определение угроз, определение упреждающей и реактивной стратегии) согласно техническому документу в разделе 4.

  2. Определите группу безопасности согласно техническому документу в разделе 4.

  3. Создайте безопасный ЦС или определите партнера (рекомендуемое решение) для безопасного создания и хранения ключей.

  4. Определите политику частоты повторного создания ключей. Это может зависеть от того, есть ли у вас особые требования клиентов, такие как правительства или другие учреждения.

  5. План на непредвиденные случаи, если скомпрометирован ключ безопасной загрузки.

  6. Определите, сколько PK и другие ключи будут создаваться в соответствии с разделами 1.3.3 и 1.5.

    Это будет основано на клиентской базе, решении для хранения ключей и безопасности компьютеров.

    Если вы используете рекомендуемое решение для управления ключами, можно пропустить шаги 7–8.

  7. Приобретение сервера и оборудования для управления ключами. — сетевой или автономный модуль HSM на раздел 2.2.1. Рассмотрите необходимость в использовании одной или нескольких модулей HSM для обеспечения высокого уровня доступности и стратегии резервного копирования ключей.

  8. Определите по крайней мере 3–4 участников команды, у которых будет маркер проверки подлинности для проверки подлинности на HSM.

  9. Используйте HSM или стороннюю сторону для предварительного создания ключей и сертификатов, связанных с безопасной загрузкой. Ключи зависят от типа КОМПЬЮТЕРА: SoC, Windows RT или не Windows RT. Дополнительные сведения см. в разделах с 1.3 по 1.5.

  10. Заполните встроенное ПО соответствующими ключами.

  11. Зарегистрируйте ключ платформы безопасной загрузки, чтобы включить безопасную загрузку. Дополнительные сведения см. в приложении Б.

  12. Выполните все проприетарные тесты и тесты безопасной загрузки HCK согласно инструкциям. Дополнительные сведения см. в приложении Б.

  13. Отправьте компьютер. PKpriv, скорее всего, никогда не будет использоваться снова, держать его в безопасности.

Обслуживание (обновление встроенного ПО)

Может потребоваться обновить встроенное ПО по нескольким причинам, например обновление компонента UEFI или исправление компрометации ключа безопасной загрузки или периодическое повторное создание ключей безопасной загрузки.

Дополнительные сведения см. в разделе 1.3.5 и разделе 1.3.6.

Приложение Б. API безопасной загрузки

  1. API безопасной загрузки

    Следующие API связаны с UEFI/безопасной загрузкой:

    1. GetFirmwareEnvironmentVariableEx: извлекает значение указанной переменной среды встроенного ПО.

    2. SetFirmwareEnvironmentVariableEx: задает значение указанной переменной среды встроенного ПО.

    3. GetFirmwareType: извлекает тип встроенного ПО.

  2. Настройка PK

    Используйте командлет Set-SecureBootUEFI, чтобы включить безопасную загрузку. После установки PK системное применение безопасной загрузки не вступит в силу до следующей перезагрузки. Перед перезагрузкой код может вызвать GetFirmwareEnvironmentVariableEx() или командлет PowerShell: Get-SecureBootUEFI для подтверждения содержимого баз данных безопасной загрузки.

  3. Проверка

    Для проверки состояния переменной безопасной загрузки можно использовать Msinfo32.exe или командлеты PowerShell. Интерфейс WMI отсутствует. Вы также можете проверить, вставив загрузочный USB-накопитель с неправильной подписью (например, из Windows HCK Secure Boot Manual Logo Test) и убедиться, что он не удается загрузить.

  4. Командлеты PowerShell для безопасной загрузки

    • Confirm-SecureBootUEFI: безопасная загрузка UEFI «ON», True или False?

      SetupMode == 0 && SecureBoot == 1

    • Set-SecureBootUEFI: установка или добавление переменных SecureBoot UEFI с проверкой подлинности

    • Get-SecureBootUEFI: получение значений переменных SecureBoot UEFI с проверкой подлинности

    • Format-SecureBootUEFI: создает EFI_SIGNATURE_LISTs & EFI_VARIABLE_AUTHENTICATION_2 сериализации

  5. Windows HCK и инструкции по безопасной загрузке

    Следующие шаги относятся к системным тестам и тестам компьютеров, не являющихся классами.

    1. Отключите защиту от безопасной загрузки.

      Введите конфигурацию BIOS и отключите безопасную загрузку.

    2. Установите клиентское программное обеспечение HCK.

    3. Выполните все тесты Windows HCK, за исключением следующих:

      • Тесты пароля доверенного платформенного модуля BitLocker и восстановления с помощью PCR[7]
      • TPM BitLocker и тесты паролей восстановления для компьютеров Arm с безопасной загрузкой
      • Проверка логотипа безопасной загрузки
      • Проверка логотипа защищенной загрузки вручную
    4. Введите конфигурацию BIOS, включите безопасную загрузку и восстановите безопасную загрузку в конфигурацию по умолчанию.

    5. Выполните следующие тесты BitLocker и secure Boot:

      • Тесты пароля доверенного платформенного модуля BitLocker и восстановления с помощью PCR[7]
      • TPM BitLocker и тесты паролей восстановления для компьютеров Arm с безопасной загрузкой
      • Проверка логотипа безопасной загрузки (автоматизированная)
    6. Введите конфигурацию BIOS и очистите конфигурацию безопасной загрузки. При этом компьютер восстанавливается в режиме установки путем удаления PK и других ключей.

      Примечание

      Для компьютеров x86/x64 требуется поддержка очистки.

    7. Запустите тест логотипа защищенной загрузки вручную.

      Примечание

      Для безопасной загрузки требуются Windows драйверы HCK, подписанные или veriSign, на компьютерах, отличных от Windows RT

  6. Windows HCK Secure Boot Logo Test (автоматизировано)

    Этот тест проверит правильную готовую конфигурацию безопасной загрузки. В том числе:

    • Безопасная загрузка включена.
    • PK не является известным, тест PK.
    • KEK содержит рабочую среду Microsoft KEK.
    • база данных содержит рабочий Windows ЦС.
    • dbx present.
    • Многие переменные 1kB создаются и удаляются.
    • Создается или удаляется переменная 32kB.
  7. Windows макет папки тестирования безопасной загрузки HCK вручную

    Макет папки Windows теста безопасной загрузки HCK Secure Boot Manual Описан ниже.

    • "\Test" в папке есть следующее:

      • Тестирование производства и обслуживания
      • Программное включение безопасной загрузки в тестовой конфигурации
      • Тесты обслуживания
      • Добавление сертификата в базу данных, проверка функции
      • Добавление хэша в dbx, проверка функции
      • Добавление сертификата в dbx, проверка функции
      • Добавление хэшей 600+ в dbx, проверка размера
      • Программное изменение PK
    • "\Generate" в папке есть скрипты, которые показывают следующее:

      • Как были созданы тестовые сертификаты

      • Тестовые сертификаты и закрытые ключи включены

      • Как были созданы все тесты

      • Преобразование сертификатов и хэшей в подписанные пакеты

      • Вы можете выполнить это самостоятельно, заменив собственные сертификаты

    • "\certs"в папке есть все сертификаты, необходимые для загрузки Windows:

      Примечание

      Не используйте методологию, используемую для "ManualTests\generate\TestCerts" создания ключей и сертификатов. Это предназначено только для Windows целей тестирования HCK. В нем используются ключи, которые хранятся на диске, что является очень небезопасным и не рекомендуется. Это не предназначено для использования в рабочей среде.

  • "ManualTests\example\OutOfBox" в папке есть скрипты, которые можно использовать для установки безопасной загрузки на рабочих компьютерах.

    В "ManualTests\generate\tests\subcreate_outofbox_example.ps1" этом примере показано, как были созданы эти примеры и есть разделы TODO, когда партнер может заменить свои PK и другие метаданные.

  1. Windows подписывание и отправка HCK UEFI

    Дополнительные сведения см. по следующим ссылкам:

    • Панель мониторинга Центра разработчиков оборудования
    • Подписывание встроенного ПО UEFI
    • Администрирование панели мониторинга сертификации Windows
    • блог по сертификации оборудования Windows: обновления политики подписывания ЦС Microsoft UEFI

Приложение C.

Сопоставления удостоверений политики удостоверений федерального центра сертификации моста

  1. Рудиментарные

    Этот уровень обеспечивает самую низкую степень уверенности в отношении личности человека. Одной из основных функций этого уровня является обеспечение целостности данных для подписываемой информации. Этот уровень относится к средам, в которых риск вредоносной активности считается низким. Он не подходит для транзакций, требующих проверки подлинности, и обычно недостаточно для транзакций, требующих конфиденциальности, но может использоваться для последних, где сертификаты с более высоким уровнем гарантии недоступны.

  2. Основной

    Этот уровень обеспечивает базовый уровень гарантий, относящихся к средам, где существуют риски и последствия компрометации данных, но они не считаются важными. Это может включать доступ к конфиденциальной информации, в которой вероятность вредоносного доступа не высока. Предполагается, что на этом уровне безопасности пользователи, скорее всего, не будут вредоносными.

  3. Средняя

    Этот уровень относится к средам, где риски и последствия компрометации данных являются умеренными. Это может включать в себя транзакции с существенной денежной стоимостью или риском мошенничества, а также доступ к частной информации, где вероятность вредоносного доступа является существенной.

  4. Высокая

    Этот уровень подходит для использования, когда угрозы для данных высоки или последствия сбоя служб безопасности высоки. Это может включать очень ценные сделки или высокий уровень риска мошенничества.

Создание и подписывание ключей безопасной загрузки с помощью HSM (пример)

Руководство по проверке варианта проверки UEFI

Общие сведения о безопасной загрузке









Как отключить Secure Boot

Как отключить Secure Boot в БИОСе UEFI? Привет админ, не мог бы ты сделать небольшой обзор на эту тему? Очень часто приходится переустанавливать друзьям Windows 8 на Windows 7, а для этого сам знаешь, нужно отключить опцию «Secure Boot» в UEFI. Ноутбуки и компьютеры у всех разных производителей и интерфейс БИОСа UEFI тоже разный, соответственно опции содержащие в себе эту настройку немного отличаются и иногда трудно во всём этом разобраться.

Привет друзья! Протокол безопасной загрузки Secure Boot основанный на специальных сертифицированных ключах (имеющихся пока только у Windows 8) не даст загрузить ваш ноутбук с какого-либо загрузочного диска кроме установочного диска с самой «восьмёркой». Поэтому, чтобы загрузить ваш ноутбук или компьютер с установочного диска с другой операционной системой нужно отключить Secure Boot в БИОСе UEFI.

Опция протокола безопасной загрузки Secure Boot в основном находится в разделах Security, реже System Configuration или Boot, но хочу сказать, что для установки Windows 7 на новый ноутбук с БИОСом UEFI мало отключить только одну опцию Secure Boot в интерфейсе UEFI, нужно ещё включить «режим совместимости с другими операционными системами» и называется он тоже у всех производителей по разному: «Launch CSM», или «CMS Boot», «UEFI and Legacy OS», «CMS OS», и находится в основном разделе БИОСа UEFI под названием Advanced, далее смотрите подраздел «BOOT MODE» или «OS Mode Selection».

Давайте рассмотрим настройки типичного для всех ноутбуков БИОСа Insydeh30 setup utility с элементами UEFI, к примеру, данный БИОС имеют ноутбуки Acer и затем ещё рассмотрим другие подобные утилиты, которые могут иметь новейшие ноутбуки и стационарные компьютеры.

Заходим в БИОС и идём в раздел Security, видим нужную нам опцию «Secure Boot», передвигаемся к ней с помощью стрелок на клавиатуре и нажимаем Enter,

опять же с помощью стрелок выбираем Disabled (отключено)

и жмём Enter. Такими нехитрыми действиями мы смогли отключить Secure Boot в БИОСе UEFI.

Но это ещё не всё, теперь нам нужно включить режим «режим совместимости с другими операционными системами. Идём в раздел „Advanced» находим опцию «System configuration»

и заходим в неё, здесь выбираем опцию «Boot Mode» или «OS Mode Selection», и ставим её вместо положения UEFI OS (может быть UEFI BOOT) в положение «CSM Boot» или «UEFI and Legacy OS», «CMS OS»

Чтобы наши изменения вступили в силу сохраняем наши изменения в БИОС, нажимаем F10,

затем соглашаемся Yes и жмём Enter

происходит перезагрузка. Вот теперь мы сможем загрузить наш ноутбук с установочного диска с любой операционной системой. 

Далее можете войти в меню загрузки ноутбука (обычно нужно жать при включении клавишу ESC или F10) и выбрать вашу (уже подсоединённую) загрузочную флешку с операционной системой или установочный диск, если не знаете как это сделать читайте нашу статью Как загрузить любой ноутбук или компьютер с флешки или диска.

 

Иногда всё проходит нет так гладко, например на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно пройти ещё несколько дополнительных шагов.

Входим в БИОС UEFI и выбираем опцию «System Configuration», входим в неё и выбираем Boot Options, также заходим в неё. 

Видим наш параметр безопасной загрузки Secure Boot, выставляем его в положение Disabled (отключено), а опцию «режима совместимости с другими операционными системами» «Legacy support» переводим в положение «Enabled»,

на предупреждение отвечаем Yes.

Сохраняем настройки, жмём F-10, выбираем Yes и Enter, ноутбук перезагружаемся, после перезагрузки выходит вот такое окно с предупреждением «A change to the operating system secure boot mode is peding…» По «англицки» на предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код конечно будет другой) и нажать Enter, после этого изменения в настройках БИОСа UEFI будут сохранены и ноутбук перезагрузится.

При включении ноута HP жмём клавишу ESC и попадаем в стартовое меню, в нём выбираем F-9 Boot Device Options (изменение настроек загрузки), далее выбираем для загрузки нашу флешку или дисковод с установочным диском.

Данная утилита в основном установлена на ноутбуках Samsung. Нажимаем при загрузке ноутбука клавишу F2 и входим в BIOS. Идём в раздел Boot, отключаем опцию «Secure Boot»,

с помощью стрелок на клавиатуре выделяем её и ставим в «Disabled», нажимаем «Enter»

на предупреждение о том, что компьютер может загрузиться с ошибкой жмём Enter.

В этом же разделе ниже появляется параметр «OS Mode Selection», выделяем его и жмём «Enter»

выставляем в положение «CMS OS» или «UEFI and Legacy OS» и нажимаем «Enter».

Опять выходит предупреждение о возможности следующей загрузки ноутбука с ошибкой жмём Enter. Сохраняем изменения, произведённые нами в BIOS нажимаем «F10», соглашаемся Yes, нажимаем Enter. Ноутбук перезагружается, жмём при загрузке F10 и попадаем в загрузочное меню, в нём выбираем дисковод ноутбука или загрузочную флешку.

Друзья, во-первых у нас есть подробная статья, ну а здесь просто замечу, что на ноутбуках Acer Aspire опция Secure Boot по умолчанию неактивна, для того чтобы её активировать и затем отключить, нужно прежде всего назначить пароль на вход в UEFI БИОС. Что для этого нужно сделать!

Входим на вкладку «Security» и выбираем пункт «Set Supervisor Password«, нажимаем Enter и назначаем пароль. После назначения пароля опция Secure Boot станет активной и её можно будет поставить в положение Disable. 

 Жмём при загрузке клавишу F2, реже F6 и попадаем в БИОС UEFI ноутбука,

здесь идём во вкладку Boot.

Если до включения ноутбука Вы подключили к нему флешку, то она может не определиться сразу в этом меню.

Выставляем опцию Boot Mode в положение Legacy BIOS.

А опцию Secure Boot выставляем в положение Disabled.

Далее жмём клавишу F10, этим мы сохраняем настройки внесённые нами в БИОС ноутбука Packard Bell, затем перезагружаемся, жмём при загрузке клавишу F2 и входим опять в БИОС.

Теперь флешка должна определиться. Выставляйте флешку на первую позицию, сохраняйте настройки и перезагружайтесь. Если загрузочная флешка сделана по нашим статьям, то загрузка произойдёт успешно.

На многих стационарных компьютерах установлены современные материнские платы с БИОСом UEFI и протоколом безопасной загрузки Secure Boot. Возьмём для примера материнскую плату ASUS, Asrock, Gigabyte. Нужно сказать, что на материнских платах для стационарных компьютеров функциональные возможности БИОСа UEFI намного расширены, здесь вам и русский язык и возможность пользоваться мышью и производить всевозможные регулировки рабочих параметров комплектующих. 

Нажимаем при загрузке Delete или F2 и входим в UEFI BIOS. Нажимаем Дополнительно (F7).

Идём во вкладку Boot (Загрузка), далее выбираем опцию Secure Boot (Безопасная загрузка),

жмём Enter и входим в неё, опять жмём Enter и выбираем Other OS (другая операционная система),

теперь выходим отсюда и выбираем CSM (Compatibility Support Module),

ставим опцию Запуск CSM в Enabled.

В открывшихся дополнительных опциях выбираем Параметры загрузочных устройств и выставляем Только Legacy OpROM или UEFI и Legacy OpROM.

Далее опцию Параметры устройств хранения, выставляем в положение Сначала Legacy OpROM или Both, Legacy OpROM first.

Этими действиями мы отключили Secure Boot и включили режим расширенной загрузки. Нажимаем F10, и сохраняем изменения внесённые нами в UEFI BIOS. Сохранить конфигурацию и выполнить сброс? Да.

Отключаем опцию Secure Boot в интерфейсе UEFI материнской платы Asrock.

 

Если у вас материнская плата Gigabyte читайте нашу подробную статью Установка Windows 7 и Windows 8 на диск GUID (GPT) компьютера с материнской платой GIGABYTE с включенным UEFI.

 

Материнская плата MSI. Подраздел «Boot mode select». 

Примечание: На многих ноутбуках невозможно отключить опцию Secure Boot, так как она неактивна, в этом случае может помочь прошивка БИОСа ноутбука последним обновлением.

Работа с BIOS (UEFI) — VerpIL

BIOS (БИОС) — Basic Input-Output system (базовая система ввода-вывода)

Это программа низкого уровня.

BIOS хранится на CMOS — Complementary Metal-Oxide-Semiconductor (комплементарная структура металл-оксид-полупроводник) но на самом деле это уже не правильно так как настройки хранятся на флэш-памяти, EEPROM — Electrically Erasable Programmable Read-Only Memory (электрически стираемое перепрограммируемое ПЗУ)

BIOS проходит через POST — Power-On Self Test (самотестирование после включения)
Проверка корректности настройки аппаратного обеспечения и его работоспособности.
Если не пройден POST на экране вы увидите серию сообщений об ошибках и (или) услышите из системного блока звуковой сигнал

При загрузке компьютера по окончанию POST BIOS ищет MBR — Master Boot Record (главную загрузочную запись)
Она хранится на загрузочном устройстве и используется для запуска загрузчика ОС.

Расширения BIOS
ACPI — Advanced Configuration and Power Interface (усовершенствованный интерфейс управления конфигурацией и питанием)
Это позволяло BIOS проще настраивать устройства и более продвинуто управлять питанием, например, уходить в спящий режим.

UEFI (УЕФИ) Unified Extensible Firmware Interface (унифицированный интерфейс расширяемой прошивки)
интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования используется для инициализации аппаратных компонентов компьютера и передачи управления операционной системе (ОС)

Это индустриальный стандарт, обслуживаемый форумом UEFI, а не только от Intel которая была его родоначальницей

Поддержка дисков
В дополнение к стандартной схеме разметки дисков MBR EFI имеет поддержку GPT, которая свободна от характерных для MBR ограничений. 

Спецификация EFI не включает описание для файловых систем, однако реализации EFI обычно поддерживают FAT32 как файловую систему

Про разметку во тут (переход на другой сайт)

CSM —  Compatibility Support Mo­dule (модуль поддержки совместимости)

заботится о том, чтобы после установки новой операционной системы UEFI действовал так же, как и BIOS. Но функция безопасности «Secure Boot», препятствующая атакам руткитов, работать уже не будет.

Secure Boot (безопасный запуск)
Запрашивается цифровая подпись у загрузочных программ т. е. используются только аутентифицированные драйверы и службы.
Secure Boot контролирует процесс загрузки до тех пор, пока операционная система полностью не загружена.

Legacy BIOS (Устаревший BIOS)

Режим совместимости) с BIOS

UEFI (UEFI OS) – выберите режим загрузки UEFI что бы использовать драйверы UEFI. 

Драйвера загружаются непосредственно в UEFI и передаются затем операционной системе

Настройки UEFI MSI
Boot mode select (Выбор режима загрузки)

Settings\Загрузка

    Подпункты

    — Legacy+UEFI 

        Выбор FIxed boot order priorities (Фиксированные приоритеты порядка загрузки)

    — UEFI

WIndows 10 WHQL Support (Поддержка драйверов WIndows 10 одобренных Microsoft)

WHQL — это аббревиатура от английского «Windows Hardware Quality Labs». Сообщает она нам о том, что данная версия драйвера прошла тестирование в лаборатории фирмы Microsoft и является совместимой с операционной системой Windows.

Settings\Дополнительно\Windows OS Configuration

    Подпункты

    — Включено 

        — Internal GOP Configuration (Работа с встроенной графикой)

        — Secure Boot (Безопасная загрузка)

    — Выключено 

        — Подпунктов нет

Связан с Boot mode select он становится Legacy+UEFI 

Secure Boot control (Безопасная загрузка)

Settings\Дополнительно\Windows OS Configuration\Secure Boot

    Подпункты

    — Выключено 

        Подпунктов нет

    — Включено 

    Secure Boot Mode (Безопасный режим загрузки)

    Подпункты

    — Standart

        Ниже расположенные подпункты не активны

        — Enroll all Factory Default keys (Регистрация ключей по умолчанию)
        — Delete all Secure Boot variables (Удалить все переменные безопасной загрузки)
        — Key Management (Управление ключами)

    -Custom

        Ниже расположенные подпункты активны

        — Enroll all Factory Default keys (Регистрация ключей по умолчанию)
        — Delete all Secure Boot variables (Удалить все переменные безопасной загрузки)
        — Key Management (Управление ключами)

Описание проблемы

Отписался тут (форум 4Pda — Выбор и обсуждение блоков питания для ПК) так как думал что проблема с блоком питания

И вот тут на IXBT Добавил жесткий диск, и система сразу выключается как будто блок питания уходит в защиту (Про жесткий диск, блок питания и UEFI)

И на 4PDA BIOS и EFI (UEFI) | Прошивка и прочие вопросы


Возникла следующая проблема при эксплуатации новой системы, а именно вот такой «Проект КБ»
Конфигурация
Процессор AMD Ryzen 7 2700X
Охлаждение Aerocool Project 7 P7-L240 RGB
Материнская плата MSI X470 GAMING M7 AC
Память Kingston DDR4 16Gb (2x8Gb) 3600 MHz HyperX Predator (HX436C17PB3K2/16)
SSD диск №1 SAMSUNG 970 EVO MZ-V7E500BW 500Гб, M. 2 2280, PCI-E x4, NVMe
SSD диск №2 A-DATA XPG SX8200 Pro ASX8200PNP-1TT-C 1Тб, M.2 2280, PCI-E x4, NVMe
Видеокарта MSI nVidia GeForce RTX 2070 GAMING Z 8G
Блок питания Corsair RM650i 650W

Проблемы при подключении HDD диска (HDD диск №3 Western Digital WD Caviar Black 1 TB (WD1001FALS))
Компьютер включается на секунду и выключается на экране ничего не успевает появится (выключение совпадает с моментом раскрутки шпинделя HDD и активацией головок)
При отключении колодки питания от диска HDD компьютер загружается все работает как прежде.
При подключении питания к HDD на горячую, когда компьютер уже загрузился в Windows, жесткий диск определяется и все работает.

Смена шлейфа питание ничего не дает.
По всем калькуляторам мощности блока питания, мощности должно хватать, но внешне все выглядит так как будто блок питания уходит в защиту в момент включения, хотя это не так

Решение.

Проблема в настройках BIOS (UEFI), а именно в Secure Boot control (Безопасная загрузка)

BIOS (UEFI) от MSI версия E7B77AMS. 140 от 06.11.2018  

Boot mode select (Выбор режима загрузки)  и с WIndows 10 WHQL Support 

Нужно выбирать «Legacy+UEFI» в «Boot mode select» или  «выключено» в «WIndows 10 WHQL Support» так как автоматически выбирается «Legacy+UEFI» в «Boot mode select» 

Нужные ссылки
http://www.nastrojkabios.ru/parametri-zagruzki/boot-list-option.html

Отключение безопасной загрузки | Microsoft Узнайте

Твиттер

LinkedIn

Фейсбук

Электронная почта

  • Статья
  • 2 минуты на чтение

Если вы используете определенные видеокарты ПК, оборудование или операционные системы, такие как Linux или предыдущая версия Windows, вам может потребоваться отключить безопасную загрузку.

Безопасная загрузка помогает убедиться, что ваш компьютер загружается с использованием только той микропрограммы, которой доверяет производитель. Обычно вы можете отключить безопасную загрузку через меню прошивки ПК (BIOS), но способ ее отключения зависит от производителя ПК. Если у вас возникли проблемы с отключением безопасной загрузки после выполнения описанных ниже действий, обратитесь за помощью к производителю.

Предупреждение

  • После отключения безопасной загрузки и установки другого программного и аппаратного обеспечения может потребоваться восстановить заводское состояние компьютера, чтобы повторно активировать безопасную загрузку.
  • Будьте осторожны при изменении настроек BIOS. Меню BIOS предназначено для опытных пользователей, и в нем можно изменить параметр, который может помешать правильному запуску вашего ПК. Обязательно точно следуйте инструкциям производителя.

Отключить безопасную загрузку

  1. Перед отключением безопасной загрузки подумайте, нужно ли это. Время от времени ваш производитель может обновлять список доверенного оборудования, драйверов и операционных систем для вашего ПК. Чтобы проверить наличие обновлений, перейдите в Центр обновления Windows или посетите веб-сайт производителя.

  2. Откройте меню BIOS ПК:

    • Вы часто можете получить доступ к этому меню, нажав клавишу во время загрузки компьютера, например, F1, F2, F12 или Esc.

      или

    • В Windows удерживайте клавишу Shift при выборе Перезагрузить . Перейдите к разделу «Устранение неполадок » > «Дополнительные параметры: Параметры встроенного ПО UEFI» .

  3. Найдите параметр Secure Boot в меню BIOS. Если возможно, установите его на Отключено . Этот параметр обычно находится либо на вкладке Security , либо на вкладке Boot , либо на вкладке Authentication .

  4. Сохранить изменения и выйти. ПК перезагружается.

  5. Установите графическую карту, оборудование или операционную систему, несовместимую с безопасной загрузкой.

    В некоторых случаях может потребоваться изменить другие параметры микропрограммы, например включить модуль поддержки совместимости (CSM) для поддержки устаревших операционных систем BIOS. Чтобы использовать CSM, вам также может потребоваться переформатировать жесткий диск с использованием формата основной загрузочной записи (MBR), а затем переустановить Windows. Дополнительные сведения см. в разделе Установка Windows: установка с использованием стиля разделов MBR или GPT.

Повторно включить безопасную загрузку

  1. Удалите все видеокарты, оборудование или операционные системы, несовместимые с безопасной загрузкой.

  2. Откройте меню BIOS ПК:

    • Вы часто можете получить доступ к этому меню, нажав клавишу во время загрузки компьютера, например, F1, F2, F12 или Esc.

      или

    • В Windows удерживайте клавишу Shift при выборе Перезагрузить . Перейдите к разделу «Устранение неполадок » > «Дополнительные параметры: настройки микропрограммы UEFI 9».0048 .

  3. Найдите параметр Secure Boot и, если возможно, установите для него значение Enabled . Этот параметр обычно находится либо на вкладке Security , либо на вкладке Boot , либо на вкладке Authentication .

    На некоторых ПК выберите Custom , а затем загрузите ключи безопасной загрузки, встроенные в ПК.

    Если ПК не позволяет включить безопасную загрузку, попробуйте сбросить настройки BIOS до заводских.

  4. Сохранить изменения и выйти. ПК перезагружается.

  5. Если ПК не может загрузиться после включения безопасной загрузки, вернитесь в меню BIOS, отключите безопасную загрузку и попробуйте снова загрузить ПК.

    Совет

    В некоторых случаях вам может потребоваться обновить или удалить все до исходного состояния, прежде чем вы сможете включить безопасную загрузку. Дополнительные сведения см. в разделе Как восстановить, обновить или удалить все.

  6. Если описанные выше действия не помогли, но вы по-прежнему хотите использовать безопасную загрузку, обратитесь за помощью к производителю.

Обзор безопасной загрузки

Как отключить безопасную загрузку на вашем компьютере

Как отключить безопасную загрузку на вашем компьютере

Перейти к

  1. Основное содержание
  2. Поиск
  3. Счет

Логотип InsiderСлово «Инсайдер».
ОтзывыСлово Отзывы
Значок аккаунтаЗначок в форме головы и плеч человека. Часто указывает на профиль пользователя.
Значок аккаунтаЗначок в форме головы и плеч человека. Часто указывает на профиль пользователя.

Вернуться к началу Белый круг с черной рамкой вокруг шеврона, направленного вверх. Это означает «нажмите здесь, чтобы вернуться к началу страницы».

Наверх

Значок «Сохранить статью» Значок «Закладка» Значок «Поделиться» Изогнутая стрелка, указывающая вправо.
Читать в приложении

Вы можете отключить безопасную загрузку через UEFI вашего ПК.

Изображения Морса / Getty Images

  • Чтобы отключить безопасную загрузку, необходимо перезагрузить компьютер и открыть унифицированный расширяемый интерфейс встроенного ПО (UEFI).
  • Безопасная загрузка — это функция UEFI вашего ПК, которая позволяет загружать только авторизованные операционные системы.
  • Вы можете снова включить безопасную загрузку из UEFI, но вам может потребоваться восстановить Windows до заводских условий.

Безопасная загрузка — это важная функция защиты и безопасности, присутствующая на большинстве современных ПК. Она предотвращает проникновение несанкционированного программного обеспечения, такого как вредоносное ПО, на ваш компьютер при его включении. Это функция UEFI вашего компьютера, предназначенная для проверки подлинности ключей безопасности в совместимом программном обеспечении, таком как Windows 10. 

Однако иногда может потребоваться отключить безопасную загрузку. Это может быть в том случае, если вам нужно установить операционную систему или другие утилиты загрузки, несовместимые с безопасной загрузкой. Например, только Windows 8 и Windows 10 имеют сертификаты безопасной загрузки — если вам нужно установить Windows 7 на ПК с поддержкой безопасной загрузки, вам нужно будет отключить безопасную загрузку.

Пожалуйста, будьте осторожны, прежде чем делать это. Безопасная загрузка — важный элемент безопасности вашего компьютера, и его отключение может сделать вас уязвимым для вредоносных программ, которые могут захватить ваш компьютер и сделать Windows недоступной.

Как отключить безопасную загрузку

Параметр безопасной загрузки находится в меню UEFI, которое можно запустить при запуске компьютера. Однако переход к UEFI является самой сложной частью процесса и варьируется от компьютера к компьютеру. Большинство компьютеров позволяют запускать UEFI нажатием клавиши при запуске до запуска Windows. Обычно это F1, F2 или F10. Вы можете попробовать этот метод, но если у вас возникли проблемы, проще перезагрузить компьютер с помощью настроек, выполнив следующие действия:

  1. Нажмите кнопку «Пуск», а затем нажмите «Настройки».
  2. В поле поиска «Настройки» введите «Расширенный запуск». Когда вы увидите «Изменить дополнительные параметры запуска» в раскрывающемся меню, выберите его.

    Перейдите в «Изменить дополнительные параметры запуска», чтобы найти параметры безопасной загрузки.

    Дэйв Джонсон/Инсайдер

  3. На странице восстановления найдите раздел «Расширенный запуск» и нажмите «Перезагрузить сейчас».
  4. Когда компьютер перезагрузится, на странице выбора параметра выберите «Устранение неполадок».
  5. Нажмите «Дополнительные параметры».
  6. На странице «Дополнительные параметры» выберите «Настройки прошивки UEFI». Ваш компьютер перезагрузится и откроет интерфейс UEFI.

    Когда вы выберете «Параметры встроенного ПО UEFI», ваш компьютер автоматически перезагрузится с интерфейсом UEFI.

    Дэйв Джонсон/Инсайдер

  7. Расположение Secure Boot зависит от ПК — не все UEFI используют одни и те же меню или макеты. Как правило, вы часто найдете безопасную загрузку в меню или на странице параметров загрузки. Измените настройку с «Включено» на «Отключено».

    Измените на «Отключено».

    Дэйв Джонсон/Инсайдер

  8. Перейдите в меню «Выход» и выберите «Сохранить изменения и выйти» или любой другой аналогичный параметр, используемый UEFI для сохранения изменений и перезагрузки ПК.

Как включить безопасную загрузку

Если вы ранее отключили безопасную загрузку и хотите снова включить ее, вот что нужно сделать.

Удалите любое программное обеспечение, несовместимое с безопасной загрузкой. Если вы отключили эту функцию, например, для запуска Windows 7, удалите ее и переустановите Windows 10 или другую совместимую с безопасной загрузкой операционную систему. Перезагрузите компьютер в UEFI, нажав правильную клавишу при загрузке, или выполните перезагрузку в UEFI в Windows, выполнив следующие действия: 

  1. Нажмите кнопку «Пуск», а затем нажмите «Настройки».
  2. В поле поиска «Настройки» введите «Расширенный запуск», затем выберите «Изменить дополнительные параметры запуска» в раскрывающемся меню.
  3. Найдите раздел «Расширенный запуск» и нажмите «Перезагрузить сейчас».
  4. Когда компьютер перезагрузится, выберите «Устранение неполадок».
  5. Нажмите «Дополнительные параметры».
  6. На странице «Дополнительные параметры» выберите «Настройки прошивки UEFI». Ваш компьютер перезагрузится и откроет интерфейс UEFI.
  7. Расположение Secure Boot зависит от ПК. Обычно вы часто найдете безопасную загрузку в меню или на странице параметров загрузки. Измените настройку с «Отключено» на «Включено».
  8. Перейдите в меню «Выход» и выберите «Сохранить изменения и выйти» или любой другой аналогичный параметр, используемый UEFI для сохранения изменений и перезагрузки ПК.

Если ваш UEFI не позволяет вам включить безопасную загрузку, попробуйте сбросить UEFI до заводских настроек по умолчанию (это часто называется «Загрузить настройки по умолчанию»). Если это не сработает, вам может потребоваться восстановить версию Windows 10 до заводских настроек по умолчанию, чтобы восстановить сертификат безопасной загрузки, а затем повторить попытку.

Дэйв Джонсон

Внештатный писатель

Дэйв Джонсон — технический журналист, который пишет о потребительских технологиях и о том, как индустрия трансформирует спекулятивный мир научной фантастики в современную реальную жизнь. Дэйв вырос в Нью-Джерси, прежде чем поступить в ВВС, чтобы управлять спутниками, преподавать космические операции и планировать космические запуски. Затем он провел восемь лет в качестве руководителя отдела контента в группе Windows в Microsoft. Как фотограф Дэйв фотографировал волков в их естественной среде обитания; он также инструктор по подводному плаванию и соведущий нескольких подкастов. Дэйв является автором более двух десятков книг и участвовал во многих сайтах и ​​публикациях, включая CNET, Forbes, PC World, How To Geek и Insider.

ПодробнееЧитать меньше

Связанные статьи

Технология Как
Безопасная загрузка
ПК

Подробнее…

Настройка безопасной загрузки UEFI

Настройка безопасной загрузки UEFI

Предыдущий
Следующий
Для корректного отображения этого контента должен быть включен JavaScript

  1. Руководство по обслуживанию Oracle Server X8-8
  2. Настройка параметров конфигурации BIOS
  3. Общие задачи утилиты настройки BIOS
  4. Настройка безопасной загрузки UEFI
  1. Доступ к меню утилиты настройки BIOS.

    См. Доступ к меню утилиты настройки BIOS.

  2. В главном меню выберите Безопасность и нажмите
    Входить.

  3. На экране «Параметры безопасности» выберите «Безопасная загрузка» и
    нажмите Ввод.

  4. На экране «Безопасная загрузка» выберите «Попробовать безопасную загрузку».
    и нажмите Enter. Выполните одно из следующих действий:

    • Выберите Включено , чтобы включить безопасную загрузку UEFI.
      Перейдите к следующему шагу для управления переменными политики.

    • Выберите Disabled , чтобы отключить безопасную загрузку UEFI.
      Перейдите к шагу 8, чтобы сохранить
      изменений и выйти из утилиты настройки BIOS.

    Если эта функция включена, безопасная загрузка позволяет управлять политикой безопасной загрузки.
    переменные.

  5. Чтобы управлять переменными политики безопасной загрузки, выберите Ключ
    Управление и нажмите Enter.

    На экране «Управление ключами» представлены параметры для настройки по умолчанию.
    Ключи безопасной загрузки или регистрация Extensible Firmware Interface (EFI)
    изображение.

  6. Если вы хотите предоставить заводские ключи по умолчанию, выберите Заводской ключ.
    Подготовьте и нажмите Enter. Выполните одно из следующих действий:

    • Выберите Включено , чтобы разрешить подготовку
      заводские ключи безопасной загрузки по умолчанию, когда система находится в режиме настройки.
      Когда включено, вы можете выбрать Восстановление заводских ключей
      принудительно перевести систему в пользовательский режим и установить все заводские настройки по умолчанию.
      Ключи безопасной загрузки.

    • Выберите Отключено , чтобы отключить подготовку
      заводские ключи безопасной загрузки по умолчанию. Когда отключено, вы можете выбрать
      Удалить все переменные безопасной загрузки для удаления
      все ключи безопасной загрузки из системы. Выбор этого параметра также
      сбрасывает систему в режим настройки.

  7. Если вы хотите зарегистрировать образ EFI, выберите «Зарегистрировать Efi».
    Изображение и нажмите Enter.

    1. На экране «Выбор файловой системы» прокрутите список и
      выберите файловую систему, содержащую файл EFI, и нажмите
      Входить.

    2. На экране выбора файла прокрутите список и выберите
      EFI (или другой доступный файл) и нажмите Enter.

    3. На следующем экране «Выбрать файл» прокрутите список и выберите
      файл образа, который вы хотите запустить в режиме безопасной загрузки, и нажмите
      Входить.
    4. Чтобы сохранить все переменные политики безопасной загрузки, выберите Сохранить все.
      Переменные безопасной загрузки и нажмите Enter.

    5. На экране Select a File System выберите файловую систему, в которой
      вы хотите сохранить файл EFI и нажмите Enter.

      Переменные политики безопасной загрузки сохраняются в корневую папку в
      целевая файловая система.

  8. Нажмите клавишу F10, чтобы сохранить изменения и выйти из программы настройки BIOS.
    Полезность.

Похожие темы

  • Доступ к утилите настройки BIOS

  • Параметры меню утилиты настройки BIOS

  • Безопасная загрузка UEFI

  • Выход из утилиты настройки BIOS

Что нужно знать о ключах безопасной загрузки Windows 10

В том, что можно было бы считать абсолютно блестящим примером именно , почему золотых ключей, предлагающих лазейку в безопасные службы, не должно существовать, Microsoft случайно слила мастер-ключ в свою систему безопасной загрузки.

Утечка потенциально разблокирует все устройства с установленной технологией Microsoft Secure Boot, лишив их статуса заблокированной операционной системы, что позволит пользователям устанавливать свои собственные операционные системы и приложения вместо тех, которые определены технологическим гигантом Редмонда.

Теоретически утечка не должна угрожать безопасности вашего устройства. Но это откроет возможности для альтернативных операционных систем и других приложений, которые раньше не работали в системе с безопасной загрузкой.

Как Microsoft отреагирует на это? Простое обновление для изменения каждого базового ключа безопасной загрузки? Или уже слишком поздно, ущерб нанесен?

Давайте внимательно посмотрим, что означает утечка Secure Boot для вас и ваших устройств.

Что такое безопасная загрузка?

«Безопасная загрузка помогает убедиться, что ваш компьютер загружается только с использованием прошивки, которой доверяет производитель»

Безопасная загрузка Microsoft появилась вместе с Windows 8 и предназначена для предотвращения загрузки или внесения изменений злонамеренными операторами, устанавливающими приложения или любые неавторизованные операционные системы, во время процесса запуска системы. Когда он появился, были опасения, что его введение серьезно ограничит возможности двойной или мультизагрузочной системы Microsoft. В конце концов, это было в значительной степени необоснованно — или были найдены обходные пути.

As Secure Boot опирается на спецификацию UEFI (Unified Extensible Firmware Interface) для обеспечения базовых средств шифрования, сетевой аутентификации и подписи драйверов, предоставляя современным системам еще один уровень защиты от руткитов и низкоуровневых вредоносных программ.

Windows 10 UEFI

Microsoft хотела усилить «защиту», предлагаемую UEFI в Windows 10.

Чтобы протолкнуть это, Microsoft проинформировала производителей перед выпуском Windows 10, что возможность отказаться от возможности отключить безопасную загрузку находится в их руках, что фактически привязывает операционную систему к той, с которой поставляется компьютер. Стоит отметить, что Microsoft не продвигала эту инициативу напрямую (по крайней мере, не полностью публично), но, как объясняет Питер Брайт из Ars Technica, изменения в существующих правилах UEFI до даты выпуска Windows 10 сделали это возможным:0003

«Если это останется в силе, мы можем предположить, что OEM-производители будут создавать машины, которые не будут предлагать простой способ загрузки самостоятельно созданных операционных систем или любой операционной системы, не имеющей соответствующих цифровых подписей».

Хотя, несомненно, продается множество настольных компьютеров и ноутбуков с разблокированными настройками UEFI, это может оказаться еще одним камнем преткновения для тех, кто хочет попробовать альтернативу своей операционной системе Windows.

Еще одно препятствие для сторонников Linux, которое нужно обойти…  вздох .

И теперь безопасная загрузка разблокирована навсегда?

Навсегда, я не уверен. А пока можно разблокировать Secure Boot. Вот что произошло.

Я знаю, что имел в виду супер-пупер каркасный ключ, который разблокирует каждый замок во всей вселенной Microsoft UEFI Secure Boot… но на самом деле все сводится к тому, какие политики вы подписали в своей системе.

Безопасная загрузка работает в тандеме с определенными политиками, которые считываются и полностью соблюдаются диспетчером загрузки Windows. Политики советуют диспетчеру загрузки оставить включенной безопасную загрузку. Однако Microsoft создала одну политику, позволяющую разработчикам тестировать сборки операционной системы без цифровой подписи каждой версии. Это эффективно отменяет безопасную загрузку, отключая ранние проверки системы во время процесса запуска. Исследователи безопасности, MY123 и Slipstream, задокументировали свои выводы (на действительно восхитительном веб-сайте):

«Во время разработки Windows 10 v1607 «Redstone» MS добавила новый тип политики безопасной загрузки. А именно, «дополнительные» политики, которые расположены в разделе EFIESP (а не в переменной UEFI), и их настройки объединены in, в зависимости от условий (а именно, что определенная политика «активации» также существует и загружена).

Bootmgr.efi от Redstone сначала загружает «устаревшие» политики (а именно, политику из переменных UEFI). В определенное время в Redstone dev он не проводил никаких дополнительных проверок, кроме проверки подписи/идентификатора устройства. (Теперь это изменилось, но посмотрите, насколько это глупо) После загрузки «устаревшей» политики или базовой политики из раздела EFIESP она затем загружает, проверяет и объединяет дополнительные политики.

Видите здесь проблему? Если нет, то позвольте мне объяснить это вам ясно и ясно. «Дополнительная» политика содержит новые элементы для условий слияния. Эти условия (ну, одно время) не проверяются bootmgr при загрузке устаревшей политики. А bootmgr из win10 v1511 и ранее о них точно не знает. Для этих загрузчиков он только что загрузил полностью действующую подписанную политику.»

Это не очень хорошее чтение для Microsoft. Фактически это означает, что политика режима отладки, разработанная для того, чтобы дать разработчикам — и только разработчикам — шанс отменить процессы подписи, открыта для всех, у кого есть розничная версия Windows 10. И что эта политика просочилась в Интернет.

Помните iPhone в Сан-Бернардино?

«Вы можете видеть иронию. Также ирония в том, что MS сами предоставили нам несколько хороших «золотых ключей» (как сказали бы в ФБР 😉 для использования для этой цели 🙂

О ФБР: ты это читаешь? Если да, то это идеальный пример из реальной жизни о том, почему ваша идея взлома криптосистем с помощью «защищенного золотого ключа» очень плоха! Люди поумнее меня вам это так давно говорят, что, кажется, у вас пальцы в ушах. Вы серьезно еще не понимаете? Microsoft внедрила систему «безопасного золотого ключа». А золотые ключи выпустили по собственной глупости MS. А что произойдет, если вы скажете всем создать систему «надежного золотого ключа»? Надеюсь, вы сможете добавить 2+2…»

Для сторонников шифрования это был горько-сладкий момент, который, мы надеемся, внесет необходимую ясность как для правоохранительных органов, так и для государственных чиновников. Золотые лазейки никогда не останутся скрытыми. Они всегда будут обнаружены, будь то непредвиденная внутренняя уязвимость (откровения Сноудена) или те, кто заинтересован в том, чтобы разобрать технологию и лежащий в ее основе код.

Рассмотрим iPhone в Сан-Бернардино…

«Мы с большим уважением относимся к профессионалам в ФБР и считаем, что их намерения благие. До этого момента мы делали все, что было в наших силах и в рамках закона, чтобы помочь им. Но теперь правительство США попросили нас сделать то, чего у нас просто нет, и что-то, что мы считаем слишком опасным для создания. Они попросили нас создать лазейку для iPhone».

Мяч лежит на Microsoft

Как я уже упоминал, это не должно представлять серьезной угрозы безопасности для ваших личных устройств, и Microsoft выпустила заявление, в котором преуменьшается актуальность утечки Secure Boot:

«Метод джейлбрейка, описанный в отчете исследователей от 10 августа, не применим к настольным или корпоративным ПК. Он требует физического доступа и прав администратора к устройствам ARM и RT и не нарушает защиту шифрования».

Кроме того, они в спешке выпустили бюллетень по безопасности Microsoft с пометкой «Важно». Это устранит уязвимость после установки. Однако установка версии Windows 10 без установленного исправления не займет много времени.

Золотые ключи

К сожалению, это вряд ли приведет к новому избытку устройств Microsoft, работающих под управлением дистрибутивов Linux. Я имею в виду, что будут некоторые предприимчивые люди, которые потратят время на проверку этого, но для большинства людей это будет просто еще одним сигналом безопасности, который прошел мимо них.

Не должно.

Конечно, наплевать на дистрибутивы Linux на планшетах Microsoft. Но более широкие последствия утечки золотого ключа в общественное достояние для потенциальной разблокировки миллионов устройств — это другое.

Пару лет назад The ​​Washington Post выступила с призывом к «компромису» в отношении шифрования, предложив, что, хотя наши данные, очевидно, должны быть закрыты для хакеров, возможно, у Google и Apple и др. должен быть надежный золотой ключ. В превосходной критике того, почему именно это «ошибочное и опасное предложение», один из создателей Keybase Крист Койн довольно просто объясняет, что «Честные, хорошие люди подвергаются опасности из-за любого бэкдора , который обходит их собственные пароли».

Мы все должны стремиться к максимально возможному уровню личной безопасности, а не ослаблять ее при первой же возможности. Потому что, как мы уже неоднократно видели, эти супер-пупер скелетные ключи и попадают не в те руки.

И когда они это делают, мы все играем в опасную игру реактивной защиты, хотим мы того или нет.

Должны ли крупные технологические компании создавать бэкдоры в своих сервисах? Или государственные органы и другие службы должны заниматься своими делами и сосредоточиться на поддержании безопасности?

Изображение предоставлено: DutchScenery/Shutterstock, Константин Панкин/Shutterstock

Как включить/отключить безопасную загрузку в Windows 10, 8.1, 8, 7?

Вы когда-нибудь читали учебник по двойной загрузке вашего ПК и обнаруживали, что вам нужно отключить безопасную загрузку, чтобы достичь своих целей? Да, безопасная загрузка — это современная функция безопасности, встроенная в Windows 10/11 (и Windows 8).

Кроме того, Microsoft требует, чтобы безопасная загрузка была включена для чистой установки Windows 11. Новая ОС имеет совершенно новый набор системных требований, таких как поддержка безопасной загрузки и поддержка TPM 2. 0, в отличие от своих предшественников.

Итак, что такое безопасная загрузка?

Как следует из названия, безопасная загрузка предназначена для защиты процесса загрузки при запуске компьютера; его можно найти на новых ПК с прошивкой UEFI. Задача безопасной загрузки — предотвратить загрузку неподписанных драйверов UEFI и загрузчиков в процессе запуска.

Это снижает вероятность несанкционированного доступа к вашему устройству в случае, если кто-то захочет украсть данные в ваше отсутствие. Тем не менее, функция безопасной загрузки также столкнулась с некоторой негативной реакцией, поскольку она не позволяет людям делать что-то полезное на своей машине. Например, одновременное использование двух операционных систем.

Но если вам не нужна эта функция, вы можете легко отключить безопасную загрузку на своем устройстве.

Как отключить безопасную загрузку в Windows 10 и более ранних версиях?

Действия по отключению функции безопасной загрузки почти одинаковы для систем Windows 10 и Windows 8.

  1. Поиск Расширенный запуск в опции поиска на панели задач Windows. Затем выберите Изменить дополнительные параметры запуска , как показано ниже на снимке экрана.
  2. После того, как вы нажмете «изменить дополнительные параметры запуска», появится следующий экран. Вам просто нужно нажать Перезапустите сейчас в режиме расширенного запуска.
  3. Приведенная выше команда перезагрузит ваш компьютер в расширенном режиме, который имеет множество дополнительных параметров, позволяющих настроить Windows. Некоторые из расширенных параметров включают использование внешнего устройства, устранение неполадок в Windows с помощью дополнительных параметров, сброс настроек ПК и т. д. Экран выглядит примерно так. Нажмите «Устранение неполадок ».
  4. Вы можете видеть выше, что опция устранения неполадок имеет два варианта: Сбросьте настройки ПК и Дополнительные параметры. Итак, как только вы нажмете «Устранение неполадок», вы увидите те же два варианта. Нажмите Дополнительные параметры , как показано ниже.
  5. Дополнительные параметры выглядят примерно так (как показано ниже). Выберите Параметры встроенного ПО UEFI.
  6. После того, как вы нажмете на настройки прошивки UEFI, ваша система снова перезагрузится или попросит вас перезагрузить систему. Итак, нажмите на перезагрузку на следующем экране. Однако этот перезапуск начнется в BIOS, и вы увидите другую настройку BIOS.
  7. Перейдите на вкладку Security в настройках BIOS.
  8. С помощью стрелок вверх и вниз выберите , выберите вариант безопасной загрузки , как показано на предыдущем изображении.
  9. Выберите параметр с помощью стрелок и измените безопасную загрузку с Enabled на Disabled.
  10. Нажмите Enter.
  11. Сохраните свою работу и выйдите.

Поскольку вы выполнили настройки для отключения безопасной загрузки, вы можете легко загрузить свои устройства с любого внешнего или неавторизованного устройства.

Теперь, если вы хотите знать, чтобы включить безопасную загрузку, вы можете выполнить те же действия, что и выше, и изменить параметр безопасной загрузки на включенный.

Что произойдет после отключения безопасной загрузки?

Ваш компьютер не будет проверять, используете ли вы операционную систему с цифровой подписью после включения этой функции безопасности. Однако вы не почувствуете никакой разницы при использовании Windows 10 на своем устройстве.

Вот некоторые условия, которые будут разрешены на вашем ПК после отключения параметра безопасной загрузки Windows:

  • Загрузка Windows на ПК с внешнего устройства, такого как USB или компакт-диск.
  • Двойная загрузка ОС, например Windows с Linux, Ubuntu или Fedora.
  • Загрузка Windows с помощью средств восстановления пароля Windows
  • Запуск предыдущих версий Windows и т. д.

Нужно ли включать безопасную загрузку для установки Windows 11?

Да, для работы Windows 11 требуется, чтобы безопасная загрузка была включена. Это одна из многих предпосылок Windows 11, которая, по утверждению Microsoft, делает работу «безопасной» для пользователей.

Почему я не могу отключить безопасную загрузку на своем ПК?

Следует отметить, что на вашем ПК может не быть возможности отключить его, поскольку производитель ПК решает, хочет ли он добавить эту функцию или нет. Поэтому, если вы не можете найти его на своем устройстве, вам следует обратиться к производителю за поддержкой.

Итак, вот что мы знаем о безопасной загрузке и о том, как ее использовать. Если вам есть, что добавить, пишите свои мысли в комментариях ниже.

Заключение

Раньше у пользователей было больше контроля над включением или отключением безопасной загрузки. Однако теперь Microsoft требует, чтобы пользователи включили безопасную загрузку, чтобы установить Windows 11. Включить безопасную загрузку довольно просто, но лучше оставить ее включенной.

Часто задаваемые вопросы

Нужно ли включать безопасную загрузку в Windows 11?

Да, в Windows 11 должна быть включена безопасная загрузка.

Что произойдет, если я отключу безопасную загрузку Windows 11?

Отключение безопасной загрузки в Windows 11 сделает функции Bitlocker и Windows Hello недоступными. Более того, такие приложения, как Windows Subsystem для Android, VALORANT, перестанут работать. Microsoft может заблокировать обновления Windows, если вы отключите безопасную загрузку.

Где найти безопасную загрузку в BIOS?

Вы можете найти его в настройках безопасности вашего UEFI BIOS.

Включить безопасную загрузку и доверенный платформенный модуль для Windows 11: Руководство по BIOS!

ОБНОВЛЕНИЕ 10. 10.2021. Возможно, вам потребуется преобразовать текущий системный диск, если это MBR, в GPT. Попробуйте обновить БИОС до последней. Если у вас все еще есть проблемы, попробуйте новую установку Windows на запасной диск.

С выпуском Windows 11 корпорация Майкрософт усиливает защиту вашего ПК в сегодняшнем онлайн-режиме и при работе из дома, что делает обеспечение безопасности вашего ПК необходимостью. Два требования к ПК для установки Windows 11 заключаются в том, что в вашей системе должны быть включены как TPM, так и безопасная загрузка. Сегодня мы рассмотрим обе настройки в BIOS, которые, возможно, потребуется включить, и это будет здорово, если вы будете следовать нашему руководству.

Мы будем делать это с MSI B550 Tomahawk, которая является платой AMD, и мы также тестировали Intel z390 Tomahawk, b360 Gaming Arctic и более старую z270 XPower Gaming, и это работает со всеми этими моделями. Кстати, не забудьте быстро следить за нами в социальных сетях, а также подписываться и звонить, все такое хорошее, и если вы пробовали собственное обновление или у вас есть вопросы, оставьте свои комментарии внизу.

Включить безопасную загрузку и доверенный платформенный модуль для Windows 11: Руководство по BIOS!

Так что это можно быстро и легко сделать в BIOS, выполнив несколько шагов, а также дать вам несколько советов по устранению неполадок, когда вы будете готовы получить Windows 11. Если вы делаете это сейчас, имея другое устройство, такое как ноутбук или Телефон с этим видео сделает последующую прогулку приятной и легкой.

Благодаря рекламным ссылкам и партнерству с Amazon мы зарабатываем на соответствующих покупках. Узнайте больше

Спонсор. Пожалуйста, используйте нашу партнерскую ссылку для поклонников Noctua Redux по адресу
AmazonUS: https://amzn.to/3gV0dnk Multi-Region: https://www.techspinreview.com/afl/210505

Зачем нам включать безопасную загрузку?

Так зачем же Windows 11 нужна эта дополнительная безопасность? Быстро, безопасная загрузка является частью UEFI, который является более новым интерфейсом между вашим BIOS и вашей ОС. Безопасная загрузка предотвращает заражение вредоносными программами, в том числе загрузчиками. Более старый тип — CSM, поэтому сначала мы изменим интерфейс ОС на UEFI.

Доверенный платформенный модуль или TPM — это микросхемы, встроенные в большинство материнских плат и ноутбуков корпоративного уровня, которые защищают оборудование с помощью ключей. Если вы купили компьютер после 2016 года, он должен иметь TPM 2.0, но если он старше, у него может быть TPM 1.2 или вообще не быть TPM.

Нажмите, чтобы увидеть полное изображение

Прежде чем включить безопасную загрузку, установите UEFI

Итак, нажав «Удалить», чтобы войти в BIOS, мы перейдем в расширенный режим, нажав F7. В настройках перейдите в «Дополнительно», затем «Конфигурация ОС Windows». Убедитесь, что для режима BIOS установлено значение UEFI. Если это не так, вам нужно сначала изменить это на UEFI, а затем нажать F10, чтобы сохранить и выйти. В немного более старых версиях BIOS это может быть указано как поддержка WHQL для Windows 10, а более старые платы могут иметь строку поддержки WHQL для Windows 8. 1/10, которую мы включим.

Нажмите, чтобы увидеть полное изображение

На этом этапе важно нажать F10, чтобы сохранить и перезапустить, и нажать Удалить, чтобы вернуться в BIOS. Если вы попытаетесь установить ключи безопасной загрузки до того, как сделаете это, конечным диалоговым окном будет «Сброс без сохранения», что поставит вас в цикл, в котором в ОС Windows 10 все еще выбран CSM, и это заблокирует включение безопасной загрузки. Поэтому сначала сохраните и перезапустите.

Нажмите, чтобы увидеть полное изображение

Кроме того, при смене CSM на UEFI компьютер может перезагрузиться несколько раз или издать несколько звуковых сигналов, а не POST. Если вы ждете 30 секунд, а на экране ничего не происходит, просто выключите источник питания, подождите 10 секунд, снова включите его, включите питание и снова начните нажимать «Удалить». Кстати, если вы пропустите нажатие «Удалить» и войдете в Windows, удерживая Alt и нажимая пару раз F4, вы получите окно «Завершение работы», нажмите стрелку вниз, чтобы выбрать «Перезагрузить», нажмите «Ввод» и снова начните нажимать «Удалить», чтобы попасть в БИОС.

Нажмите, чтобы увидеть полное изображение

По рекламным ссылкам и в качестве партнера Amazon мы зарабатываем на соответствующих покупках. Узнать больше

Воспользуйтесь нашими партнерскими ссылками для процессоров Intel по адресу
AmazonUS: https://amzn.to/3HJmwK7 Мультирегиональный режим: https://www.techspinreview.com/afl/221218

Установите заводские ключи и включите функцию Secure Boot

Теперь мы перезагрузились с помощью UEFI, мы перейдем в «Настройки»… «Дополнительно»… «Конфигурация ОС Windows», затем в «Безопасная загрузка» и нажмем Enter, и сначала мы установим ключи. Перейдя в режим безопасной загрузки, мы изменим стандартный на пользовательский, после чего станут активными параметры ниже. Мы выберем «Зарегистрировать все заводские ключи по умолчанию». В первом диалоговом окне подтверждается установка ключей по умолчанию, а во втором предлагается выполнить сброс без сохранения. Вы можете нажать «Нет», но вам может потребоваться «Сохранить» и выйти, если у вас возникнут проблемы со следующим шагом.

Теперь, когда мы установили ключи, мы можем выбрать «Безопасная загрузка» и выбрать «Включено».

Нажмите, чтобы увидеть полное изображение

Включите TPM и посмотрите статус BIOS

Несколько раз нажав клавишу Escape, мы вернемся в главное меню «Настройки», и теперь мы выберем «Безопасность…», а затем «Доверенные вычисления», затем поставим Поддержка устройств безопасности включена. Мы не увидим обновления в информации о состоянии, пока не нажмем F10, чтобы сохранить конфигурацию и выйти, что мы и сделаем сейчас.

Если вы хотите проверить, что вы сделали, чтобы увидеть новую информацию о состоянии, нажмите «Удалить» в BIOS и вернитесь к «Настройки… Безопасность… Надежные вычисления», вы должны увидеть в информации о состоянии список TPM 2.0 как активный.

Нажмите, чтобы увидеть полное изображение

Проверка Windows: Включить безопасную загрузку сработало?

Мы загрузимся в Windows и сможем проверить, работает ли TPM, щелкните поиск, введите tpm. msc и нажмите Enter. Статус будет готов к использованию, а в средней колонке, если вы прокрутите вправо, появится версия спецификации 2.0.

Итак, как узнать, работает ли безопасная загрузка в Windows? Просто нажмите «Поиск», введите «msinfo» и нажмите «Ввод», и на полпути вниз по списку вы увидите «Состояние безопасной загрузки», и это должно быть «Вкл.».

Вы можете узнать, готовы ли вы к Windows 11, в поиске или в браузере с помощью «Обновить до новой ОС Windows 11». Если вы нажмете Ctrl + F, чтобы найти, начните вводить «Загрузить», а затем нажмите «Загрузить приложение». Запустите его, примите, установите и затем Готово. Microsoft работает над этой проверкой работоспособности ПК или отключила ее во время производства, но мы нажали «Проверить сейчас» и получили зеленую галочку.

С включенной безопасной загрузкой и TPM вы должны быть готовы к Windows 11. Этот инструмент проверки работоспособности ПК действительно дал ложноотрицательные результаты и на самом деле ничего не сказал вам, что вам нужно исправить, поэтому надеемся, что Microsoft скоро выпустит лучшую версию. Не забывайте, что на компьютерах старше 5 лет или ноутбуках без TPM 2.0 могут возникнуть проблемы при обновлении до Windows 11.

Благодаря рекламным ссылкам и партнерству с Amazon мы зарабатываем на соответствующих покупках. Узнать больше

Воспользуйтесь нашими партнерскими ссылками для процессоров AMD по адресу
AmazonUS: https://amzn.to/3HIVSRP Multi-Region: https://www.techspinreview.com/afl/221217

Так что это не слишком трудно, и, надеюсь, это помогло вам обезопасить себя и подготовиться, и если вы думаете о материнской плате AMD или другой материнской плате, покупка по нашим партнерским ссылкам поможет нам здесь без каких-либо дополнительных затрат для вас. И следите за нами в Twitter, Instagram и Facebook на techspinreview.

Включить безопасную загрузку и доверенный платформенный модуль для Windows 11: Руководство по BIOS!

Посмотрите это видео на YouTube

На нашем канале есть технические обзоры, так что обязательно ознакомьтесь с ними, и спасибо Noctua за то, что вы стали нашим спонсором этого эпизода, с обширной линейкой вентиляторов с высоким статическим давлением, идеально подходящих для охлаждения вашего rig, проверьте их по ссылкам выше.

Читайте также: