Secure boot custom mode что это: Secure Boot — отключение защищенной загрузки (с фото)

Безопасная загрузка | Microsoft Learn






Twitter




LinkedIn




Facebook




Адрес электронной почты










  • Статья



Безопасная загрузка — это стандарт безопасности, разработанный участниками компьютерной индустрии, чтобы гарантировать загрузку устройства с использованием только программного обеспечения, которому доверяет изготовитель оборудования (OEM). Когда компьютер запускается, встроенное ПО проверяет сигнатуру каждого загрузочного программного обеспечения, включая драйверы встроенного ПО UEFI (также известные как дополнительные ПЗУ), приложения EFI и операционную систему. Если сигнатуры действительны, компьютер загружается, а встроенное ПО предоставляет управление операционной системе.

Изготовитель оборудования может использовать инструкции от изготовителя встроенного ПО, чтобы создать безопасные ключи загрузки и сохранить их в встроенном ПО компьютера. При добавлении драйверов UEFI также необходимо убедиться, что они подписаны и включены в базу данных безопасной загрузки.

Сведения о том, как работает процесс безопасной загрузки, включая надежную загрузку и измеряемую загрузку, см. в разделе Защита процесса загрузки Windows 10.

Требования к безопасной загрузке

Чтобы обеспечить поддержку безопасной загрузки, необходимо указать следующее.

Требования к оборудованиюСведения
Переменные UEFI версии 2. 3.1 Errata CДля переменных необходимо задать значение SecureBoot=1 и SetupMode=0 с базой данных сигнатуры (EFI_IMAGE_SECURITY_DATABASE), необходимой для безопасной предварительно подготовленной загрузки компьютера и включая PK, заданный в допустимой базе данных KEK. Дополнительные сведения см. в разделе Требования к системе System.Fundamentals.Firmware.UEFISecureBoot, скачанный в формате PDF в разделе Спецификации и политики программы совместимости оборудования Windows.
UEFI версии 2.3.1, раздел 27Платформа должна предоставлять интерфейс, соответствующий профилю UEFI версии 2.3.1, раздел 27.
База данных сигнатур UEFIПлатформа должна быть подготовлена с правильными ключами в базе данных сигнатуры UEFI (db), чтобы разрешить загрузку Windows. Он также должен поддерживать безопасные обновления для баз данных, прошедшие проверку подлинности. Хранилище защищенных переменных должно быть изолировано от работающей операционной системы таким образом, чтобы их нельзя было изменить без обнаружения.
Подписывание встроенного ПОВсе компоненты встроенного ПО должны быть подписаны с помощью по крайней мере RSA-2048 с SHA-256.
Диспетчер загрузкиПри включении питания система должна начать выполнение кода во встроенном ПО и использовать шифрование с открытым ключом в рамках политики алгоритма для проверки подписей всех образов в последовательности загрузки, вплоть до диспетчера загрузки Windows.
Защита от откатаСистема должна защищаться от отката встроенного ПО на более старые версии.
EFI_HASH_PROTOCOLПлатформа предоставляет EFI_HASH_PROTOCOL (по UEFI версии 2.3.1) для разгрузки криптографических хэш-операций и EFI_RNG_PROTOCOL (определено Корпорацией Майкрософт) для доступа к энтропии платформы.

Перед развертыванием компьютера вы, как изготовитель оборудования, сохраните базы данных безопасной загрузки на компьютере. Сюда входят база данных сигнатур (db), база данных отозванных подписей (dbx) и база данных ключа регистрации ключей (KEK). Эти базы данных хранятся в энергонезависимой памяти встроенного ПО (NV-RAM) во время производства.

В базе данных сигнатур (db) и в базе данных отозванных сигнатур (dbx) перечислены подписывающиеся или хэши образов приложений UEFI, загрузчиков операционной системы (например, загрузчик операционной системы Майкрософт или диспетчер загрузки), а также драйверы UEFI, которые можно загрузить на устройство. Отозванный список содержит элементы, которые больше не являются доверенными и не могут быть загружены. Если хэш изображения находится в обеих базах данных, то база данных отозванных подписей (dbx) имеет прецедент.

База данных ключей регистрации ключей (KEK) — это отдельная база данных ключей подписывания, которую можно использовать для обновления базы данных сигнатур и отозванных сигнатур. Корпорация Майкрософт требует, чтобы указанный ключ был включен в базу данных KEK, чтобы в будущем корпорация Майкрософт может добавить новые операционные системы в базу данных сигнатур или добавить известные недопустимые образы в базу данных отозванных подписей.

После добавления этих баз данных и после окончательной проверки и тестирования встроенного ПО изготовитель оборудования блокирует редактирование встроенного ПО, за исключением обновлений, подписанных правильным ключом, или обновлений физическим пользователем, использующим меню встроенного ПО, а затем создает ключ платформы (PK). Ключ PK можно использовать для подписывания обновлений KEK или для отключения безопасной загрузки.

Обратитесь к производителю встроенного ПО, чтобы получить средства и помощь в создании этих баз данных.

Последовательность загрузки

  1. После включения компьютера все базы данных сигнатур проверяются на соответствие ключу платформы.
  2. Если встроенное ПО не является доверенным, встроенное ПО UEFI должно инициировать восстановление для конкретного изготовителя оборудования для восстановления доверенного встроенного ПО.
  3. При возникновении проблем с диспетчером загрузки Windows встроенное ПО попытается загрузить резервную копию диспетчера загрузки Windows. Если это также не удается, встроенное ПО должно инициировать исправление для конкретного изготовителя оборудования.
  4. После запуска диспетчера загрузки Windows при возникновении проблем с драйверами или ядром NTOS загружается среда восстановления Windows (Windows RE), чтобы можно было восстановить эти драйверы или образ ядра.
  5. Windows загружает антивредоносное программное обеспечение.
  6. Windows загружает другие драйверы ядра и инициализирует процессы пользовательского режима.
  • Windows 10 функции безопасности S и требования для изготовителей оборудования

  • Требования к встроенному ПО UEFI

  • Отключение безопасной загрузки






Windows 11 и безопасная загрузка

Опубликовано в августе 2021 г.

Эта статья предназначена для пользователей, которые не могут выполнить обновление до Windows 11, поскольку их компьютер в настоящее время не поддерживает безопасную загрузку. Если вы не знакомы с таким уровнем технических деталей, мы рекомендуем вам обратиться к информации поддержки производителя вашего ПК для получения дополнительных инструкций, относящихся к вашему устройству.

Безопасная загрузка – это важная функция безопасности, предназначенная для предотвращения загрузки вредоносного программного обеспечения при запуске (загрузке) компьютера. Большинство современных ПК поддерживают безопасную загрузку, но в некоторых случаях могут быть настройки, из-за которых компьютер не поддерживает безопасную загрузку. Эти настройки можно изменить в прошивке ПК. Микропрограмма, часто называемая BIOS (базовая система ввода/вывода), – это программа, которая запускается перед Windows при первом включении компьютера.

Чтобы получить доступ к этим настройкам, обратитесь к документации производителя вашего ПК или следуйте этим инструкциям: Запустите Настройки > Обновление и безопасность > Восстановление и выберите Перезагрузить сейчас в разделе Расширенный запуск. На следующем экране выберите Устранение неполадок > Дополнительные параметры > Настройки встроенного ПО UEFI > Перезапустите , чтобы внести изменения.

Чтобы изменить эти настройки, вам потребуется переключить режим загрузки ПК с «устаревшего» BIOS (также известного как режим «CSM») на UEFI/BIOS (унифицированный расширяемый интерфейс встроенного ПО). В некоторых случаях есть возможность включить как UEFI, так и Legacy/CSM. Если это так, вам нужно будет выбрать UEFI в качестве первого или единственного варианта. Если вы не знаете, как внести необходимые изменения для включения UEFI/BIOS, мы рекомендуем вам проверить информацию о поддержке производителя вашего ПК на их веб-сайте. Вот несколько ссылок на информацию от некоторых производителей ПК, которая поможет вам начать работу:

  • Делл

  • org/ListItem»>

    Леново

  • HP

Хотя для обновления устройства с Windows 10 до Windows 11 требуется только наличие на ПК возможности безопасной загрузки с включенным UEFI/BIOS, вы также можете включить или включить безопасную загрузку для повышения безопасности.

Системные требования Windows 11

Способы установки Windows 11

Справка и обучение Windows

MSI прерывает безопасную загрузку для сотен материнских плат

Обновление от 22.01.23: Название обновлено, так как MSI намеренно изменила этот параметр, как указано ниже.

Сообщается, что более 290 материнских плат MSI подвержены небезопасным параметрам настройки безопасной загрузки UEFI по умолчанию, которые позволяют запускать любой образ операционной системы независимо от того, имеет ли он неправильную или отсутствующую подпись.

Это открытие сделал польский исследователь безопасности по имени Давид Потоцкий, который утверждает, что не получил ответа, несмотря на его попытки связаться с MSI и сообщить им о проблеме.

Эта проблема, по словам Потоцкого, затрагивает многие материнские платы MSI на базе процессоров Intel и AMD, которые используют последнюю версию прошивки, затрагивая даже совершенно новые модели материнских плат MSI.

Безопасная загрузка UEFI

Безопасная загрузка — это функция безопасности, встроенная в микропрограмму материнских плат UEFI, которая гарантирует, что в процессе загрузки может выполняться только доверенное (подписанное) программное обеспечение.

«При запуске ПК микропрограмма проверяет подпись каждой части загрузочного программного обеспечения, включая драйверы микропрограммы UEFI (также известные как дополнительные ПЗУ), приложения EFI и операционную систему», — объясняет Microsoft в статье о безопасной загрузке.

«Если подписи верны, ПК загружается, а прошивка передает управление операционной системе. »

Для проверки безопасности загрузчиков, ядер ОС и других важных компонентов системы безопасная загрузка проверяет PKI (инфраструктуру открытых ключей), которая аутентифицирует программное обеспечение и определяет его достоверность при каждой загрузке.

Если программное обеспечение не подписано или его подпись изменилась (возможно, из-за модификации), процесс загрузки будет остановлен функцией безопасной загрузки для защиты данных, хранящихся на компьютере.

Эта система безопасности предназначена для предотвращения запуска буткитов/руткитов UEFI (1, 2, 3) на компьютере и для предупреждения пользователей о том, что их операционная система была изменена после поставки системы поставщиком.

Настройки MSI по умолчанию вызывают небезопасную загрузку

Потоцкий утверждает, что обновления прошивки MSI, выпущенные в период с сентября 2021 г. по январь 2022 г., изменили настройку безопасной загрузки по умолчанию на материнских платах MSI, чтобы система загружалась, даже если обнаружит нарушения безопасности.

«Я решил настроить безопасную загрузку на моем новом рабочем столе с помощью sbctl. К сожалению, я обнаружил, что моя прошивка принимает все образы ОС, которые я ей давал, независимо от того, доверяли они им или нет», — объясняет исследователь в его запись.

«Как я позже обнаружил 16 декабря 2022 года, это была не просто сломанная прошивка; MSI изменила свои настройки безопасной загрузки по умолчанию, чтобы разрешить загрузку при нарушениях безопасности (!!)».

Это изменение было связано с ошибочной установкой для параметра «Политика выполнения образов» в микропрограмме значения «Выполнять всегда» по умолчанию, что позволяло любому образу загружать устройство в обычном режиме.

Небезопасная настройка по умолчанию в последней версии прошивки MSI. позволяя системе загружаться, даже если есть нарушения безопасности.

Это фактически нарушает функцию безопасной загрузки, поскольку ненадежные образы по-прежнему могут использоваться для загрузки устройства. разрешить загрузку подписанного программного обеспечения.

Изменение небезопасного параметра   (dawidpotocki.com)

Исследователь говорит, что MSI никогда не документировала это изменение, поэтому ему пришлось отслеживать введение небезопасного значения по умолчанию с помощью IFR (внутреннее представление форм UEFI) для извлечения информации о параметрах конфигурации.

Затем Потоцкий использовал эту информацию, чтобы определить, какие материнские платы MSI затронуты этой проблемой. Полный список более 290 материнских плат и версий прошивки, на которые влияет этот небезопасный параметр, доступен на GitHub.

Если вы используете материнскую плату MSI из этого списка, перейдите к настройкам BIOS и убедитесь, что для параметра «Политика выполнения образов» установлено безопасное значение.

Если вы не обновляли прошивку своей материнской платы с января 2022 года, введение неправильного значения по умолчанию не должно быть причиной для дальнейшего откладывания обновления, поскольку обновления программного обеспечения содержат важные исправления безопасности.

Компания BleepingComputer связалась с MSI, чтобы запросить комментарий по вышеизложенному и узнать, планируют ли они изменить настройку по умолчанию с помощью нового обновления, но мы все еще ждем ответа.


Обновление от 18 января — BleepingComputer получил разъяснения от Давида Потоцкого об уязвимых версиях прошивки для каждой модели материнской платы MSI и внес необходимые исправления в статью.

Обновление от 20 января  — MSI еще не ответила на запрос BleepingComputer о комментарии, но компания разместила на Reddit следующее заявление: 

.

Компания MSI реализовала механизм безопасной загрузки в наших материнских платах, следуя рекомендациям по проектированию, определенным Microsoft и AMI перед выпуском Windows 11.

Мы заранее установили для параметра «Безопасная загрузка» значение «Включено» и «Всегда выполнять» в качестве параметра по умолчанию, чтобы предложить удобную для пользователя среду, которая позволяет нескольким конечным пользователям гибко создавать свои системы ПК с тысячами (или более) компонентами, которые включают их встроенные дополнительное ПЗУ, включая образы ОС, что обеспечивает более высокую совместимость конфигураций.

Читайте также: