Windows 8 Secure Boot

Bezpečné spustenie (secure boot alebo secure boot) je jednou z funkcií UEFI, ktorá vám umožňuje pracovať s rootkitmi a bootkitmi (ktoré používajú zraniteľné miesta vo firmvéri BIOS) aj v predbežnej fáze načítania OS. Bezpečná bootovacia technológia je jednou z technológií obrany nového systému Microsoft Windows - Windows 8 a Windows Server 2012. V tomto článku sa budeme zaoberať praktickými a teoretickými aspektmi práce. Zabezpečené zavedenie systému Windows 8 (relevantné aj pre Windows Server 2012).

Nie je žiadnym tajomstvom, že v moderných systémoch je načítanie OS jedným z najzraniteľnejších komponentov z hľadiska bezpečnosti. Postačuje, aby útočník preniesol funkcie bootloadera do svojho („škodlivého“) bootloadera a taký bootloader nebude detekovaný bezpečnostným systémom OS a antivírusovým softvérom..

Funkcia Secure Boot v systéme Windows 8 umožňuje zorganizovať kontrolu všetkých spustených komponentov (ovládačov, programov) počas procesu zavádzania (pred spustením operačného systému), pričom sa zabezpečí, že iba dôveryhodné (digitálne podpísané) programy sa môžu spúšťať počas procesu zavádzania systému Windows. Neprihlásený kód a kód bez riadnych bezpečnostných certifikátov (rootkity, bootkity) sú blokované UEFI (tento systém ochrany však možno obísť, pamätajte na červa Flame podpísaného falošným certifikátom spoločnosti Microsoft). Ak sa komponent zistí bez digitálneho podpisu, automaticky sa spustí služba Windows Recovery, ktorá sa pokúsi vykonať zmeny v systéme Windows obnovením potrebných systémových súborov..

rada. Čo robiť, ak po inovácii na systém Windows 8.1 sa na pracovnej ploche v pravom dolnom rohu objavil nápis „SecureBoot Secure Boot je nakonfigurovaný nesprávne“?

Malo by byť zrejmé, že na používanie technológie bezpečného zavedenia systému sa musí namiesto systému BIOS na počítači používať systém UEFI (je to popísané v článku UEFI a Windows 8). Firmvér základnej dosky musí navyše podporovať špecifikáciu. UEFI v2.3.1 a mať vo svojej databáze podpisy UEFI certifikát certifikačnej autority systému Microsoft Windows (alebo certifikáty hardvérových predajcov OEM certifikovaných spoločnosťou Microsoft). Všetky nové počítače s predinštalovaným systémom Windows 8 (64-bitové verzie), ktoré dostali nálepku “Windows 8 pripravený“podľa požiadaviek spoločnosti Microsoft,  nutne vyžadujú aktívny zabezpečený boot. Pamätajte tiež na to, že Windows 8 pre ARM (Windows RT) nie je možné nainštalovať na zariadenie, ktoré nepodporuje UEFI alebo neumožňuje deaktivovať Secure Boot. Aby zabezpečené bootovanie alebo ELAM fungovali, TPM (modul dôveryhodnej platformy) nevyžaduje sa!

Ďalšou súčasťou zabezpečeného spúšťania systému Windows 8  - ELAM (Anti-Malware predčasného spustenia - technológia pre včasné spustenie ochrany pred škodlivým softvérom) poskytuje antivírusovú ochranu ešte pred zavedením počítača. Certifikovaný antivírus (tj produkty rôznych predajcov, nielen spoločnosti Microsoft) teda začne fungovať ešte predtým, ako malware dostane šancu na spustenie a skrytie svojej prítomnosti..

Nastavenie zabezpečeného spúšťania v systéme Windows 8

Skúsme prísť na to, ako zorganizovať zabezpečené spustenie systému Windows 8 na novom počítači (predpokladá sa, že máme skôr nainštalovanú OEM verziu systému Windows 8 v rámčeku ako predinštalovanú). Pre experiment bola vybraná základná doska Asus P8Z77 s podporou UEFI (a nálepka pripravená na Windows 8). Malo by byť zrejmé, že v iných základných doskách sa screenshoty a možnosti budú najpravdepodobnejšie líšiť, hlavnou vecou je porozumieť základným princípom inštalácie systému Windows 8 zo zabezpečeného zavedenia do nového počítača.

Systém sa plánuje nainštalovať na jednotku SSD, preto v nastaveniach systému BIOS (v skutočnosti je to UEFI) ako SATA režim výber žiadať AHCI. (čo je AHCI)

Ďalej vypnite režim CSM (režim podpory kompatibility - režim kompatibility BIOS)., odpálenie CSM - invalidný.

Ďalej zmeňte typ OS OS typ - Windows 8 EUFI, a uistite sa, že je povolený štandardný zabezpečený režim spúšťania (Secure topánka režim - štandardné).

Na inštaláciu systému Windows 8 v režime UEFI potrebujeme buď spúšťaciu jednotku DVD (fyzickú) s distribúciou Win 8, alebo spúšťaciu jednotku USB flash so systémom Windows 8 (formátovanú v systéme FAT32) pripravenú špeciálnym spôsobom (pripravujeme spúšťaciu jednotku UEFI flash na inštaláciu systému Windows 8), pretože , bootovací flash disk s NTFS v UEFI nebude fungovať. Je potrebné poznamenať, že inštalácia systému Windows 8 z jednotky USB Flash na jednotku SSD trvala iba asi 7 minút!

Vypnite počítač, vložte zavádzací disk (jednotka USB Flash) a zapnite počítač. Uvidíte ponuku UEFI Boot, kde musíte vybrať svoje bootovacie zariadenie (na snímke je viditeľná možnosť Windows Boot Manger, ale v skutočnosti sa objaví až po inštalácii systému v režime EFI).

Pozrime sa na možnosti rozdelenia systému. EFI a bezpečné spustenie vyžadujú, aby bola jednotka v režime GPT (nie MBR). V prípade, že disk nie je označený, nie sú potrebné žiadne ďalšie gestá a manipulácie s diskovou časťou, systém urobí všetko sám. Ak je disk rozdelený na oddiely, odstráňte ich ako UEFI používa zabezpečené bootovanie na použitie štyroch špeciálnych oddielov, ktoré inštalátor automaticky vytvorí.

Predpokladá sa, že chceme používať celú jednotku v systéme Windows 8, takže stačí kliknúť ďalšie, bez vytvárania oddielov. Systém Windows automaticky vytvorí štyri oddiely požadovanej veľkosti a pomenuje ich:

  • zotavenie - 300 Mb
  • systém - 100 MB - systémový oddiel EFI obsahujúci NTLDR, HAL, Boot.txt, ovládače a ďalšie súbory potrebné na zavedenie systému.
  • MSR (rezervované) - 128 MB - časť vyhradená spoločnosťou Microsoft (Microsoft Reserved -MSR), ktorá je vytvorená na každom disku pre následné použitie operačným systémom
  • primárny - všetok zostávajúci priestor je časťou, v ktorej je nainštalovaný Windows 8


Ďalej vykonajte obvyklú inštaláciu systému Windows 8. Po nainštalovaní systému Windows pomocou programu Powershell sa môžete uistiť, že sa používa bezpečné spustenie, na príkazovom riadku s právami správcu spustite:

confirm-SecureBootUEFI

Ak je povolené bezpečné zavedenie, príkaz vráti hodnotu PRAVDY (ak vráti nepravdivé alebo ak sa príkaz nenájde, potom je zakázaný).

Úspešne sme nainštalovali Windows 8 v režime Secure Boot s UEFI.