Windows 8 Secure Boot

Bezpečné spuštění (Secure Boot nebo Secure Boot) je jednou z funkcí UEFI, která vám umožní zabývat se rootkity a bootkity (které využívají zranitelnosti ve firmwaru BIOS) i v předběžné fázi zavádění operačního systému. Bezpečná spouštěcí technologie je jednou z předností obrany v novém systému Microsoft OS - Windows 8 a Windows Server 2012. V tomto článku se budeme zabývat praktickými a teoretickými aspekty práce Zabezpečené spuštění v systému Windows 8 (také relevantní pro Windows Server 2012).

Není žádným tajemstvím, že v moderních systémech je načítání OS jednou z nejzranitelnějších součástí z hlediska zabezpečení. Stačí, když útočník přenese funkce bootloaderu do svého („škodlivého“) bootloaderu a takový bootloader nebude detekován bezpečnostním systémem OS a antivirovým softwarem.

Funkce Secure Boot v systému Windows 8 umožňuje organizovat kontrolu všech spuštěných komponent (ovladačů, programů) během procesu spouštění (před spuštěním operačního systému), přičemž zajišťuje, že pouze důvěryhodné (digitálně podepsané) programy lze spustit během procesu spouštění systému Windows. Nepřihlášený kód a kód bez řádných bezpečnostních certifikátů (rootkity, bootkity) jsou blokovány UEFI (tento systém ochrany však lze obejít, pamatujte na červa Flame podepsaného falešným certifikátem Microsoft) Pokud je součást detekována bez digitálního podpisu, automaticky se spustí služba Obnovení systému Windows, která se pokusí provést změny v systému Windows obnovením potřebných systémových souborů..

Tip. Co dělat, když po upgradu na Windows 8.1 se na ploše v pravém dolním rohu objevil nápis „SecureBoot Secure Boot je nakonfigurován nesprávně“?

Mělo by být jasně pochopeno, že za účelem použití technologie bezpečného spouštění musí být místo počítače BIOS v počítači použit systém UEFI (to je popsáno v článku UEFI a Windows 8). Firmware základní desky musí navíc tuto specifikaci podporovat. UEFI v2.3.1 a mít ve své databázi podpisy UEFI certifikát certifikační autority systému Microsoft Windows (nebo certifikáty hardwarových prodejců OEM certifikovaných společností Microsoft). Všechny nové počítače s předinstalovaným systémem Windows 8 (64bitová verze), které obdržely nálepku “Windows 8 připraven"podle požadavku společnosti Microsoft,  nutně vyžadují aktivní zabezpečené spuštění. Také si všimněte, že Windows 8 pro ARM (Windows RT) nelze nainstalovat na zařízení, které nepodporuje UEFI nebo neumožňuje deaktivovat Secure Boot. Pro bezpečné spuštění nebo ELAM funguje TPM (důvěryhodný platformový modul) není nutné!

Další součástí zabezpečeného spouštění systému Windows 8  - ELAM (Předčasné spuštění Anti-Malware - technologie pro včasné spuštění ochrany proti malwaru) poskytuje antivirovou ochranu ještě před spuštěním počítače. Certifikovaný antivirový program (tj. Produkty různých dodavatelů, nejen společnosti Microsoft) tedy začne fungovat ještě předtím, než malware dostane šanci začít a skrýt svou přítomnost.

Nastavení zabezpečeného spouštění v systému Windows 8

Pokusme se přijít na to, jak uspořádat zabezpečené spuštění systému Windows 8 na novém počítači (předpokládá se, že máme krabicovou a předinstalovanou OEM verzi systému Windows 8). Pro experiment byla vybrána základní deska Asus P8Z77 s podporou UEFI (a nálepka připravená pro Windows 8). Mělo by být zřejmé, že v jiných základních deskách se screenshoty a možnosti budou pravděpodobně lišit, hlavní věcí je porozumět základním principům instalace systému Windows 8 od bezpečného spuštění do nového počítače.

Systém je plánován na instalaci na jednotku SSD, proto v nastavení systému BIOS (ve skutečnosti je to UEFI) jako SATA Režim Výběr zeptat se AHCI. (co je AHCI)

Dále vypněte režim CSM (režim podpory kompatibility - režim kompatibility BIOS), Spusťte CSM - Zakázáno.

Dále změňte typ operačního systému OS typ - Windows 8 EUFI, a ujistěte se, že je povolen standardní zabezpečený spouštěcí režim (Bezpečné Boot Režim - Standardní).

K instalaci Windows 8 v režimu UEFI potřebujeme buď zaváděcí DVD mechaniku (fyzickou) s distribucí Win 8, nebo zaváděcí USB flash disk s Windows 8 (formátovaný v FAT32) připravený speciálním způsobem (připravíme zaváděcí UEFI flash jednotku pro instalaci Windows 8), protože . spouštěcí flash disk s NTFS v UEFI nebude fungovat. Je třeba poznamenat, že instalace systému Windows 8 z jednotky USB Flash na jednotku SSD trvala pouze asi 7 minut!

Vypněte počítač, vložte zaváděcí disk (USB flash disk) a zapněte počítač. Uvidíte obrazovku pro výběr zaváděcích parametrů (nabídka UEFI Boot), kde musíte vybrat své zaváděcí zařízení (na obrazovce se zobrazuje možnost Windows Boot Manger, ale ve skutečnosti ji uvidíte až po instalaci systému v režimu EFI).

Pojďme se zabývat možnostmi rozdělení systému. EFI a bezpečné spuštění vyžadují, aby byla jednotka v režimu GPT (nikoli MBR). V případě, že disk není označen, není třeba provádět žádná další gesta a manipulace s částí disku, systém provede vše sám. Pokud je disk rozdělen na oddíly, odstraňte je jako UEFI používá zabezpečené spuštění k použití čtyř speciálních oddílů, které instalační program automaticky vytvoří.

Předpokládá se, že chceme používat celou jednotku pod Windows 8, takže stačí kliknout Další, bez vytváření oddílů. Systém Windows automaticky vytvoří čtyři oddíly požadované velikosti a pojmenuje je:

  • Zotavení - 300 Mb
  • Systém - 100 MB - systémový oddíl EFI obsahující NTLDR, HAL, Boot.txt, ovladače a další soubory potřebné pro zavedení systému.
  • MSR (vyhrazeno) - 128 MB - část vyhrazená společností Microsoft (Microsoft Reserved -MSR), která je vytvořena na každém disku pro následné použití operačním systémem
  • Primární - veškerý zbývající prostor je část, ve které je nainstalován Windows 8


Dále proveďte obvyklou instalaci systému Windows 8. Po instalaci systému Windows pomocí Powershell se můžete ujistit, že je používáno bezpečné spuštění, na příkazovém řádku s právy správce spusťte:

Confirm-SecureBootUEFI

Pokud je povoleno zabezpečené spuštění, příkaz vrátí PRAVDA (pokud vrátí false nebo pokud příkaz není nalezen, je zakázán).

Úspěšně jsme tedy nainstalovali Windows 8 v režimu Secure Boot s UEFI.