Windows 8 Secure Boot

Сигурна обувка (secure boot или secure boot) е една от функциите на UEFI, която ви позволява да се справяте с rootkits и bootkits (които използват уязвимости във фърмуера на BIOS) дори на предварителния етап на зареждане на операционната система. Технологията за безопасно зареждане е един от ешелоните на отбраната в новата операционна система Microsoft - Windows 8 и Windows Server 2012. В тази статия ще разгледаме практическите и теоретичните аспекти на работата Сигурно зареждане в Windows 8 (има значение и за Windows Server 2012).

Не е тайна, че в съвременните системи зареждането на ОС е един от най-уязвимите компоненти от гледна точка на сигурността. Достатъчно е един атакуващ да прехвърли функциите на bootloader в своя ("злонамерен") зареждащ инструмент и такъв зареждащ инструмент няма да бъде открит от системата за сигурност на OS и антивирусен софтуер.

Функцията Secure Boot в Windows 8 ви позволява да организирате сканиране на всички стартирани компоненти (драйвери, програми) по време на процеса на зареждане (преди да стартирате операционната система), като гарантирате, че само доверен (цифрово подписан) програмите могат да се стартират по време на процеса на зареждане на Windows. Неподписаният код и код без подходящи сертификати за сигурност (руткити, начални пакети) се блокират от UEFI (обаче тази система за защита може да бъде заобиколена, не забравяйте червея Flame, подписан с фалшив сертификат на Microsoft). Ако компонент бъде открит без цифров подпис, услугата за възстановяване на Windows автоматично ще стартира, която ще се опита да направи промени в Windows чрез възстановяване на необходимите системни файлове.

съвет. Какво да направите, ако след надграждане до Windows 8.1 надписът „SecureBoot Secure Boot е конфигуриран неправилно“ се появи на работния плот в долния десен ъгъл?

Трябва ясно да се разбере, че за да се използва технологията за сигурно зареждане, UEFI системата трябва да се използва вместо BIOS на компютъра (това е описано в статията за UEFI и Windows 8). Освен това фърмуерът на дънната платка трябва да поддържа спецификацията. UEFI v2.3.1 и имат в своята база данни UEFI подписи сертификат на сертифициращ орган на Microsoft Windows (или сертификати на OEM дилъри на хардуер, сертифицирани от Microsoft). Всички нови компютри с предварително инсталиран Windows 8 (64-битови версии), които получиха стикер "Windows 8 готов"по искане на Microsoft,  непременно изискват активна сигурна обувка. Също така имайте предвид, че Windows 8 за ARM (Windows RT) не може да бъде инсталиран на оборудване, което не поддържа UEFI или ви позволява да деактивирате Secure Boot. За да работи сигурно зареждане или ELAM, TPM (доверен модул на платформата) не се изисква!

Друг компонент на сигурното зареждане на Windows 8  - ЕЛАМ (Анти-злонамерен софтуер за ранно стартиране - технология за ранно стартиране на защитата срещу злонамерен софтуер) осигурява антивирусна защита дори преди компютърът да се зареди. По този начин сертифициран антивирус (означаващ продукти на различни доставчици, а не само на Microsoft) започва да работи дори преди злонамерен софтуер да получи възможност да стартира и скрие присъствието си.

Настройка на сигурно зареждане в Windows 8

Нека се опитаме да разберем как да организираме сигурно зареждане на Windows 8 на нов компютър (предполага се, че имаме кутийка, а не предварително инсталирана версия на OEM на Windows 8). За експеримента беше избрана дънна платка Asus P8Z77 с поддръжка на UEFI (и стикер за Windows 8). Трябва да се разбере, че в други скрийншоти и опции на дънната платка най-вероятно ще се различават, основното е да се разберат основните принципи за инсталиране на Windows 8 от сигурно зареждане до нов компютър

Системата се планира да бъде инсталирана на SSD устройство, следователно в настройките на BIOS (всъщност това е UEFI) като SATA вид селекция попитам AHCI. (какво е AHCI)

След това изключете режима на CSM (режим на поддръжка на съвместимост - режим на съвместимост с BIOS), хвърлям CSM - За хора с увреждания.

След това променете типа на ОС OS тип - Windows 8 EUFI, и се уверете, че стандартният защитен режим на стартиране е активиран (Secure ботуш вид - стандарт).

За да инсталирате Windows 8 в режим UEFI, се нуждаем или от стартиращо DVD устройство (физическо) с разпределението на Win 8, или от стартиращо USB флаш устройство с Windows 8 (форматирано в FAT32), подготвено по специален начин (ще подготвим стартиращо UEFI флаш устройство за инсталиране на Windows 8), защото , зареждащо флаш устройство с NTFS в UEFI няма да работи. Заслужава да се отбележи, че инсталирането на Windows 8 от USB флаш устройство на SSD устройство отне само около 7 минути!

Изключете компютъра, поставете стартиращия диск (USB флаш устройство) и включете компютъра. Ще видите менюто на UEFI Boot, където трябва да изберете устройството си за стартиране (опцията Windows Boger Manger е видима на екрана, но в действителност тя ще се появи само след инсталиране на системата в режим на EFI).

Нека се спрем на опциите за разделяне на системата. EFI и сигурното зареждане изискват устройството да е в режим GPT (не MBR). В случай, че дискът не е маркиран, не са необходими допълнителни жестове и манипулации с diskpart, системата ще направи всичко сама. Ако дискът е разделен, изтрийте ги като UEFI използва защитено зареждане, за да използва четири специални дяла, които инсталаторът автоматично ще създаде.

Приема се, че искаме да използваме цялото устройство под Windows 8, така че просто щракнете до, без да създавате никакви дялове. Windows автоматично ще създаде четири дяла с необходимия размер и ще им даде имена:

  • възстановяване - 300 Mb
  • система - 100 MB - EFI системен дял, съдържащ NTLDR, HAL, Boot.txt, драйвери и други файлове, необходими за зареждане на системата.
  • MSR (запазено) - 128 MB - раздел, запазен от Microsoft (Microsoft Reserved -MSR), който се създава на всеки диск за последващо използване от операционната система
  • първичен - цялото останало пространство е секцията, в която всъщност е инсталиран Windows 8


След това извършете инсталацията на Windows 8. Обикновено след инсталиране на Windows с помощта на Powershell можете да се уверите, че се използва безопасно зареждане, за да направите това в командния ред с права на администратор, изпълнете:

потвърдете-SecureBootUEFI

Ако е активиран защитен стартиране, командата ще върне ИСТИНСКО (ако върне невярно или командата не е намерена, тогава е деактивирана).

И така, успешно инсталирахме Windows 8 в режим на сигурно зареждане с UEFI.