Windows 8 Secure Boot

Varen škorenj (varen zagonski ali zagonski zagonski sistem) je ena od funkcij UEFI, ki vam omogoča, da se ukvarjate z rootkiti in zagonskimi programi (ki uporabljajo ranljivosti v strojni opremi BIOS-a) tudi na predhodni stopnji nalaganja OS. Tehnologija varnega zagona je eden od obrambnih korakov v novem operacijskem sistemu Microsoft Windows - Windows 8 in Windows Server 2012. V tem članku bomo preučili praktične in teoretične vidike dela Varno zagon v sistemu Windows 8 (velja tudi za Windows Server 2012).

Ni skrivnost, da je v sodobnih sistemih nalaganje OS ena najbolj ranljivih komponent z varnostnega vidika. Dovolj je, da napadalec prenese funkcije zagonskega nalagala na svoj ("zlonamerni") zagonski nalagalnik in takšen zagonski nalagalnik ne bo zaznal varnostni sistem OS in protivirusna programska oprema.

Funkcija Secure Boot v operacijskem sistemu Windows 8 vam omogoča, da med zagonom (pred zagonom operacijskega sistema) organizirate pregled vseh zagnanih komponent (gonilnikov, programov), pri čemer zagotovite, da samo zaupanja vreden (digitalno podpisan) programi se lahko zaženejo med zagonom sistema Windows. UEFI blokira nepodpisano kodo in kodo brez ustreznih varnostnih potrdil (rootkiti, zagonski kompleti) (vendar je ta zaščitni sistem mogoče zaobiti, ne pozabite na plamen črve, podpisan s ponarejenim Microsoftovim potrdilom) Če je komponenta zaznana brez digitalnega podpisa, se bo samodejno zagnala storitev za obnovitev sistema Windows, ki bo poskušala spremeniti sistem Windows z obnovitvijo potrebnih sistemskih datotek.

Namig. Kaj storiti, če se po nadgradnji na Windows 8.1 na namizju v spodnjem desnem kotu pojavi napis "SecureBoot Secure Boot je pravilno konfiguriran".?

Jasno je treba razumeti, da je za uporabo tehnologije varnega zagona treba namesto BIOS-a v računalniku uporabiti sistem UEFI (to je opisano v članku UEFI in Windows 8). Poleg tega mora strojno-programska oprema matične plošče podpirati specifikacijo. UEFI v2.3.1 in imajo v svoji bazi podatkov podpise UEFI certifikat organa za potrjevanje sistema Microsoft Windows (ali potrdila proizvajalcev OEM strojne opreme, ki jih je potrdil Microsoft). Vsi novi računalniki s prednameščeno Windows 8 (64-bitne različice), ki so prejeli nalepko "Windows 8 pripravljen"na zahtevo Microsofta,  nujno zahtevajo aktivno varen zagon. Upoštevajte tudi, da sistema Windows 8 za ARM (Windows RT) ni mogoče namestiti na opremo, ki ne podpira UEFI ali omogoča onemogočanje varnega zagona. Če želite zaščiten škorenj ali ELAM delovati, TPM (zaupanja vreden platforma) ni potrebno!

Druga komponenta varnega zagona Windows 8  - ELAM (Anti-Malware - zgodnja predstavitev - tehnologija za zgodnji zagon zaščite pred zlonamerno programsko opremo) zagotavlja protivirusno zaščito, še preden se računalnik zažene. Tako certificirani protivirusni virus (ki pomeni izdelke različnih prodajalcev, ne le Microsofta) začne delovati, še preden zlonamerna programska oprema dobi priložnost, da zažene in skrije svojo prisotnost.

Nastavitev varnega zagona v sistemu Windows 8

Poskusimo ugotoviti, kako organizirati varen zagon sistema Windows 8 na novem računalniku (domnevamo, da imamo škatlasto, ne prednameščeno različico OEM Windows 8). Za poskus je bila izbrana matična plošča Asus P8Z77 s podporo UEFI (in nalepko za Windows 8). Razumeti je treba, da se bodo v drugih zaslonskih posnetkih zaslona in možnosti najverjetneje razlikovale posebne slike, glavna stvar pa je razumeti osnovna načela namestitve sistema Windows 8 iz varnega zagona v nov računalnik

Sistem je predviden za namestitev na pogon SSD, zato je v nastavitvah BIOS-a (v resnici je to UEFI) kot SATA Način Izbor vprašati AHCI. (kaj je AHCI)

Nato izklopite način CSM (način podpore združljivosti - način združljivosti BIOS-a), Izstrelite CSM - Invalidi.

Nato spremenite vrsto operacijskega sistema OS tip - Windows 8 EUFI, in preverite, ali je omogočen standardni način varnega zagona (Varno Čevelj Način - Standardno).

Za namestitev sistema Windows 8 v načinu UEFI potrebujemo bodisi zagonski DVD pogon (fizičen) z distribucijo Win 8, bodisi zagonski USB bliskovni pogon z Windows 8 (oblikovan v FAT32), pripravljen na poseben način (pripravili bomo zagonski UEFI bliskovni pogon za namestitev sistema Windows 8), ker . zagonski bliskovni pogon z NTFS v UEFI ne bo deloval. Omeniti velja, da je za namestitev sistema Windows 8 s pogona USB na pogon SSD trajalo le približno 7 minut!

Izklopite računalnik, vstavite zagonski disk (USB bliskovni pogon) in vklopite računalnik. Videli boste meni UEFI Boot, kjer morate izbrati svojo zagonsko napravo (možnost Windows Boot Manger je vidna na posnetku zaslona, ​​v resnici pa se bo prikazala šele po namestitvi sistema v načinu EFI).

Poglejmo se na možnosti particioniranja sistema. EFI in varen škorenj zahtevata, da je pogon v načinu GPT (ne MBR). V primeru, da disk ni označen, nadaljnjih kretenj in manipulacij z diskovnim delom ni potrebno, bo sistem naredil vse sam. Če je disk particioniran, jih izbrišite kot UEFI z varnim zagonom uporablja štiri posebne particije, ki jih bo namestitveni program samodejno ustvaril.

Domnevamo, da želimo pod Windows 8 uporabiti celoten pogon, zato samo kliknite Naprej, brez ustvarjanja particij. Windows samodejno ustvari štiri particije želene velikosti in jim dodeli imena:

  • Izterjava - 300 Mb
  • Sistem - 100 MB - sistemska particija EFI, ki vsebuje NTLDR, HAL, Boot.txt, gonilnike in druge datoteke, potrebne za zagon sistema.
  • MSR (Rezervirano) - 128 MB - razdelek, ki ga je rezerviral Microsoft (Microsoft Reserved -MSR) in je ustvarjen na vsakem disku za nadaljnjo uporabo v operacijskem sistemu
  • Primarno - ves preostali prostor je razdelek, v katerem je pravzaprav nameščen Windows 8


Nato izvedite namestitev sistema Windows 8. Po namestitvi sistema Windows s pomočjo Powershell lahko v ukazni vrstici s skrbniškimi pravicami preverite, ali je uporabljen varen zagon:

potrdi-SecureBootUEFI

Če je omogočen varni zagon, bo ukaz vrnil TRUE (če vrne napačno ali ukaz ni najden, potem je onemogočen).

Torej, uspešno smo namestili Windows 8 v varnem načinu zagona z UEFI.