Secure Boot (защищенная загрузка или безопасная загрузка) – это одна из функций UEFI, позволяющая бороться с руткитами и буткитами (которые используют уязвимости в прошивке BIOS) еще на предварительном этапе загрузки ОС. Технология безопасной загрузки – один из эшелонов обороны в новых ОС Microsoft — Windows 8 и Windows Server 2012. В этой статье мы рассмотрим практические и теоретические аспекты работы Secure boot в ОС Windows 8 (актуально и для Windows Server 2012).
Не секрет, что в современных системах загрузка ОС является одним из самых уязвимых компонентов с точки зрения безопасности. Злоумышленнику достаточно передать функции загрузчика на свой («вредоносный») загрузчик, и подобный загрузчик не будет детектироваться системой безопасности ОС и антивирусным ПО.
Функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы могут выполняться в процессе загрузки Windows. Неподписанный код и код без надлежащих сертификатов безопасности (руткиты, буткиты) блокируется UEFI (однако и эту систему защиту можно обойти, вспомните червя Flame, подписанного фальшивым сертификатом Microsoft ). В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы.
Совет. Что делать, если на после обновления до Windows 8.1, на рабочем столе в правом нижнем углу надпись появилась надпись « ?
Стоит однозначно понимать, что для использования технологии защищенной загрузки вместо BIOS на ПК должна использоваться система UEFI (что это такое описано в статье ). Кроме того, прошивка материнской платы должна поддерживать спецификацию UEFI v2.3.1 и иметь в своей базе сигнатур UEFI сертификат центра сертификации Microsoft Windows (или сертификаты OEM-дилеров аппаратного обеспечения, заверенные Microsoft). Все новые компьютеры с предустановленной Windows 8 (64 битными версиями), получившие наклейку «Windows 8 ready », по требованию Microsoft, обязательно требуют активной Secure Boot. Также отметим, что Windows 8 для ARM (Windows RT) нельзя установить на оборудование, не поддерживающее UEFI или позволяющее отключить Secure Boot.Для работы secure boot или ELAM модуль TPM (trusted platform module) не требуется !
Другой компонент защищенной загрузки Windows 8 — ELAM (Early-launch Anti-Malware — технологией раннего запуска защиты от вредоносного ПО), обеспечивает антивирусную защиту ещё до завершения загрузки компьютера. Тем самым сертифицированный антивирус (имеются в виду продукты различных вендоров, а не только Microsoft) начинает работать еще до того, как вредоносное ПО получит шанс запуститься и скрыть свое присутствие.
Настройка защищенной загрузки в Windows 8
Попробуем разобраться, как можно организовать защищенную загрузку Windows 8 на новом компьютере (предполагается, что у нас имеется коробочная, а не предустановленная OEM версия Windows 8). Для эксперимента была выбрана материнская плата Asus P8Z77 с поддержкой UEFI (и наклейкой Windows 8 ready). Следует понимать, что в другой материнской плате конкретные скриншоты и опции скорее всего будут отличаться, главное — уяснить основные принципы установки Windows 8 с secure boot на новый компьютер
Систему планируется установить на SSD диск, поэтому в настройках BIOS (на самом деле это UEFI) в качестве SATA
Mode
Selection
зададим AHCI
. ()
Для установки Windows 8 в режиме UEFI нам нужен либо загрузочный DVD диск (физический) с дистрибутивом Win 8, либо загрузочная USB флешка с Windows 8 (отформатированная в FAT32) подготовленная специальным образом (), т.к. загрузочная флешка с NTFS в UEFI работать не будет. Стоит отметить, что установка Windows 8 с флешки на SSD диск заняла всего около 7 минут!
Отключите компьютер, вставьте загрузочный диск (флешку) и включите компьютер. Перед вами появится экран выбора параметров загрузки (UEFI Boot menu), где нужно выбрать ваше загрузочное устройство (на скриншоте видна опция Windows Boot Manger, но реально у вас она появится только после установки системы в режиме EFI).
Подробнее остановимся на параметрах разбиения диска для системы. EFI и secure boot требуют, чтобы диск находился в режиме GPT (а не MBR). В том случае, если диск не размечен никаких дальнейших телодвижений и манипуляций с diskpart выполнять не нужно, система все сделает сама. Если диск разбит на разделы, удалите их, т.к. для работы UEFI с secure boot нужны четыре специальных раздела, которые установщик создаст автоматически.
Предполагается, что мы хотим использовать под Windows 8 весь диск целиком, поэтому просто жмем Next , не создавая никаких разделов. Windows автоматически создаст четыре раздела нужного размера и задаст им имена:
- Recovery – 300 Мб
- System – 100 Мб – системный раздел EFI, содержащий NTLDR, HAL, Boot.txt, драйверы и другие файлы, необходимые для загрузки системы.
- MSR (Reserved) – 128 Мб – раздел зарезервированный Microsoft (Microsoft Reserved -MSR) который создается на каждом диске для последующего использования операционной системой
- Primary – все оставшееся место, это раздел, куда, собственно, и устанавливается Windows 8
Далее выполните как обычно установку Windows 8. После того, как Windows будет установлена, с помощью Powershell можно удостоверится, что используется безопасная загрузка, для этого в командной строке с правами администратора выполните:
Confirm-SecureBootUEFI
Если secure boot включена, команда вернет TRUE (если выдаст false или команда не найдена, значит — отключена).
Итак, мы успешно установили Windows 8 в режиме защищенной загрузки (Secure Boot) с UEFI.
В данной статье мы поговорим о такой важной настройке в BIOS, как Launch csm. Также она может иметь названия CMS Boot, UEFI and Legacy OS, CMS OS и обычно находится в разделе BOOT. Вы узнаете на что она влияет и когда ее следует активировать.
Что делает Launch CSM?
Данная опция расшифровывается как Launch Compatibility Support Module что в переводе с английского звучит «Модуль поддержки запуска в режиме совместимости». Проще говоря Launch csm при переводе в режим «Enabled» активирует специальный режим расширенной совместимости. Этот режим позволяет загружаться и устанавливать различные версии более старых операционных систем, к которым уже можно отнести Windows 7.
Следует учесть, что в большинстве ноутбуков, которые идут с предустановленной версией Windows также нужно отключать режим защищенной загрузки Secure Boot.
Когда нужно включать Launch csm?
Когда вы собираетесь переустанавливать Windows данную опцию лучше активировать, ведь она в большинстве случаев по умолчанию отключена. Иначе не исключено, что вы попросту не загрузитесь со своего загрузочного носителя или он будет отсутствовать в списке загрузочных устройств.
launch csm в отключенном состоянии
launch csm в UEFI
Также стоит учесть, что сначала активируется Launch csm переводом в состояние Enabled, затем изменения сохраняются и компьютер перезагружается. Далее вы снова и только теперь меняете приоритеты загрузки для установки Windows.
«Компостер» коснулся тонких материй, соединяющих прошлое с настоящим. В компьютерном мире это называется совместимостью. Пытливый ум экспериментатора хочет знать: что будет, если ослушаться маму мануал и отказаться от совместимости? Другими словами: хорошо ли усвоен материал по выполнению на материнской плате операции Clear CMOS? Если с этим все в порядке, следуйте за нами, дорогие читатели. Мы начинаем эксперименты с утилитой Aptio Setup Utility, надежно встроенной в состав UEFI BIOS производства American Megatrends.
Не говори GOP, если не знаешь, чем это закончится
Легко и просто с ноутбуками: заходя в Setup, они бодро рапортуют о том, какая именно версия GOP поддерживается на данной платформе. Напомним тем, кто только недавно к нам подключился: Graphics Output Protocol – это новинка, пришедшая на смену VGA BIOS в угоду UEFI.
Рис 1
.CSM, как технология совместимости,
открывает дополнительные опции меню UEFI BIOS
Сложнее дело обстоит с настольными системами. В слот расширения можно установить практически любую подходящую видео карту. И если у нас видеокарта, не имеющая поддержки GOP, а мы выключаем CSM-режим и выходим из Setup с записью, то после перезагрузки нас ждет фатальная ошибка – звуковой сигнал об отсутствии видео (1 длинный и три коротких гудка). Затем пауза и следующая перезагрузка, при которой BIOS включил CSM самовольно и предупреждает нас об этом таким сообщением:
The VGA Card is not supported UEFI Driver.
CSM (Compatibility Support Module) settings have been changed for better compatibility.
Что же происходит в процессе выполнения POST-процедур? Очевидно, что если VGA BIOS не поддерживает UEFI, то firmware системной платы не может взаимодействовать с ресурсами видеокарты по GOP-протоколу . Проигнорировать «неудобный » Legacy VGA BIOS и работать с видео контроллером напрямую, firmware системной платы также не может, так как операции с графическим контроллером требуют весьма специфической поддержки и UEFI BIOS системной платы не готов заранее поддерживать все типы графических контроллеров.
CSM – это мост между прошлым и будущим
Единственное решение, приемлемое для совместимости старого и нового, – технология Compatibility Support Module. Только она способна создать «мостик» между UEFI GOP и Legacy VGA BIOS.
Рис 2
. Запрет CSM-технологии не допускает
редактирования других опций CSM-меню
Алгоритмы утилиты Aptio Setup в этом нас убеждают. Если CSM-режим разрешен, все прочие опции на этой странице доступны. При выключении режима совместимости другие опции становятся недоступными. И если выйти из Setup, сохранив изменения, платформа не сможет проинициализировать видео и сгенерирует ошибку, описанную выше.
Очевидно, вопрос касается не только графики. Если мы устанавливаем, например Storage-контроллер, firmware которого не поддерживает UEFI, то при запрете режима CSM, диски, подключены к нему, останутся недоступными.
Рассмотрим настройки BIOS бюджетного ноутбука ASUS X550LA (90NB02F2-M00140).
Закладка Main (Главная)
. Здесь прописана информация о BIOS (AMI), установленном энергоэффективном процессоре Intel Core i3-4010U, объеме оперативной памяти, серийном номере, системных дате и времени, и установленном уровне доступа.
Закладка Advanved (Расширенные)
. Здесь есть настройки загрузки, возможность включения/отключения дополнительный опций процессора: Intel Virtualization Technology, Intel AES-NI, VT-d. Доступ к настройкам SATA, интегрированой графики, USB, сетевых настроек и т.д.
Раздел SATA Mode Selection, на первом порте у нас висит жесткий диск HGST HTS545050A7E680, на втором DVD оптический привод: HL-DT-ST DVDRAM GU71N производства Hitachi-LG Data Storage. Работа в режиме AHCI.
Закладка Security (Секретность)
. В данном разделе можно установить пароль на вход, для жесткого диска: для пользователей и администратора.
Для установки операционной системы Windows 7 вместо предустановленной Windows 8, необходимо в разделе Security отключить Secure Boot menu, и затем в разделе Boot включить Launch CSM > Enabled.
Launch CSM (Launch Compatibility Support Module) это «Модуль поддержки запуска в режиме совместимости». Выбор Enabled - активирует специальный режим расширенной совместимости. Этот режим позволяет загружаться и устанавливать различные версии более старых операционных систем, к которым уже можно отнести и Misrosoft Windows 7.