Безпечне завантаження (Захищена завантаження або безпечна завантаження) – це одна з функцій UEFI, що дозволяє боротися з руткитами і буткіта (які використовують уразливості в прошивці BIOS) ще на попередньому етапі завантаження ОС. Технологія безпечного завантаження – один з ешелонів оборони в нових ОС Microsoft – Windows 8 і Windows Server 2012. У цій статті ми розглянемо практичні і теоретичні аспекти роботи Безпечне завантаження в ОС Windows 8 (Актуально і для Windows Server 2012).

Не секрет, що в сучасних системах завантаження ОС є одним з найбільш вразливих компонентів з точки зору безпеки. Зловмиснику досить передати функції завантажувача на свій ( «шкідливий») завантажувач, і подібний завантажувач НЕ буде детектуватиметься системою безпеки ОС і антивірусним ПЗ.

Функція Secure Boot в Windows 8 дозволяє в процесі завантаження (до запуску операційної системи) організувати перевірку всіх запускаються компонентів (драйвера, програми), гарантуючи, що тільки довірені (з цифровим підписом) програми можуть виконуватися в процесі завантаження Windows. Непідписаний код і код без належних сертифікатів безпеки (руткіти, буткіти) блокується UEFI (однак і цю систему захист можна обійти, згадайте хробака Flame, підписаного фальшивим сертифікатом Microsoft). У разі виявлення компонента без цифрового підпису автоматично запуститься служба Windows Recovery, яка спробує внести зміни в Windows, відновивши потрібні системні файли.

Варто однозначно розуміти, що для використання технології захищеної завантаження замість BIOS на ПК повинна використовуватися система UEFI (що це таке описано в статті UEFI і Windows 8). Крім того, прошивка материнської плати повинна підтримувати специфікацію UEFI v2.3.1 і мати в своїй базі сигнатур UEFI сертифікат центру сертифікації Microsoft Windows (або сертифікати OEM-дилерів апаратного забезпечення, завірені Microsoft). Всі нові комп’ютери з попередньо встановленою Windows 8 (64 бітових версіях), які отримали наклейку «Windows 8 готовий», На вимогу Microsoft, обов’язково вимагають активної Secure Boot. Також відзначимо, що Windows 8 для ARM (Windows RT) не можна встановити на обладнання, що не підтримує UEFI або дозволяє відключити Secure Boot.Для роботи secure boot або ELAM модуль TPM (trusted platform module) не вимагається!

Інший компонент захищеної завантаження Windows 8 – ELAM (Early-launch Anti-Malware – технологією раннього запуску захисту від шкідливого ПО), забезпечує антивірусний захист ще до завершення завантаження комп’ютера. Тим самим сертифікований антивірус (маються на увазі продукти різних вендорів, а не тільки Microsoft) починає працювати ще до того, як шкідливе ПЗ отримає шанс запуститися і приховати свою присутність.

Налаштування захищеної завантаження в Windows 8

Спробуємо розібратися, як можна організувати захищену завантаження Windows 8 на новому комп’ютері (передбачається, що у нас є версія коробочки, а не встановлена ​​OEM версія Windows 8). Для експерименту було обрано материнська плата Asus P8Z77 з підтримкою UEFI (і наклейкою Windows 8 ready). Слід розуміти, що в інший материнської плати конкретні скріншоти і опції швидше за все будуть відрізнятися, головне – усвідомити основні принципи установки Windows 8 з secure boot на новий комп’ютер

Систему планується встановити на SSD диск, тому в налаштуваннях BIOS (насправді це UEFI) в якості SATA Режим Відбір давайте запитаємо AHCI. (Що таке AHCI)
AHCi режим в efi bios плати asus

Далі відключимо режим CSM (compatibility support mode – режим сумісності з BIOS), Запуск CSM – Інваліди.

CSM режим сумісності з BIOS UEFI

Далі змінимо тип ОС THE типуWindows 8 EUFI, І переконався, що включений стандартний режим захищеної завантаження (Захищений Завантаження РежимСтандартний).

Підтримка secure boot mode в windows 8

Для установки Windows 8 в режимі UEFI нам потрібен або завантажувальний DVD диск (фізичний) з дистрибутивом Win 8, або завантажувальна USB флешка з Windows 8 (відформатована в FAT32) підготовлена ​​спеціальним чином (готуємо завантажувальний UEFI флешку для установки Windows 8), т.к . завантажувальна флешка з NTFS в UEFI працювати не буде. Варто відзначити, що установка Windows 8 з флешки на SSD диск зайняла всього близько 7 хвилин!

Вимкніть комп’ютер, вставте завантажувальний диск (флешку) і включіть комп’ютер. Перед вами з’явиться екран вибору параметрів завантаження (UEFI Boot menu), де потрібно вибрати ваше завантажувальний пристрій (на скріншоті видно опція Windows Boot Manger, але реально у вас вона з’явиться тільки після установки системи в режимі EFI).

Вибір завантажувального пристрою в uefi boot menu

Детальніше зупинимося на параметрах розбиття диска для системи. EFI і secure boot вимагають, щоб диск знаходився в режимі GPT (а не MBR). У тому випадку, якщо диск НЕ розмічений ніяких подальших рухів і маніпуляцій з diskpart виконувати не потрібно, система все зробить сама. Якщо диск розбитий на розділи, видаліть їх, тому що для роботи UEFI з secure boot потрібні чотири спеціальні розділи, які установник створить автоматично.

Установка чистої windows 8 в uefi з защіещнним режимом

Передбачається, що ми хочемо використовувати під Windows 8 весь диск цілком, тому просто тиснемо Далі, Не створюючи ніяких розділів. Windows автоматично створить чотири розділи потрібного розміру і задасть їм імена:

  • Одужання – 300 Мб
  • Система – 100 Мб – системний розділ EFI, що містить NTLDR, HAL, Boot.txt, драйвери та інші файли, необхідні для завантаження системи.
  • MSR (зарезервовано) – 128 Мб – розділ зарезервований Microsoft (Microsoft Reserved -MSR) який створюється на кожному диску для подальшого використання операційною системою
  • Первинна – все, що залишилося, це розділ, куди, власне, і встановлюється Windows 8

Дискові розділи windows 8 при установці на системі з uefi
Далі виконайте як зазвичай установку Windows 8. Після того, як Windows буде встановлена, за допомогою Powershell можна переконається, що використовується безпечна завантаження, для цього в командному рядку з правами адміністратора виконайте:

confirm-SecureBootUEFI

Якщо secure boot включена, команда поверне TRUE (якщо видасть false або команда не знайдена, отже – відключена).

перевірка режиму захищеної завантаження в windows 8 за допомогою powershell

Отже, ми успішно встановили Windows 8 в режимі захищеної завантаження (Secure Boot) з UEFI.

Leave a Reply

Your email address will not be published. Required fields are marked *