Windows 8 Secure Boot

Secure Boot (Захищена завантаження або безпечна завантаження) - це одна з функцій UEFI, що дозволяє боротися з руткитами і буткіта (які використовують уразливості в прошивці BIOS) ще на попередньому етапі завантаження ОС. Технологія безпечного завантаження - один з ешелонів оборони в нових ОС Microsoft - Windows 8 і Windows Server 2012. У цій статті ми розглянемо практичні і теоретичні аспекти роботи Secure boot в ОС Windows 8 (Актуально і для Windows Server 2012).

Не секрет, що в сучасних системах завантаження ОС є одним з найбільш вразливих компонентів з точки зору безпеки. Зловмиснику досить передати функції завантажувача на свій ( "шкідливий") завантажувач, і подібний завантажувач НЕ буде детектуватиметься системою безпеки ОС і антивірусним ПЗ.

Функція Secure Boot в Windows 8 дозволяє в процесі завантаження (до запуску операційної системи) організувати перевірку всіх запускаються компонентів (драйвера, програми), гарантуючи, що тільки довірені (з цифровим підписом) програми можуть виконуватися в процесі завантаження Windows. Непідписаний код і код без належних сертифікатів безпеки (руткіти, буткіти) блокується UEFI (однак і цю систему захист можна обійти, згадайте хробака Flame, підписаного фальшивим сертифікатом Microsoft). У разі виявлення компонента без цифрового підпису автоматично запуститься служба Windows Recovery, яка спробує внести зміни в Windows, відновивши потрібні системні файли.

Порада. Що робити, якщо на після поновлення до Windows 8.1, на робочому столі в правому нижньому кутку напис з'явився напис «Безпечне завантаження SecureBoot налаштована неправильно»?

Варто однозначно розуміти, що для використання технології захищеної завантаження замість BIOS на ПК повинна використовуватися система UEFI (що це таке описано в статті UEFI і Windows 8). Крім того, прошивка материнської плати повинна підтримувати специфікацію UEFI v2.3.1 і мати в своїй базі сигнатур UEFI сертифікат центру сертифікації Microsoft Windows (або сертифікати OEM-дилерів апаратного забезпечення, завірені Microsoft). Всі нові комп'ютери з попередньо встановленою Windows 8 (64 бітових версіях), які отримали наклейку "Windows 8 ready", На вимогу Microsoft,  обов'язково вимагають активної Secure Boot. Також відзначимо, що Windows 8 для ARM (Windows RT) не можна встановити на обладнання, що не підтримує UEFI або дозволяє відключити Secure Boot.Для роботи secure boot або ELAM модуль TPM (trusted platform module) не вимагається!

Інший компонент захищеної завантаження Windows 8  - ELAM (Early-launch Anti-Malware - технологією раннього запуску захисту від шкідливого ПО), забезпечує антивірусний захист ще до завершення завантаження комп'ютера. Тим самим сертифікований антивірус (маються на увазі продукти різних вендорів, а не тільки Microsoft) починає працювати ще до того, як шкідливе ПЗ отримає шанс запуститися і приховати свою присутність.

Налаштування захищеної завантаження в Windows 8

Спробуємо розібратися, як можна організувати захищену завантаження Windows 8 на новому комп'ютері (передбачається, що у нас є версія коробочки, а не встановлена ​​OEM версія Windows 8). Для експерименту було обрано материнська плата Asus P8Z77 з підтримкою UEFI (і наклейкою Windows 8 ready). Слід розуміти, що в інший материнської плати конкретні скріншоти і опції швидше за все будуть відрізнятися, головне - усвідомити основні принципи установки Windows 8 з secure boot на новий комп'ютер

Систему планується встановити на SSD диск, тому в налаштуваннях BIOS (насправді це UEFI) в якості SATA Mode Selection задамо AHCI. (Що таке AHCI)

Далі відключимо режим CSM (compatibility support mode - режим сумісності з BIOS), Launch CSM - Disabled.

Далі змінимо тип ОС OS type - Windows 8 EUFI, і переконався, що включений стандартний режим захищеної завантаження (Secure Boot Mode - Standard).

Для установки Windows 8 в режимі UEFI нам потрібен або завантажувальний DVD диск (фізичний) з дистрибутивом Win 8, або завантажувальна USB флешка з Windows 8 (відформатована в FAT32) підготовлена ​​спеціальним чином (готуємо завантажувальний UEFI флешку для установки Windows 8), т.к . завантажувальна флешка з NTFS в UEFI працювати не буде. Варто відзначити, що установка Windows 8 з флешки на SSD диск зайняла всього близько 7 хвилин!

Вимкніть комп'ютер, вставте завантажувальний диск (флешку) і включіть комп'ютер. Перед вами з'явиться екран вибору параметрів завантаження (UEFI Boot menu), де потрібно вибрати ваше завантажувальний пристрій (на скріншоті видно опція Windows Boot Manger, але реально у вас вона з'явиться тільки після установки системи в режимі EFI).

Детальніше зупинимося на параметрах розбиття диска для системи. EFI і secure boot вимагають, щоб диск знаходився в режимі GPT (а не MBR). У тому випадку, якщо диск НЕ розмічений ніяких подальших рухів і маніпуляцій з diskpart виконувати не потрібно, система все зробить сама. Якщо диск розбитий на розділи, видаліть їх, тому що для роботи UEFI з secure boot потрібні чотири спеціальні розділи, які установник створить автоматично.

Передбачається, що ми хочемо використовувати під Windows 8 весь диск цілком, тому просто тиснемо Next, не створюючи жодних розділів. Windows автоматично створить чотири розділи потрібного розміру і задасть їм імена:

  • Recovery - 300 Мб
  • System - 100 Мб - системний розділ EFI, що містить NTLDR, HAL, Boot.txt, драйвери та інші файли, необхідні для завантаження системи.
  • MSR (Reserved) - 128 Мб - розділ зарезервований Microsoft (Microsoft Reserved -MSR) який створюється на кожному диску для подальшого використання операційною системою
  • Primary - все, що залишилося, це розділ, куди, власне, і встановлюється Windows 8


Далі виконайте як зазвичай установку Windows 8. Після того, як Windows буде встановлена, за допомогою Powershell можна переконається, що використовується безпечна завантаження, для цього в командному рядку з правами адміністратора виконайте:

confirm-SecureBootUEFI

Якщо secure boot включена, команда поверне TRUE (якщо видасть false або команда не знайдена, отже - відключена).

Отже, ми успішно встановили Windows 8 в режимі захищеної завантаження (Secure Boot) з UEFI.