Bezpieczny rozruch systemu Windows 8

Bezpieczny rozruch (bezpieczny rozruch lub bezpieczny rozruch) to jedna z funkcji UEFI, która pozwala radzić sobie z rootkitami i bootkitami (wykorzystującymi luki w oprogramowaniu BIOS) nawet na wstępnym etapie ładowania systemu operacyjnego. Technologia bezpiecznego rozruchu jest jedną z podstaw obrony w nowym systemie operacyjnym Microsoft - Windows 8 i Windows Server 2012. W tym artykule rozważymy praktyczne i teoretyczne aspekty pracy Bezpieczny rozruch w systemie Windows 8 (dotyczy również Windows Server 2012).

Nie jest tajemnicą, że we współczesnych systemach ładowanie systemu operacyjnego jest jednym z najbardziej wrażliwych komponentów z punktu widzenia bezpieczeństwa. Wystarczy, aby atakujący przeniósł funkcje bootloadera do swojego („złośliwego”) bootloadera, a taki bootloader nie zostanie wykryty przez system bezpieczeństwa systemu operacyjnego i oprogramowanie antywirusowe.

Funkcja bezpiecznego rozruchu w systemie Windows 8 pozwala zorganizować skanowanie wszystkich uruchomionych składników (sterowników, programów) podczas procesu rozruchu (przed uruchomieniem systemu operacyjnego), zapewniając, że tylko zaufany (podpisany cyfrowo) programy mogą działać podczas uruchamiania systemu Windows. Niepodpisany kod i kod bez odpowiednich certyfikatów bezpieczeństwa (rootkity, bootkity) są blokowane przez UEFI (ten system ochrony można jednak obejść, pamiętaj o robaku Flame, podpisanym fałszywym certyfikatem Microsoft) Jeśli składnik zostanie wykryty bez podpisu cyfrowego, automatycznie uruchomi się usługa odzyskiwania systemu Windows, która spróbuje wprowadzić zmiany w systemie Windows, przywracając niezbędne pliki systemowe.

Wskazówka. Co zrobić, jeśli po uaktualnieniu do systemu Windows 8.1 na pulpicie w prawym dolnym rogu pojawił się napis „SecureBoot Secure Boot jest nieprawidłowo skonfigurowany”?

Należy wyraźnie zrozumieć, że w celu korzystania z technologii bezpiecznego rozruchu należy użyć systemu UEFI zamiast BIOS-u na PC (jest to opisane w artykule UEFI i Windows 8). Ponadto oprogramowanie wewnętrzne płyty głównej musi obsługiwać specyfikację. UEFI v2.3.1 i mieć w swojej bazie danych UEFI podpisy certyfikat urzędu certyfikacji Microsoft Windows (lub certyfikaty sprzedawców sprzętu OEM certyfikowanych przez Microsoft). Wszystkie nowe komputery z preinstalowanym systemem Windows 8 (wersje 64-bitowe), które otrzymały naklejkę „Gotowy na Windows 8”zgodnie z żądaniem Microsoft,  koniecznie wymagają aktywnego bezpiecznego rozruchu. Należy również pamiętać, że systemu Windows 8 dla ARM (Windows RT) nie można zainstalować na urządzeniach, które nie obsługują UEFI lub umożliwiają wyłączenie Bezpiecznego rozruchu. Aby zapewnić bezpieczny rozruch lub ELAM, TPM (moduł zaufanej platformy) nie wymagane!

Kolejny składnik bezpiecznego rozruchu systemu Windows 8  - ELAM (Wczesne uruchomienie Anti-Malware - technologia wczesnego uruchamiania ochrony przed złośliwym oprogramowaniem) zapewnia ochronę antywirusową nawet przed uruchomieniem komputera. Tak więc certyfikowany program antywirusowy (czyli produkty różnych dostawców, nie tylko Microsoft) zaczyna działać, zanim złośliwe oprogramowanie będzie miało szansę uruchomić się i ukryć swoją obecność.

Konfigurowanie bezpiecznego rozruchu w systemie Windows 8

Spróbujmy dowiedzieć się, jak zorganizować bezpieczny rozruch systemu Windows 8 na nowym komputerze (zakłada się, że mamy wersję pudełkową, a nie preinstalowaną wersję OEM systemu Windows 8). Do eksperymentu wybrano płytę główną Asus P8Z77 ze wsparciem UEFI (i naklejkę gotową na Windows 8). Należy rozumieć, że w innych zrzutach ekranu i opcjach płyty głównej najprawdopodobniej będą się różnić, najważniejsze jest zrozumienie podstawowych zasad instalowania systemu Windows 8 z bezpiecznego rozruchu na nowym komputerze

System jest planowany do zainstalowania na dysku SSD, dlatego w ustawieniach BIOS (w rzeczywistości jest to UEFI) jako SATA Tryb Wybór zapytaj AHCI. (co to jest AHCI)

Następnie wyłącz tryb CSM (tryb wsparcia zgodności - tryb zgodności BIOS), Uruchom CSM - Niepełnosprawnych.

Następnie zmień typ systemu operacyjnego OS typ - Windows 8 EUFI, i upewnij się, że włączony jest standardowy tryb bezpiecznego rozruchu (Bezpiecznie Boot Tryb - Standard).

Aby zainstalować system Windows 8 w trybie UEFI, potrzebujemy rozruchowego napędu DVD (fizycznego) z dystrybucją Win 8 lub rozruchowego napędu flash USB z systemem Windows 8 (sformatowanym w FAT32) przygotowanego w specjalny sposób (przygotujemy rozruchowy napęd flash UEFI do instalacji systemu Windows 8), ponieważ . bootowalny dysk flash z NTFS w UEFI nie będzie działał. Warto zauważyć, że instalacja systemu Windows 8 z dysku flash USB na dysk SSD zajęła tylko około 7 minut!

Wyłącz komputer, włóż dysk rozruchowy (dysk flash USB) i włącz komputer. Zobaczysz menu rozruchowe UEFI, w którym musisz wybrać urządzenie rozruchowe (opcja Windows Boot Manger jest widoczna na zrzucie ekranu, ale w rzeczywistości pojawi się dopiero po zainstalowaniu systemu w trybie EFI).

Zastanówmy się nad opcjami partycjonowania dla systemu. EFI i bezpieczny rozruch wymagają, aby dysk był w trybie GPT (nie MBR). W przypadku, gdy dysk nie jest oznaczony, nie trzeba wykonywać żadnych gestów ani manipulacji przy pomocy diskpart, system zrobi wszystko sam. Jeśli dysk jest podzielony na partycje, usuń je jako UEFI używa bezpiecznego rozruchu, aby korzystać z czterech specjalnych partycji, które instalator utworzy automatycznie.

Zakłada się, że chcemy korzystać z całego dysku w systemie Windows 8, więc po prostu kliknij Dalej, bez tworzenia partycji. Windows automatycznie utworzy cztery partycje o wymaganym rozmiarze i nada im nazwy:

  • Odzyskiwanie - 300 Mb
  • System - 100 MB - partycja systemowa EFI zawierająca NTLDR, HAL, Boot.txt, sterowniki i inne pliki niezbędne do uruchomienia systemu.
  • MSR (zarezerwowany) - 128 MB - sekcja zarezerwowana przez Microsoft (Microsoft Reserved-MSR), która jest tworzona na każdym dysku do późniejszego wykorzystania przez system operacyjny
  • Podstawowe - cała pozostała przestrzeń to sekcja, w której faktycznie zainstalowany jest system Windows 8


Następnie wykonaj normalną instalację systemu Windows 8. Po zainstalowaniu systemu Windows za pomocą programu Powershell możesz upewnić się, że używany jest bezpieczny rozruch, w tym celu w wierszu polecenia z uprawnieniami administratora uruchom:

potwierdź-SecureBootUEFI

Jeśli bezpieczny rozruch jest włączony, polecenie zwróci PRAWDA (jeśli zwróci fałsz lub polecenie nie zostanie znalezione, zostanie wyłączone).

Pomyślnie zainstalowaliśmy system Windows 8 w trybie bezpiecznego rozruchu z UEFI.