Большинство пользователей обновили свои компьютеры: приобрели новые системным блоки, материнские платы или ноутбуки в последние года четыре.
Примечательностью новых машин является то, что устаревшая система ввода-вывода BIOS больше не используется, её место заняла усовершенствованная прошивка под названием UEFI.
Она обладает огромными количеством преимуществ над BIOS, которые сегодня и рассмотрим.
Более подробно же остановимся на утилите UEFI Boot: узнаем, что это и почему его так не любят пользователи.
Эволюция системного программного обеспечения
Более двух десятилетий в качестве ПО низкого уровня, используемого при старте компьютера для тестирования его оборудования, передачи управления железом главной загрузочной записи MBR, которая выбирает и запускает загрузчик нужной операционной системы, использовался BIOS.
C его помощью пользователи могут управлять огромным количеством параметров аппаратных компонентов.
CMOS – электронный элемент с независимым питанием в виде батарейки, где и хранится вся текущая конфигурация компьютера.
- он не поддерживает загрузку из жестких дисков объёмом больше 2 ТБ – купили вы новый винчестер на 3 или 4 ТБ, а установить операционную систему на него не сможете, это технологическое ограничение главной загрузочной записи (никто в 80-х и не подумывал, что HDD могут быть столь неимоверного объема);
- BIOS функционирует в 16-ти битном режиме (при том, что фактически все современные процессоры являются 64 и 32-х битными) при использовании всего 1024 КБ памяти;
- процесс одновременной инициализации нескольких устройств поддерживается, но он весьма неотлажен и проблематичен, что снижает скорость запуска компьютера (каждый аппаратный компонент и интерфейс инициализируется отдельно);
- БИОС – рай для пиратов – он не имеет никаких защитных механизмов, что позволяет загружать любые операционные системы и драйверы, в том числе с изменённым кодом и неподписанные (нелицензионные).
Первая версия UEFI разработана корпорацией Intel для Itanium, но позже была портирована на IBM PC.
Это самостоятельная операционная система с графическим интерфейсом, состоящая из множества модулей и имеющая неограниченный доступ к ресурсам аппаратных компонентов.
- её код написан полностью на C++, что позволяет увеличить производительность во время загрузки ПК посредством задействования возможностей 64-разрядных центральных процессоров;
- адресного пространства операционной системы хватает для поддержки 8*1018 байт дискового пространства (такого запаса хватит на несколько десятилетий) при том, что весь объем цифровой информации на данный момент почти на три порядка ниже;
- адресация оперативной памяти – теоретические расчёты показывают, что UEFI позволит устанавливать до 16 эксабайт оперативной памяти (на 9 порядков больше, чем в мощных современных ПК);
- ускоренная загрузка ОС осуществляется благодаря параллельной инициализации аппаратных компонентов и загрузке драйверов;
- драйверы подгружаются в оперативную память ещё до запуска операционной системы, причём они не являются платформозависимыми;
- вместо старой схемы разметки разделов используется прогрессивная GPT, однако для её задействования придётся отформатировать жесткий диск;
- удобная и симпатичная графическая оболочка поддерживает управление посредством мыши;
- есть встроенные утилиты для диагностики, изменения конфигурации и обновления прошивок аппаратных компонентов;
- поддержка макросов в формате .nsh;
- модульная архитектура – позволяет загружать собственные драйверы или скачанные из интернета;
- одно из самых значимых и важнейших изменений (в частности для Microsoft), которые привнесла UEFI – наличие Secure Boot Option. Она вызвана оберегать Bootloader от выполнения вредоносного кода, защитить операционную систему от вирусов ещё до её запуска посредством эксплуатации цифровых подписей.
О последней функции поговорим подробнее.
Secure Boot
Название технологии переводится как «безопасная загрузка» и представляет собой протокол, который является составляющей спецификации графической EFI.
Появился вместе в Windows 8, но не является обязательным для реализации производителями материнских плат и портативных компьютеров.
Если вкратце, Secure Boot позволяет проверять наличие и подлинность цифровых подписей, находящихся в хранилище, посредством эксплуатации технологий ассиметричной криптографии.
В 2011 году, когда интерфейс ещё не был представлен для широкой публики, Microsoft выдвинули требования для сертификации персональных компьютеров с операционной системой Windows 8 (и как следствие Windows 10).
Этим софтвенная корпорация попыталась уменьшить количество пользователей, устанавливающих на свои компьютеры взломанные версии ОС и увеличить без того колоссальные прибыли.
Однако пользовательское сообщество встретило такие изменения весьма недружелюбно. Во-первых, далеко не каждый готов платить сотни долларов за какую-то ни было Windows, во-вторых, для ARM отключить Secure Boot нельзя, что повлекло за сотой третье последствие – затруднение, а порой и невозможность установки операционных систем, отличных от Windows.
Режимы
Работает «безопасная загрузка» в четырёх режимах, а не двух, как себе представляет большинство пользователей:
- Setup Mode (режим настройки) – активация возможна только из пользовательского режима, в нем требуется аутентификация для записей db, dbx, KEK и PK;
- Audit Mode – режим аудита – возможна активация из пользовательского или режима настройки – не требует аутентификации, в нем могут запускаться прошедшие проверку образы, а сведения обо всех процедурах аутентификации заносятся в специальную базу данных, которую можно просматривать из среды операционной системы. Это предоставляет возможность тестировать комбинации ключей/цифровых подписей;
- User Mode – пользовательский – возможен переход из развёрнутого и режима настройки. В нём осуществляется валидация образов;
- Deployed Mode – развёрнутый – переход возможен из второго или третьего режима, самый безопасный ввиду того, что все переменные доступны только для чтения.
Преимущества и недостатки
- Высокий уровень безопасности – гарантирует защиту от функционирования руткитов в системных файлах операционной системы, работа которых приведёт к недействительности цифровых подписей модифицированных файлов.
- Путём внесения в базу запрещенных для запуска операционных систем можно ограничить список загружаемых ОС.
- Все драйверы, которые запускаются на этапе загрузки ОС, должны быть подписанными, иначе они не загрузятся и соответствующие устройства не будут использоваться. Это требует согласования разработчиками системного программного обеспечения и производителями платформ момента добавления их ключей продуктов в доверенное хранилище.
- Разработчики ОС не обязаны реализовывать функцию деактивации Secure Boot. Добавление ключей программами в доверенное хранилище должно быть запрещено, что усложняет эту процедуру и для пользователей.
- Многие версии прошивок имеют уязвимости, позволяющие обходить Secure B
Как проверить текущее состояние
Узнать, активирована ли данная функция на вашем компьютере или ноутбуке, можно несколькими путями:
- в процессе инсталляции новой операционной системы, когда появится ошибка, что это сделать невозможно;
- посредством диагностической утилиты msinfo32;
- через командную строку.
Msinfo32
Запустить приложение можно множеством способов. Мы используем самый простой.
- Открываем окно посредством комбинации клавиш + или через ярлык в .
- Вводим команду «msinfo32» и выполняем её кнопкой или клавишей .
Вследствие появится окно
, где в строке содержатся необходимые сведения о текущем режиме защиты.Командная строка
- Запускаем её любым способом.
- Выполняем команду «Confirm-SecureBootUEFI».
Если ответом будет «True», функция активирована, «False» — отключена, «Не является внутренней командой» или «not supported» — не поддерживается текущей операционной системой.
Включение и отключение
В той или иной ситуации может потребоваться отключить Secure Boot.
Для этого необходимо войти в меню настройки UEFI, найти соответствующий параметр и изменить его значение на требуемое.
Зайти в меню настройки можно посредством специальной клавиши (
, , ), которая зависит от производителя устройства или через «Параметры» Windows 8-10.- Жмём + .
- Выбираем .
- Кликаем по пиктограмме и перезагружаем компьютер.
После этого ПК перезапустится и появится интерфейс UEFI.
В настройках модифицированного БИОС находим пункт, отвечающий за деактивацию функции Secure Boot, и переключаем её в нужный режим.
После выбора нужного варианта сохраняем настройки и выходим из меню.
Проблемы
Иногда после завершения запуска Windows 8-10 в углу рабочего стола отображается надпись, предупреждающая, что Secure Boot неправильно сконфигурирована.
Чаще всего, для решения проблемы необходимо перейти в меню настроек BIOS и включить функцию защиты SB точно таким образом, как мы её отключали немного выше.
Ещё может помочь обновление ОС, в частности апдейт под названием KB288320.
Мы рассмотрели, что такое Boot Secure в UEFI: каковы её функции, особенности, преимущества и недостатки, а также провели параллели между устаревшим BIOS и его заменой в лице EFI с графическим пользовательским интерфейсом.