Безопасность мастер-загрузочной записи: что это такое в BIOS

Master Boot Record (MBR) — это важный компонент загрузки системы, который хранит информацию о том, как загружать операционную систему. В контексте безопасности BIOS он играет ключевую роль, так как любой злоумышленник может попытаться изменить MBR для загрузки вредоносного ПО вместо привычной ОС, что делает его уязвимым местом в системе.

Для повышения безопасности важно контролировать доступ к настройкам BIOS и защитить MBR с помощью соответствующих механизмов, таких как пароли и шифрование. Это помогает предотвратить несанкционированные изменения и обеспечивает стабильную работу операционной системы.

Опция BIOS Secure Boot

Опция Secure Boot — это возможность включать или ограничивать установку альтернативных операционных систем на данном устройстве.

Secure Boot представляет собой модифицированную версию загрузочного протокола, функционирующую на основе внедрения в BIOS ключей для проверки цифровых подписей загрузочного кода. Технология Secure Boot предотвращает выполнение любой загрузки, если подписи не совпадают. Этот метод защиты от хакерских атак и нелицензионного использования операционных систем основывается на модульной архитектуре UEFI (Универсальный Расширяемый Интерфейс Прошивки). Модуль UEFI BIOS отвечает за инициализацию аппаратного обеспечения при запуске системы и передачу управления загрузчику операционной системы.

Протокол безопасной загрузки Secure Boot функционирует с сертифицированными ключами, представленными в Windows 8 (на данный момент только этой версии), и блокирует загрузку системы с любого другого загрузочного устройства, кроме как с диска, на котором установлена Windows 8.

Для того что бы установить любую другую ОС (даже W7), необходимо отключить данную опцию Secure Boot в БИОСе UEFI.

Настройка Secure Boot в BIOS может находиться на следующих вкладках:

1. Boot (см. изображение ниже);
2. Boot Security;
3. System Configuration.

Если после деактивации Secure Boot и активации режима загрузки в "Наследие — Совместимость — Legacy — CSM" другая операционная система не запускается, можно попробовать следующий способ:

• Возьмите установочный диск с Windows 8, следуйте инструкциям установщика, дойдите до шага форматирования жесткого диска, произведите форматирование диска и прервите установку, затем перезагрузитесь и попробуйте установить нужную вам операционную систему.

Тем не менее, в идеале такой ситуации возникнуть не должно, так как компьютеры, сертифицированные для Windows 8, должны обеспечивать возможность отключения Secure Boot и управления ключами.

Параметры Secure Boot:

• Отключено (или Нет) – деактивировать эту технологию;
• Включено (или Да) – разрешить выполнение проверки подлинности загрузчика.

Опция также может иметь другие названия:

Примечание 1. Если на вашем устройстве установлена операционная система с активированным этой функцией, то отключить её будет невозможно. По этой причине не рекомендуется включать данную опцию.

Программа Aptio Setup Utility — BIOS фирмы American Megatrends Inc на системных платах Dell Inc

Наименование этой функции у данного производителя в указанной версии BIOS:

Значение Secure Boot по умолчанию [Legacy]

Контроль процесса безопасной загрузки. Защищенная загрузка доступна лишь при работе системы в пользовательском режиме.

Управление безопасной загрузкой. Функция защищенной загрузки активна только при работе системы в пользовательском режиме.

Дополнительно о конфигурировании БИОС (БИОЗ) материнских плат:

Опция Wait For ‘F1’ If Error отвечает за включение/отключение реж.

Функция USB Boot предоставляет возможность загрузки операционной системы.

Опция Try Other Boot Device дает возможность искать загрузочное устройство.

Настройка BIOS 3st Boot Priority Опция Third Boot Device устанавливает третье устройство с высшим приоритетом.

Опция Speech POST Reporter позволяет использовать звуковое сопров.

Комментарии

0 #9 Андрей 20.05.2019 13:51

Цитирую Гость:

Может ли возникнуть ситуация, когда в BIOS отсутствует секьюрити?

Добрый день. У большинства старых компьютеров, выпущенных до 2012-2014 годов, такая функция отсутствует. Введение этой опции связано с технологией EFI и стало доступно начиная с Windows 8.

-1 #8 Гость 17.05.2019 19:09

Может ли возникнуть ситуация, когда в BIOS отсутствует секьюрити? Ранее -1 #7 cheche 12.07.2016 00:46

Цитирую Андрея:

Цитирую cheche:

Надеюсь, кто-то уже сталкивался с этой ситуацией и сможет предложить решение. Проблема в том, что не удается отключить Secure Boot в BIOS и загрузить операционную систему с USB-накопителя. В моем BIOS на вкладке "Security" есть только опция "Secure Boot Menu", где находится "Secure Boot Control" с установленным значением "Disabled". На вкладке "Boot" присутствуют два параметра: "Boot Option #1" и "Boot Option #2". Далее, на вкладке "Advanced" три параметра: "Start Easy Flash", "Network Stack Configuration" и "USB Configuration". Может кто-то знает, как при таких настройках можно загрузить ОС с флешки?

С точки зрения логики, стоит попробовать изменить настройки "Start Easy Flash" и "USB Configuration", это должно помочь, иначе не должно быть по-другому.

Ну а вообще можно попробовать [url=https://www.nastrojkabios.ru/informatsiya-o-bios/nastroit-vkliuchit-postavit-zagruzku-s-usb-fleshki-nositelya-v-bios.html]загрузиться с помощью "Быстрого меню" — удобную опцию одноразовой загрузки присутствует в современных системах.

Даем слово Андрею:

Цитирую cheche:

Надеюсь, что кто-то уже сталкивался с подобной проблемой, и мы найдем решение. Суть проблемы заключается в том, что у меня не получается отключить секьюр в BIOS и загрузить операционную систему с флешки. В моем BIOS в разделе "Security" я вижу только опцию "Secure boot menu", в которой присутствует "Secure Boot Control" со значением отключено. В разделе "Boot" имеются две функции: "Boot Option #1" и "Boot Option #2", а в разделе "Advanced" находятся три опции: "Start Easy Flash", "Network Stack Configuration" и "USB Configuration". Кто может подсказать, как при таких настройках все же загрузить ОС с флешки?

Исходя из логики, стоит поэкспериментировать с "Start Easy Flash", возможно, "USB Configuration" поможет, иначе быть не может.

Все, что следует знать о безопасной загрузке

С увеличением числа подключенных устройств возрастает необходимость в обеспечении защиты данных встраиваемых систем. В качестве первой меры на этом пути применяется безопасная загрузка (Secure Boot). Мы рассмотрим наиболее важные вопросы ее реализации на примере одного из распространенных процессоров в современной электронике — i.MX6 от компании NXP Semiconductors.

Что такое «безопасная загрузка»?

Процедура Secure Boot обеспечивает проверку подлинности загрузочных образов и операционной системы (ОС) на аппаратной основе ещё до их разрешения на запуск при загрузке. Оборудование заранее настроено на принятие лишь аутентифицированного кода, который был создан с использованием специального набора сертификатов безопасности. Безопасная загрузка гарантирует, что программа инициализации и ОС являются оригинальными версиями от производителя, без каких-либо изменений со стороны злоумышленников или вредоносных программ.

Secure Boot играет ключевую роль в однопользовательских устройствах. Особенно важна безопасная загрузка для электронных гаджетов, таких как ридеры для чтения электронных книг. Обычно в них применяются процессоры i.MX6, например, i.MX6 Solo или DualLite, обладающие встроенным контроллером для дисплеев E-Ink. Процессор i.MX6 разработан специально для ридеров, а не для универсальных вычислительных задач, поэтому в таких устройствах при загрузке используется защищенная среда Linux.

Тем не менее, безопасная загрузка не всегда оказывается необходимой. В частности, ее использование при запуске телефона на базе ОС Android ограничивает возможности конечного пользователя по запуску приложений, установленных по его запросу. В любом случае, Secure Boot предотвращает несанкционированную загрузку операционной системы или стороннего загрузчика на устройство пользователя.

Как осуществляется безопасная загрузка i.MX6

По завершении формирования загрузочных образов приложений для устройств с процессором i.MX6 механизм Secure Boot создает комплект защищенных ключей в соответствии с SSL-сертификатом, специально разработанным для этой задачи (см. рис. 1).

Рис. 1. Этап формирования сертификата в Secure Boot

* HAB (High Assurance Boot) — загрузка с высоким уровнем защиты

В будущем такие ключи окажутся необходимыми для формирования защищенного набора команд, который будет скомпилирован и включен в загрузочный образ конкретной программы с использованием инструментов, предоставленных производителем процессора. На следующем этапе начальный загрузчик процессора проведет проверку данных сертификата, созданных с помощью компиляции Secure Boot.

Защищенные команды будут исполняться лишь в случае точного совпадения данных ключей в загрузочном образе операционной системы с ключами, сохраненными в защищенном хранилище процессора. Затем процессор проверит криптографический хэш образов на соответствие тем, которые установлены как защищенные команды. Если проверка пройдет успешно, процессор загрузит и выполнит образ программы.

Во время прохождения данного процесса через встроенный загрузчик центрального процессора (ЦП) у пользователя возникает возможность обратиться к библиотеке Secure Boot из собственного загрузчика кода. Это даёт возможность загружать образ операционной системы и проверять его подлинность аналогичным образом, как загрузчик ЦП осуществляет проверку подлинности программного обеспечения.

К концу этого процесса ОС загрузится в проверенной защищенной среде. Можно быть полностью уверенным, что это допустимая загрузка, поскольку каждый ее этап прошел проверку на аутентичность с помощью хэширования ключей в процессоре.

Настройка Secure Boot

Корневые ключи создаются с использованием SSL-сертификата, после чего они хэшируются и записываются в центральный процессор в ходе единственного программируемого и необратимого этапа. После установки такого ключа в процессор его изменение невозможно, что является одной из гарантии безопасности.

Загружаемый образ помечается с помощью этого ключа, а данные, полученные в ходе подписи, объединяются с образом. Процессор сопоставляет поступающий ключ образа со своим собственным, и если они совпадают, затем сравнивает образ с ключом, который только что был согласован. В случае соответствия образ выполняется. Таким образом, устанавливается связь от загрузчика центрального процессора к загрузчику операционной системы. Существуют и другие особенности Secure Boot, но для упрощения мы сосредоточимся на примере с процессором i.MX6.

В данном процессе применяются инструменты для подписания кода CST (Code Signing Tools) и утилита MfgTool (см. рис. 2), которые предоставляет компания NXP для Secure Boot и разработки приложений. Набор CST используется для генерации сертификатов подписи, а также для Secure Boot данных, которые встраиваются в код загрузчика операционной системы, и для защищённых данных, записанных с помощью пережигания плавких перемычек в ЦП.

Рис. 2. Интерфейс утилиты MfgTool, предназначенной для загрузки сертифицированного кода на устройство

Для безопасной загрузки на устройствах, основанных на i.MX6, используется утилита MfgTool, которая позволяет записывать защищенные данные в процессор на этапе производства, а также загружать и исполнять код.

Аппаратная поддержка безопасности у процессора i.MX6

В аппаратной реализации процессора i.MX6 имеется ряд встроенных специализированных механизмов безопасности, наиболее важными из них представляются одноразовые плавкие перемычки для записи поступающего ключа. После пережигания они не подлежат восстановлению, и хэш-ключ становится постоянным и неизменным. Однако существует возможность объединить в один хэш-ключ несколько ключей. Следовательно, можно аннулировать взломанный ключ, что является существенным требованием встраиваемых систем.

Одним из дополнительных инструментов для обеспечения безопасности системы служит внутренний загрузчик процессора — статическая часть кода, прошедшая проверку на безопасность. Это позволяет поддерживать эффективную цепочку безопасности до уровня операционной системы.

Процессор i.MX6 оснащен встроенным ускорителем для аппаратного выполнения криптографических алгоритмов. Такие алгоритмы, как хэширование симметричного блочного шифрования (AES), Triple DES, SHA1 и SHA256, могут выполняться с ускорением, что значительно увеличивает скорость обработки операций по обеспечению безопасности.

Возможные проблемы безопасной загрузки

Одной из самых заметных и требующих внимания проблем Secure Boot является обеспечение его безопасности. В случае потери ключей злоумышленник может подписать свой код, используя ключ, который хранится в процессоре. Поэтому помимо аппаратных средств важно установить надежные условия для безопасной записи ключа.

Другая чревычайно важная проблема заключается в том, что процессор, сконфигурированный для безопасной загрузки, не загрузится, если у него отсутствует образ с правильной подписью. Следовательно, любые ошибки, возникшие при прожигании хэш-ключа в процессоре, могут привести к тому, что он перестанет запускать код из-за несоответствия прожженному хэшу. В этом случае процессор нельзя уже будет использовать по назначению.

В отличие от этого, в защищенный процессор невозможно внедрить код стороннего происхождения, что обеспечивает безопасную загрузку программ с различных носителей, таких как SD-карты, флэш-память NAND или применение иных методов загрузки программного обеспечения через USB-порт.

Таким образом, все этапы подготовки оборудования и процессора должны быть тщательно защищены. Важно также удостовериться, что загрузчик готов к выполнению этих этапов. Это подразумевает, что он должен обращаться к библиотеке Secure Boot на процессоре для аутентификации каждой следующей стадии в цепочке загрузки.

Неполная блокировка

Защищенная загрузка охватывает лишь программное обеспечение, связанное с операционной системой, и не гарантирует безопасность всей системы. Это создает возможность для злоумышленников разработать вредоносный софт для Linux, который может функционировать поверх ОС после успешной загрузки, ставя под угрозу стабильную работу всей системы в целом.

Аутентификация Secure Boot

В случае необходимости обеспечения полной безопасности существует возможность проверки подлинности отдельных компонентов файловой системы и другого программного кода. Процесс Secure Boot, реализованный на i.MX6, функционирует на основе определенных сегментов памяти, которым соответствуют конкретные криптографические хэши и информация о подписях. Это позволяет загрузить корневую файловую систему операционной системы и другие ключевые файлы в предназначенную область памяти вместе с корректным набором защищенных команд, что при необходимости даст возможность аутентифицировать любые другие элементы системы.

В завершение мы предложим несколько полезных советов по применению Secure Boot для устройств, основанных на процессоре i.MX6.

Обеспечение безопасности всего процесса

При использовании безопасной загрузки с помощью Secure Boot следует убедиться, что связанные процессы работают с ней сообща. Утечка ключей нарушает созданную систему безопасности.

Высокий уровень шифрования

Проверьте, чтобы применяемые методы шифрования соответствовали актуальным стандартам и были подходящими для выполнения заданной задачи. Из-за того, что Secure Boot для устройств на базе процессора i.MX6 поддерживает ряд устаревших и уязвимых комбинаций, существует риск генерации недостаточно защищенных ключей.

Тщательная проверка кода

С целью полной безопасности приложения нужно, чтобы вся остальная часть кода в загрузчике, операционной системе и другом программном обеспечении была тщательно написана с учётом требований Secure Boot и не ухудшала уровень безопасности.

На каждом шаге загрузочного процесса следует проверять очередной этап перед его непосредственным запуском. Игнорирование этого правила или его частичное выполнение ставит под сомнение безопасность вызова того или иного процесса.

Поэтапная аутентификация

Для полной гарантии безопасности следует выполнить аутентификацию как можно большего объема загружаемого кода и удостовериться, что он соответствует методам, установленным для библиотек. Secure Boot может только проверять подписи, и любой подписанный образ воспринимается процессором как защищенный.

Проверьте, что каждая компонента написанного кода вызывается в процессоре с использованием библиотеки Secure Boot. Обращение к этой библиотеке позволяет продолжить процесс аутентификации образов, так как большинство плат с i.MX6 проходит многоступенчатую процедуру загрузки: загрузчик ЦП сначала инициализирует SPL, затем SPL загружает программное обеспечение, ответственное за запуск операционной системы. Чтобы обеспечить безопасность на каждом из этих этапов, необходимо осуществить аутентификацию на предыдущем уровне.

Правильная аутентификация процесса загрузки

Необходимо, чтобы разработанный код осуществлял безопасную загрузку и аутентификацию на каждом этапе.

U-Boot является самым популярным загрузчиком для i.MX6. Эта утилита поддерживает Secure Boot на процессорах i.MX6. Правильная конфигурация U-Boot не представляет особой сложности. Более того, когда значительная часть задач уже выполнена, вероятность возникновения ошибок снижается.

Что означает безопасная загрузка (Secure Boot)

Безопасная загрузка, также известная как Secure Boot, представляет собой протокол, который интегрирован в UEFI и предназначен для проверки операционной системы и драйверов при запуске. В зависимости от наличия или отсутствия цифровой подписи у данных компонентов, он разрешает или запрещает их дальнейшую работу. Основная цель Secure Boot заключается в защите системы от внедрения вредоносного программного обеспечения, которое может загрузиться вместе с операционной системой. Это ПО является крайне опасным, так как оно может проникнуть в компьютер до активации антивирусных программ, что не позволяет последним их обнаружить. К подобному программному обеспечению относятся вирусы-вымогатели, руткиты (дающие злоумышленникам удалённый доступ к системе), майнеры и так далее. Еще одна функция Secure Boot — это ограничение списка операционных систем, которые могут функционировать на определённом устройстве.

Как узнать, активен ли Secure Boot

Чтобы проверить состояние функции безопасной загрузки на компьютере с Windows, воспользуемся встроенной утилитой. Нажимаем сочетание клавиш win+r и вводим msinfo32, затем жмем OK. В разделе «Сведения» обращаем внимание на:

• «Режим BIOS» — UEFI или Legacy («Устаревший»).
• «Состояние безопасной загрузки» — «Включено», «Выключено» или «Не поддерживается».

Если безопасная загрузка активна, то будут прописаны значения UEFI и «Вкл.». Иначе мы увидим UEFI и «Откл.» и, при необходимости (например, для обновления операционной системы), пойдем включать протокол в BIOS. Есть и третья вариация — Legacy и «Не поддерживается». Эта картина наблюдается, если мы используем несовременное «железо» или UEFI функционирует в режиме совместимости, как эмулятор «БИОС». В последнем случае эмуляцию нужно деактивировать и включить безопасную загрузку в настройках.

ОС тормозит после активации Secure Boot

Когда «Виндовс» 10 уже установлена, и пользователь решил активировать протокол безопасности, операционная система может замедлиться при старте и показать сообщение о том, что загрузочное устройство отсутствует. Это происходит из-за использования разметки MBR на диске. Решить проблему можно, преобразовав MBR в GPT. Рассмотрим, как осуществить эту процедуру из работающей операционной системы.

Нажмите сочетание клавиш win+I, в открывшемся меню выберите «Обновление и …», затем перейдите в раздел «Восстановление» и в дополнительных параметрах активируйте опцию немедленной перезагрузки. На экране появится меню с дополнительными действиями. Выберите «Поиск и устранение неисправностей», затем «Дополнительные параметры» и «Командная строка».

Следуем следующим шагам (после ввода каждой команды нажимаем Enter для её выполнения):

• Проверяем, возможно ли выполнить конвертацию диска — mbr2gpt /validate.
• Если система разрешает действие, будет выдано сообщение Validation completed successfully, после чего запускаем конвертацию — mbr2gpt /convert.
• Если получаем отказ, нам покажут сообщение Failed, и тогда нам нужно попробовать команду mbr2gpt /disk:0 /validate. Вместо нуля указываем номер нашего диска. Чтобы его узнать, запускаем специальный инструмент командой diskpart. Далее вводим list disk и запоминаем номер диска. Выходим в командную строку, введя exit.
• Если на этот раз система разрешает конвертацию, выполняем операцию mbr2gpt /disk:0 /convert.
• Если операция прошла успешно, увидим сообщение Conversion completed successfully.

По окончании манипуляций открываем BIOS, отключаем эмуляцию старого «БИОС» и активируем Secure Boot.

Как включить безопасную загрузку

Функция Secure Boot активируется через стандартные возможности «Виндовс» или с помощью UEFI.

Стандартные возможности ОС

Перед тем как использовать встроенные функции, нужно сначала удостовериться, что ваш компьютер поддерживает безопасную загрузку. Если это так, выполните следующие шаги:

• Нажмите комбинацию клавиш win+I и перезагрузите устройство, следуя указаниям из предыдущего раздела. На этот раз в дополнительных параметрах выберите «Параметры встроенного ПО UEFI», а не командную строку.
• Снова выполняем перезагрузку ПК.
• Выбираем «Ввод» для активации Secure Boot Control.
• Устанавливаем значение Enable и подтверждаем выбор.

Теперь выходим из настроек и подтверждаем изменения, чтобы компьютер запустился заново.

Зачем и как деактивировать Secure Boot в UEFI

UEFI заменил традиционный BIOS не только ради улучшения удобства. Одной из его ключевых задач является выявление вредоносного программного обеспечения и снижение негативных последствий его воздействия. Эта технология предотвращает загрузку вирусного ПО совместно с «Виндовс», и, как уже упоминалось ранее, защитная функция возложена на Secure Boot. С точки зрения разработчиков, концепция была успешно внедрена с помощью криптографической модели, использующей электронные цифровые подписи. Однако для успешного функционирования также необходимы правильные действия пользователей и производителей.

К важным аспектам работы протокола относятся:

• наличие ЭЦП у программных компонентов (загрузчиков системы, материнских плат, драйверов);
• представление этими компонентами своих ЭЦП компьютеру для подтверждения, что они не содержат вирусов;
• наличие у каждого ПК оригинального закрытого ключа.

На сегодняшний день главная сложность использования Secure Boot состоит в применении производителями единых закрытых ключей для всех своих продуктов или линеек.

Пользователи часто отключают Secure Boot, если у них возникают трудности с установкой или запуском операционной системы, включая возможность загрузки с внешних носителей. Многие считают, что отключение этой функции ускорит работу системы и улучшит производительность процессора. Однако стоит отметить, что безопасная загрузка не использует системные ресурсы, так как работает на низком уровне программного обеспечения.

Инструкция по отключению Secure Boot:

• Затем заходим в UEFI и активируем Advanced Mode в нижнем правом углу (или нажимаем F7 на клавиатуре).
• Выбираем вкладку Boot и включаем меню безопасной загрузки.
• В разделе «Состояние безопасной загрузки» будет указано «Включено».
• Кликаем на «Управление ключами».
• Выбираем опцию «Очистить ключи …».
• Подтверждаем изменения, после чего переходим на вкладку Exit и сохраняем изменения, нажав на Save Changes Reset.

Перезагрузите ваш компьютер и продолжите работу без активации безопасного режима.

Активировать Secure Boot через UEFI

Чтобы включить протокол через UEFI, доходим до пункта «Управление ключами», как указано в предыдущем пункте, и выбираем «Установка ключей безопасной …». Подтверждаем действие кликом по Yes, затем точно так же сохраняемся. После перезагрузки протокол Secure Boot снова будет активен.

Что случится после отключения безопасной загрузки

Во время стандартного использования компьютера вы не заметите, работает ли функция Secure Boot. Если этот протокол отключен, то система не будет проверять цифровые подписи компонентов, что имеет свои преимущества: вы сможете запускать Windows с USB-накопителя, устанавливать различные операционные системы, а также использовать старые версии ОС и так далее.

Не поддерживается безопасная загрузка? Рассмотрите возможность обновления вашего оборудования, приобретя более современный компьютер.