Что такое технология intel BIOS guard

Intel BIOS Guard Technology — это система защиты, разработанная компанией Intel для обеспечения безопасности базовой системы ввода-вывода (BIOS). Она позволяет предотвращать несанкционированные изменения BIOS и восстанавливать его в случае обнаружения вредоносных вмешательств, что помогает поддерживать целостность системы и защищает от атаки на уровень прошивки.

Технология работает, обеспечивая контроль над загрузкой и функционированием BIOS, а также предоставляет возможность автоматического восстановления в случае компрометации. Это особенно важно для корпоративных пользователей и систем, обрабатывающих чувствительные данные, поскольку помогает минимизировать риски, связанные с вредоносным программным обеспечением и кибератаками.

Intel bios guard support что это

How Intel and PC makers prevent you from modifying your laptop’s firmware

Лучшие технологические предложения сегодня

Выбрано редакцией PCWorld

Лучшие акции на отличные товары

Picked by Techconnect’s Editors

Даже если вы используете одно из самых открытых операционных систем с открытым исходным кодом, скорее всего, ваш ноутбук на самом деле не так уж «свободен», поскольку в его аппаратном обеспечении могут скрываться закрытые прошивки.

Modern UEFI firmware is a closed-source, proprietary blob of software baked into your PC’s hardware. This binary blob even includes remote management and monitoring features, which make it a potential security and privacy threat.

Вам может понадобиться заменить UEFI прошивку, чтобы получить полный контроль над аппаратным обеспечением вашего ПК с помощью Coreboot, бесплатного программного обеспечения, являющегося альтернативой BIOS. Однако на компьютерах с современными процессорами Intel это невозможно из-за функции Boot Guard и режима "Проверенной загрузки", который выбирают производители ПК.

Why Coreboot won’t support your new laptop

Изначально Coreboot назывался LinuxBIOS. Это проект, поддерживаемый Фондом свободного программного обеспечения, который нацелен на замену проприетарного UEFI прошивки и BIOS, используемых в современных компьютерах. Coreboot разрабатывается как легковесное решение, обеспечивающее только необходимые функции для инициализации аппаратного обеспечения компьютера и загрузки операционной системы. Это не просто экзотический проект свободного программного обеспечения — все современные Chromebook поставляются с Coreboot, и Google активно его поддерживает.

Недавно, когда кто-то спросил, будет ли Coreboot поддерживать новые ThinkPad на базе Intel Broadwell в рассылке, ответ оказался познавательным:

“Современные ноутбуки ThinkPad больше не подходят для использования Coreboot. Особенно это касается моделей с процессорами U и Y от Intel. Они оснащены Intel Boot Guard, что делает невозможным загрузку любых неподписанных программ или не одобренных производителем. Это означает, что производители внедряют хеши публичных ключей SHA256 в чип Southbridge.

Для получения дополнительной информации ознакомьтесь с архитектурой Intel Boot Guard. Это также подтверждается компанией Secunet AG и Google.”

Читать еще: Cpu fan bios

Intel Boot Guard explained

Компания Intel предлагает краткое объяснение технологии Boot Guard в документе, посвященном новым возможностям платформы Haswell. В общем, Boot Guard представляет собой аппаратную технологию, предназначенную для предотвращения замены или вмешательства в низкоуровневую UEFI прошивку со стороны вредоносного ПО и другого несанкционированного программного обеспечения.

Согласно информации от Intel, Boot Guard функционирует в двух различных режимах. Все известные нам производители ПК настраивают его на работу в режиме "Проверенной загрузки". Производитель компьютера вставляет свой открытый ключ непосредственно в аппаратное обеспечение. Если UEFI прошивка не подписана производителем — то есть не создана им — компьютер останавливается и отказывается загружаться. Именно поэтому вы не можете модифицировать UEFI прошивку или заменить её на другую версию.

Purism’s freedom-obsessed Librem 15 laptop won’t use the Verified Boot option.

Существует Второй вариант: режим "Измеренной загрузки", в котором аппаратное обеспечение надежно сохраняет данные о процессе загрузки в модуле доверенной платформы (TPM) или технологии доверия платформы Intel (PTT). Операционная система может затем проанализировать эту информацию и, в случае возникновения проблемы, показать пользователю сообщение об ошибке.

As Purism recently discovered, laptop makers can choose to have their hardware boot without looking for a digital firmware signature at all. The fusing of the processors can be set by the motherboard manufacturer to simply bypass the check. Purism’s crowdfunded Librem 15 laptop will ship with a modern Intel CPU fused to run unsigned BIOS code.

Иными словами, Intel и Boot Guard не настаивают на том, чтобы производители оборудования обязаны были ограничивать использование компьютера исключительно подписи производителем прошивкой, однако все ведущие производители ПК в любом случае это делают.

Хотите быть в курсе событий по Linux, BSD, Chrome OS и остальным системам вне Windows? Добавьте страницу колонки "Мир вне Windows" в закладки или подпишитесь на нашу RSS ленту.

It’s all a big conspiracy, right? Not exactly

Легко увлечься мыслью о том, что это часть масштабной заговора. Эти крупные компании — Intel и производители оборудования — препятствуют нам в использовании программного обеспечения, которое мы желаем установить на наши собственные компьютеры, как будто бы мы имеем дело с каким-то слабым и ограниченным Surface RT, а не с мощным ПК, которым нам полагается владеть и управлять.

Читать еще: Ноутбук asus вход в bios

Безусловно, это верно, но Boot Guard действительно способствует защите UEFI прошивки и предохраняет от вредоносных программ, которые могут проникать в процесс загрузки. Intel и производители ПК не стремятся уничтожить свободу программного обеспечения и запретить открытое оборудование. Истина более прозаична — Intel и производители аппаратного обеспечения ставят на первое место повышение уровня безопасности для большинства, чем заботу о proprietary прошивках меньшинства.

But, to their credit, Intel does allow PC manufacturers to configure the hardware in a different way. The real way to get that open hardware seems to be to build it from scratch and make the right decisions along the way, as Purism is trying to do. If you want this sort of open hardware, be prepared to vote with your wallet. Taking existing PC laptops and trying to bend them into open hardware—as Gluglug does with the Free Software Foundation-endorsed Libreboot—doesn’t seem to be an option anymore.

Когда вне работы фрилансер Крис Хоффман не пишет о гаджетах и программном обеспечении, он, вероятно, использует их в свободное время.

Intel Boot Guard на пальцах

Давайте погрузимся в сложные аспекты микроархитектуры компьютеров и изучим, как функционирует одна из самых популярных технологий, обеспечивающих аппаратную защиту загрузки BIOS — Intel Boot Guard. В данной статье рассмотрены причины возникновения этой технологии, перечислены все ее рабочие режимы и подробно описаны алгоритмы их работы. Начнем с основ.

История и предпосылки создания

Процесс загрузки компьютера представляет собой цепочку событий, в которой управление исполнительной аппаратурой передается от звена к звену, начиная с нажатия пользователем кнопки включения и заканчивая работой приложения. Проблема заключается в том, что каждое из этих звеньев может быть взломано злоумышленником.

При этом, чем раньше будет атакован компонент, тем больше возможностей получит злоумышленник. Известны случаи, когда нападающий менял BIOS или загрузчик на свои уязвимые версии, фактически превращая компьютер в "кирпич" (отсюда и название этого типа атак — Bricking). В стремлении защитить загрузочный процесс компьютера было разработано множество программ для проверки целостности. Тем не менее, любую такую программу можно успешно заменить злоумышленником, поэтому доверять ей полностью невозможно. В связи с этим возникла необходимость разработки более надежной аппаратной технологии для обеспечения целостности загрузки.

В качестве своего варианта обеспечения аппаратной защиты загрузки компьютера Intel в 2013 году встроила в новую микроархитектуру Haswell технологию Boot Guard. В процесс загрузки был добавлен аппаратный модуль аутентифицированного кода (ACM, Authenticated code module), а производителям оборудования пришлось расширить BIOS, добавив в него начальный блок загрузки (IBB, Initial boot block). С тех пор цепочка загрузки компьютера включает в себя ACM, с помощью которого проверяется IBB, после чего управление передается BIOS и так далее.

Режимы работы

Ключевым элементом технологии Boot Guard является ее конфигурация. Производителю оборудования необходимо определить, какой режим функционирования будет активен и какие шаги следует предпринять в случае возникновения ошибок в ACM или IBB. Вся необходимая информация фиксируется в политиках загрузки, которые интегрированы в аппаратное обеспечение.

Режимы функционирования Boot Guard можно разбить на категории в зависимости от корня доверия:

• Измеренная загрузка (Measured boot) основывается на использовании дополнительного устройства, встроенного производителем. Одним из таких устройств может являться TPM (Trusted platform module) — криптопроцессор, оборудованный генератором случайных чисел, RSA-генератором ключей, хеширующим устройством и RSA-устройством.
• Проверенная загрузка (Verified boot) основывается на программируемых предохранителях, входящих в состав аппаратных средств компьютера. Программируемый предохранитель представляет собой ячейку, которая может находиться в одном из двух состояний: сожженная или несожженная. Если ячейка была сожжена, она больше не может быть восстановлена до первоначального состояния. Это позволяет кодировать информацию.

Измеренная загрузка

В памяти криптопроцессора TPM хранится эталон хеша начального блока загрузки (IBB), с помощью которого и производится проверка подлинности IBB. Алгоритм работы Boot Guard в режиме измеренной загрузки следующий:

1. Первичный загрузочный блок сохраняется в памяти криптопроцессора TPM
2. Криптопроцессор загружает сохранённый в памяти начальный блок загрузки (IBB)
3. Криптографическое устройство производит вычисление хеша для IBB
4. Хеш IBB сохраняется в памяти криптопроцессора
5. Сравниваются текущий хеш IBB и его эталонное значение
6. При совпадении система идентифицируется как безопасная, при отсутствии совпадения — как небезопасная

Проверенная загрузка

Процесс функционирования Boot Guard в контексте измеренной загрузки имеет более сложную структуру, так как кроме начального блока загрузки (IBB) и программируемых предохранителей в него интегрированы две дополнительные составляющие: манифест IBB (IBBM) и манифест ключа. Манифест IBB содержит номер версии безопасности, хеш IBB, открытый ключ RSA, а также подпись RSA для номера версии и хеша IBB. Манифест ключа, в свою очередь, включает номер версии безопасности, хеш открытого ключа RSA манифеста IBB, открытый ключ RSA от производителя оборудования, а также подпись RSA для номера версии и хеша открытого ключа RSA манифеста IBB. Программируемые предохранители фиксируют хеш открытого ключа RSA производителя и номера версий безопасности манифестов. Все расчеты и сравнения осуществляются посредством модуля аутентифицированного кода (ACM). Алгоритм работы Boot Guard в режиме проверенной загрузки выглядит следующим образом:

1. В ACM загружается хеш открытого ключа RSA от производителя и версии безопасности манифестов из программируемых предохранителей.
2. Проводится проверка версий безопасности манифестов. Если хотя бы одна версия ниже необходимого уровня, процесс проверки прекращается в соответствии с политиками загрузки. Если хотя бы одна версия выше, соответствующее значение будет обновлено в программируемых предохранителях по завершении проверки.
3. Вычисляется хеш открытого ключа RSA от производителя, который затем сравнивается с данными из программируемых предохранителей. В случае несоответствия проверка завершается в соответствии с политиками загрузки.
4. Проверяется подпись RSA в манифесте ключа. Если подпись не совпадает, процесс проверки прекращается в соответствии с политиками загрузки.
5. Выполняется расчет хеша открытого ключа RSA из манифеста IBB и сопоставление с соответствующим значением в манифесте ключа. При несовпадении процесс проверки завершается в соответствии с правилами загрузки.
6. Производится оценка подписи RSA в манифесте IBB. При обнаружении несоответствия проверка завершается согласно политикам загрузки.
7. Рассчитывается хеш IBB и проверяется его соответствие значению из IBBM. В случае несоответствия процесс проверки завершается по правилам загрузки.
8. При необходимости номера версий безопасности манифестов обновляются в программируемых предохранителях путём сжигания дополнительного количества предохранителей.
9. Начальный блок загрузки успешно прошел проверку и получает управление.

Интел Биос Гуард Суппорт: безопасность вашего компьютера на новом уровне

BIOS (Basic Input/Output System) — это небольшая программная система, которая загружается при включении компьютера и запускает операционную систему. BIOS содержит ключевую информацию о системе, контролирует аппаратную настройку и определяет порядок загрузки операционной системы.

Тем не менее, BIOS представляет собой уязвимое звено для хакеров, которые могут внести изменения в его код или полностью заменить его своим. В результате таких вмешательств, компьютер может начать работать неправильно или оказаться подвержен вирусам и другим вредоносным программам.

С учетом этого, компания Интел создала технологию BIOS Guard, которая обеспечивает дополнительную защиту BIOS от несанкционированного доступа и изменений. BIOS Guard применяет как аппаратные, так и программные средства для обеспечения целостности и безопасности кода BIOS.

Основной задачей Интел BIOS Guard является предотвращение или минимизация возможностей вторжения и изменения кода BIOS со стороны злоумышленников. Это имеет ключевое значение для сохранения стабильной работы компьютера и защиты от возможных угроз безопасности.

Интел BIOS Guard предоставляет набор функций и средств, которые защищают BIOS от изменений. Компоненты BIOS Guard включают устройство защиты, контроллер безопасности и прошивку. Все они работают вместе для обеспечения безопасности BIOS системы.

Что такое Intel BIOS Guard?

Intel BIOS Guard является системой, направленной на защиту BIOS от неразрешенного доступа и модификаций. Это имеет особое значение в условиях растущих угроз безопасности, вызванных компьютерными вирусами, кибератаками и другими видами вредоносных действий.

С помощью Intel BIOS Guard, производитель материнской платы может защитить BIOS от загрузки компрометированного или поддельного программного обеспечения. Это дополнительный слой безопасности, который предотвращает потенциальные угрозы для надежной работы компьютера.

Ключевые возможности Intel BIOS Guard включают:

1. Контроль целостности BIOS — анализ данных BIOS для выявления потенциальных модификаций, внесенных третьими сторонами. В случае обнаружения изменений от первоначального состояния, BIOS Guard может инициировать процедуры восстановления и вернуть систему в стабильное состояние.
2. Функция Secure Boot — гарантирование загрузки исключительно проверенных и подписанных операционных систем и приложений, что защищает устройство от вредоносного ПО и злонамеренных действий.
3. Защита от атак на BIOS — блокировка атак, связанных с компрометацией BIOS или использованием его уязвимостей. BIOS Guard способен выявлять и предотвращать такие угрозы, обеспечивая безопасность системы.

Тем не менее, следует подчеркнуть, что Intel BIOS Guard функционирует исключительно на платформах, которые поддерживают эту технологию, и для его работы необходимо наличие соответствующего оборудования и программного обеспечения.

Основные принципы работы

Принцип функционированияОписание

1. Защита целостности BIOS	Интел BIOS Guard применяет цифровые подписи для подтверждения целостности BIOS и недопущения несанкционированных изменений. При каждом запуске системы осуществляется проверка цифровой подписи BIOS, и если выявляются изменения, система может прекратить свою работу.
2. Охрана от физического доступа	Интел BIOS Guard также защищает от физического доступа к микрочипам BIOS и CMOS. Это достигается путём блокировки записи в эти микрочипы и предотвращением возможности изменения их содержимого без специального разрешённого доступа.
3. Гарантия безопасной загрузки	Интел BIOS Guard обеспечивает безопасность процесса загрузки, проверяя и анализируя соответствующие компоненты и функции BIOS. Это включает в себя проверку загрузочных кодов, а также проверку подписей и другие меры, которые защищают от потенциальных атак на этапе начальной загрузки системы.

Интел BIOS Guard предоставляет аппаратные и программные механизмы обеспечения безопасности BIOS, которые совместно работают для предотвращения несанкционированного доступа и модификаций. Он является важной составляющей в общей системе безопасности компьютера и способствует защите от различных угроз и атак на уровне ниже операционной системы.

Защита данных BIOS

Интел BIOS Guard предлагает ряд возможностей, направленных на защиту данных BIOS от неразрешенного доступа и изменений. Этот механизм активно выявляет любые попытки изменения информации в BIOS и блокирует их, гарантируя постоянную защиту системы.

Интел BIOS Guard также обеспечивает защиту от вредоносных программ, которые могут пытаться изменить BIOS или затруднить его нормальное функционирование. Он обнаруживает и блокирует любые попытки внести изменения в систему, обеспечивая надежную защиту от вредоносных программ и атак.

Ключевой функцией Интел BIOS Guard является цифровая подпись и проверка кодов BIOS. Это позволяет удостовериться в том, что код BIOS остался неизменным и не подвергался фальсификации, что обеспечивает безопасность и целостность данных.

Интел BIOS Guard предоставляет защиту данных BIOS на уровне аппаратуры, добавляя тем самым дополнительный уровень безопасности. Данная система активируется в момент загрузки устройства и предохраняет данные BIOS от несанкционированных изменений и доступа, а также от зловредных программ.

Все эти функции Интел BIOS Guard помогают обеспечить безопасность системы путем защиты данных BIOS. Это важно для обеспечения надежной работы компьютера и предотвращения возможных угроз и атак.

Обеспечение надёжности системы

С помощью технологии Intel BIOS Guard осуществляется защита BIOS от неавторизованных изменений и атак вредоносных программ. Она создает цифровую подпись для BIOS и проверяет ее на подлинность во время загрузки системы. Это позволяет обеспечить доверенную среду для начала работы и защищает от потенциальных модификаций кода BIOS, которые могут нарушить функционирование системы или предоставить злоумышленникам возможность получить доступ к конфиденциальной информации.

Интел BIOS Guard также обеспечивает защиту от атак на эндпоинты, таких как механизм Secure Boot, предотвращая загрузку неподписанного или измененного ПО. Это позволяет предотвратить атаки на уровне операционной системы и защитить целостность и конфиденциальность данных.

Гарантия устойчивости системы представляет собой ключевую задачу для каждого пользователя. Технология Intel BIOS Guard способствует защите вашей системы от злонамеренных программ и поддержанию функциональности компьютера. Это создает дополнительный уровень защиты, что крайне актуально в условиях современных угроз кибербезопасности.

Поддержка и актуализация BIOS

Обновление и поддержка BIOS играют ключевую роль в гарантировании безопасности и эффективности работы компьютера. Производители регулярно предоставляют новые версии BIOS, чтобы устранить недочеты, повысить совместимость с современными комплектующими и внедрить различные изменения, которые могут оказать влияние на функционирование системы.

Чтобы получить поддержку и актуальные версии BIOS, пользователи могут посетить веб-сайт производителя своей материнской платы. Обычно на веб-сайте есть раздел "Поддержка", где можно найти все необходимые драйверы и обновления для BIOS.

Прежде чем обновлять BIOS, стоит внимательно изучить руководства и инструкции, предоставленные производителем. Неправильное выполнение обновления BIOS может вызвать сбои в работе системы или даже привести к повреждению компьютера. Также настоятельно рекомендуется сделать резервную копию данных перед обновлением BIOS, чтобы в случае возникновения проблем можно было вернуть систему в рабочее состояние.

Помимо обновления BIOS, пользователи также могут получить поддержку BIOS от производителя. Например, если у них возникают проблемы с настройкой или работой компьютера, они могут обратиться в службу поддержки производителя. Специалисты могут помочь пользователю решить проблему с BIOS и предоставить необходимую информацию и рекомендации.

Следовательно, обновление и актуализация BIOS играют ключевую роль в сохранении безопасности и эффективной работы компьютера. Владельцам устройств рекомендуется периодически проводить обновление BIOS и обращаться за помощью при возникновении проблем, чтобы обеспечить стабильную эксплуатацию своей системы.