Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

Microsoft разъяснила ситуацию с безопасной загрузкой в Windows 8

Напечатать страницу
27.09.2011 10:57 | Really Fenix

На днях Microsoft опубликовала очередную статью в блоге "Building Windows 8", подробно изложив возможности загрузки новой операционной системы. Особое внимание в этой публикации посвящено аспектам безопасности в режиме "безопасной загрузки", доступном на компьютерах с интерфейсом UEFI (абб. от Unified Extensible Firmware Interface).

По сути, новая статья является ответом на вопросы разработчика Red Hat Мэтью Гарретта (Matthew Garrett), в которых он выразил свою озабоченность по поводу новых ПК с Windows 8. По его словам, те ПК, которые пройдут тестирование на логотип, смогут мешать загрузке альтернативных и/или устаревших версий операционных систем.

Выводы Microsoft в данной статье очень похожи на выводы Гарретта о том, как работает технология безопасной загрузки: ключи безопасности подписываются OEM-производителями и используются для предотвращения несанкционированного доступа к загрузочному коду. Утилиты для обновления прошивки, предлагаемые OEM-производителями, содержат собственный ключ конкретного производителя. При этом каждый конкретный производитель решает, можно ли будет пользователю отключать режим безопасной загрузки или нет:


Вот краткие выводы из публикации Microsoft:

  • UEFI позволит реализовать политики безопасности прямо в прошивках
  • Режим безопасной загрузки является протоколом UEFI, а не функцией Windows 8
  • Режим безопасной загрузки UEFI является частью архитектуры безопасности Windows 8
  • При необходимости Windows 8 может использовать данную функцию в целях безопасности
  • Режим безопасной загрузки не блокирует загрузчик ОС, но позволяет проверять подлинность компонентов
  • У OEM-производителей есть возможность модифицировать прошивку для нужд своих клиентов путем настройки уровня сертификата и политик безопасности
  • Microsoft не требует и не контролирует принудительное включение режима безопасной загрузки для предотвращения загрузки ОС, отличных от Windows.




Источник: http://www.neowin.net
Перевод: Really Fenix

Комментарии

Не в сети

Не в тему). Что произошло с обновление ленты RSS... она изменила формат и теперь не работает в IE?

27.09.11 11:20
0
Не в сети

Polyakovlist, починили

27.09.11 15:33
0
Не в сети

Проясните, кто вник.

UEFI грузит только подписанный код, чтобы вирусы не загрузились - функция для безопасности.

1. Вирус получает админские права в системе (полностью скомпрометировав ОС).
2. Делает что ему нужно.
3. Заражает MBR (Зачем?!).
4. При перезагрузке UEFI блокирует загрузку ПК. В случае невозможности отключения блокировки (есть и такие реализации материнских плат) - полный вывод ПК из работы.

Мог бы быть вариант два - с загрузкой с флешки, на которой вирус, но честно сказать ситуация редкая именно потому, что вирусов, которые бы могли быть полноценным гипервизором над ОС, чтобы загрузить её после себя - нет, нет таких вирусов, насколько я знаю. Читал о теоритической возможности, но на практике нет, т.к. слишком сложно. Проще обычные админские права получить и действовать по алгоритму, описанному выше.

Итого, два вопроса к тем, кто понял зачем "это":
1. Зачем вирусу заражать MBR?
2. В чём заключается безопасность вывода компьютера из строя?

П.С. Это похоже на "алгоритм безопасности" подводной лодки:
Если в подводную лодку попала вода, то отстреливаем винт, подрываем двигатель и заклеиваем чёрной плёнкой все перископы. Как-то странно, не правда ли?

27.09.11 15:54
0
Не в сети

Microsoft знает толк в извращениях!

27.09.11 22:01
0
Не в сети

1. Зачем вирусу заражать MBR?

есть Winlockerы, которые действуют именно по этой схеме. ну и активаторы, да

28.09.11 02:41
0
Не в сети

_Serega_
Предполагается, видимо, что в такой ситуации юзер полезет восстанавливать ОС с официального диска. К тому же это не только защита от типичных вирусов, но и дополнительная защита от руткитов. В общем-то на этапе загрузки никто не сможет помешать модифицировать код ядра или какого-нибудь драйвера и получить права системы в обход всех стандартных средств защиты.

А суть защиты скорее напоминает развитие функции БИОСов старых компьютеров: там был пункт "Защита от вирусов", который не давал писать в MBR.

28.09.11 09:33
0
Raiker +11
Не в сети

При перезагрузке UEFI блокирует загрузку ПК. В случае невозможности отключения блокировки (есть и такие реализации материнских плат) - полный вывод ПК из работы.


Спецификации UEFI предусматривают хранение резервной копии загрузчика, которая буде автоматически восстанавливаться при обнаружении повреждения/заражения текущего загрузчика.

29.09.11 01:47
0
Не в сети

Raiker
Что-то в спецификациях UEFI 2.3.1 я такого не помню. На какой странице это? Или, хотя бы, цитату можно?

Реализуется такое штатными средствами любого UEFI 2.0+ легко, но в спецификациях, по моему, не прописано.

29.09.11 09:43
0
Raiker +11
Не в сети

Civilian, про спецификации точно не скажу, я с ними не знаком, но об этом речь шла на конференции:

"If the boot manager has been corrupted or is found to be a malware, UEFI actually has a standard mechanism built into the spec that keeps copies of the boot manager, and they can replace a bad or a compromised boot manager, then we can re-POST and boot again".

Так что Microsoft, по крайней мере, это предусматривает и даже требует, поскольку речь шла непосредственно о реализации безопасной загрузки в Windows 8. Вот соответствующий слайд:

30.09.11 04:32
0
Не в сети

На заметку- MBR заменен на GPT, и с MBR-дисков UEFI просто не способен грузить систему. У GPT-дисков загрузочных записей две, так что даже если вирус одну из них поменяет, она автоматически будет восстановлена из другой.

02.10.11 18:55
0
Не в сети

ceu160193, Raiker
Я ничего не видел в спецификациях про загрузочные записи. Две таблицы разделов - да, но они заранее известны и поменять их не составит труда. Вот случайно затереть шаловливыми ручками пользователю будет уже сложнее.

В UEFI по спецификации можно задавать свои собственные пункты загрузки и выставлять приоритеты. Есть подозрение, что при установке Win 8 на такую систему просто будет дописан второй пункт с отсылкой на бэкапный загрузчик, поэтому если по какой-то причине не удастся загрузить пункт 1, то EFI само загрузит пункт 2, но тогда непонятно, что будет мешать вредосному ПО заменить оба загрузчика или вообще отрубить через запись в nvram проверку подписи.

03.10.11 09:58
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
206.70 +0.35
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.055 секунд (Общее время SQL: 0.023 секунд - SQL запросов: 67 - Среднее время SQL: 0.00035 секунд))
Top.Mail.Ru