Виндовс 8 Сецуре Боот

Сигурна чизма (сецуре боот или сецуре боот) једна је од УЕФИ функција која вам омогућава да се бавите рооткитима и бооткитима (који користе рањивости у фирмверу БИОС-а) чак и у прелиминарној фази учитавања ОС-а. Технологија сигурног покретања један је од нивоа одбране у новом Мицрософт ОС-у - Виндовс 8 и Виндовс Сервер 2012. У овом ћемо чланку размотрити практичне и теоријске аспекте рада Безбедно покретање система Виндовс 8 (релевантно и за Виндовс Сервер 2012).

Није тајна да је у модерним системима учитавање ОС једна од најосјетљивијих компоненти са становишта сигурности. Довољно је да нападач пребаци функције покретача на свој („злонамерни“) боотлоадер, а такав систем за подизање система неће открити сигурносни систем ОС и антивирусни софтвер.

Функција Сецуре Боот у оперативном систему Виндовс 8 омогућава вам да организујете скенирање свих лансираних компоненти (управљачких програма, програма) током процеса подизања система (пре покретања оперативног система), осигуравајући само поуздано (дигитално потписано) програми се могу изводити током процеса покретања Виндовс. УЕФИ блокира недодељени код и коде без одговарајућих безбедносних сертификата (рооткити, бооткитс) (међутим, овај систем заштите може се заобићи, сетите се пламеновог црва, потписаног лажним Мицрософт сертификатом) Ако се компонента открије без дигиталног потписа, сервис Виндовс Рецовери ће се аутоматски покренути, који ће покушати да промени Виндовс враћањем неопходних системских датотека.

Савет. Шта урадити ако се након надоградње на Виндовс 8.1 на радној површини у доњем десном углу појави натпис „СецуреБоот Сецуре Боот је погрешно конфигурисан“.?

Треба јасно да се схвати да се за коришћење технологије сигурног покретања систем УЕФИ мора користити уместо БИОС-а на рачунару (ово је описано у чланку о УЕФИ и Виндовс 8). Поред тога, фирмвер матичне плоче мора подржати спецификацију. УЕФИ в2.3.1 и имају у својој бази података УЕФИ потписе цертификат ауторитета за Мицрософт Виндовс (или сертификате ОЕМ дилера хардвера које је цертифицирао Мицрософт). Сви нови рачунари са унапред инсталираном Виндовс 8 (64-битном верзијом) који су добили налепницу "Виндовс 8 спреман"како то захтева Мицрософт,  нужно захтевају активно сигурно покретање система. Такође имајте на уму да Виндовс 8 за АРМ (Виндовс РТ) не може бити инсталиран на опреми која не подржава УЕФИ или омогућава да онемогућите Сецуре Боот. Да би сигурно покретање или ЕЛАМ радио, ТПМ (поуздан платформа модул) није потребно!

Још једна компонента сигурног покретања Виндовс 8  - ЕЛАМ (Анти-малваре за рано покретање - технологија за рано покретање анти-малваре заштите) обезбеђује антивирусну заштиту чак и пре него што се рачунар покрене. Стога, сертификовани антивирус (који подразумева производе разних добављача, а не само Мицрософта) почиње са радом чак и пре него што малвер добије прилику да покрене и сакрије своје присуство.

Постављање сигурног покретања у систему Виндовс 8

Покушајмо да откријемо како да организујемо сигурно покретање система Виндовс 8 на новом рачунару (претпоставља се да имамо оквир у кутији, а не прединсталирану верзију ОЕМ-а Виндовс 8). За експеримент је одабрана Асус П8З77 матична плоча са УЕФИ подршком (и Виндовс 8 налепницом). Треба имати на уму да ће се на другој матичној плочи специфичне слике и опције највероватније разликовати, главна ствар је разумети основне принципе инсталирања Виндовс-а од сигурног покретања система до новог рачунара

Планирано је да систем буде инсталиран на ССД драјв, па је у БИОС поставкама (у ствари ово УЕФИ) као САТА Режим Избор питај АХЦИ. (шта је АХЦИ)

Затим искључите ЦСМ мод (компатибилни режим - БИОС компатибилни режим), Лаунцх ЦСМ - Онемогућено.

Затим промените врсту ОС-а ОС тип - Виндовс 8 ЕУФИ, и проверите да ли је омогућен стандардни начин сигурног покретања (Сецуре Чизма Режим - Стандардно).

Да бисмо инсталирали Виндовс 8 у режиму УЕФИ, потребан нам је покретачки ДВД погон (физички) са дистрибуцијом Вин 8, или покретачки УСБ флеш уређај са системом Виндовс 8 (форматиран у ФАТ32) припремљен на посебан начин (припремићемо УЕФИ флеш уређај који се може покренути за инсталирање Виндовс 8), јер . покретачки флеш уређај са НТФС-ом ​​у УЕФИ неће радити. Вриједно је напоменути да је за инсталирање Виндовс-а 8 са УСБ флеш-диска на ССД диск трајало само око 7 минута!

Искључите рачунар, уметните диск за покретање (УСБ флеш уређај) и укључите рачунар. Видећете мени УЕФИ Боот где требате да изаберете уређај за покретање (опција Виндовс Боот Мангер видљива је на снимку екрана, али у стварности ће се појавити тек након инсталирања система у режиму ЕФИ).

Зауставимо се на опцијама партиције система. ЕФИ и сигурна дизалица захтијевају да диск буде у ГПТ (а не МБР) режиму. У случају да диск није обележен, више не треба обављати никакве гесте и манипулације дисковним делом, систем ће све учинити сам. Ако је диск подељен, обришите их као УЕФИ користи сигурно покретање за кориштење четири посебне партиције које ће инсталацијски програм аутоматски креирати.

Претпоставља се да желимо да користимо читав погон под Виндовсом 8, па само кликните Следеће, без стварања било које партиције. Виндовс ће аутоматски креирати четири партиције потребне величине и доделити им имена:

  • Опоравак - 300 Мб
  • Систем - 100 МБ - ЕФИ системска партиција која садржи НТЛДР, ХАЛ, Боот.ткт, управљачке програме и остале датотеке потребне за покретање система.
  • МСР (резервисано) - 128 МБ - одељак резервисан од Мицрософта (Мицрософт Ресервед -МСР) који се креира на сваком диску ради даљег коришћења у оперативном систему
  • Примарно - сав преостали простор је део у коме је, заправо, инсталиран Виндовс 8


Затим изведите инсталацију Виндовса 8. Као што је обично инсталирано, помоћу Поверсхелл-а можете осигурати да се користи сигурно покретање, да бисте то учинили, у командној линији са правима администратора:

потврди-СецуреБоотУЕФИ

Ако је омогућено сигурно покретање, наредба ће вратити ТРУЕ (ако врати фалсе или наредба није пронађена, тада је онемогућена).

Дакле, успешно смо инсталирали Виндовс 8 у режиму сигурног покретања са УЕФИ.