Windows smm security mitigations table что это

Microsoft добавит новые меры безопасности UEFI в Windows 10

В прошлых публикациях, посвященных улучшениям безопасности Windows 10 [1,2,3,4], я неоднократно хвалил Microsoft за эти полезные нововведения. Новые механизмы безопасности помогают более эффективно бороться с эксплойтами. Пока очевидно, что Microsoft все больше делает ставку на новые технологии защиты от эксплойтов, основанные на виртуализации Virtualization Based Security, при этом добавляя более современные метрики безопасности и вынося выполнение критических по безопасности операций в отдельные виртуальные машины с высоким уровнем привилегий.

На сей раз речь пойдет о безопасности прошивок UEFI. Известный гуру внутреннего устройства Windows Alex Ionescu опубликовал у себя в твиттере скриншот дополнительных требований безопасности UEFI, которые должны поддерживаться прошивками начиная с Windows 10 1703. Как известно, эта версия Windows 10 и может получить название очередного существенного обновления Redstone 2.

Не секрет, что сама прошивка, ее компоненты и драйверы в современных ПК являются почти мини-ОС, которая получает управление еще до передачи упropравления загрузчику Windows. Столь стремительное распространение UEFI подталкивает security-ресерчеров к детальному поиску уязвимостей в прошивках и их драйверах, а производителей BIOS/UEFI к пересмотру механизмов их защиты. Злоумышленнику достаточно воспользоваться уязвимостью только в одном компоненте прошивки, чтобы скомпрометировать такие продвинутые VBS- технологии защиты Windows 10 как Device Guard, Credential Guard, Windows Defender Application Guard.

Одним из подобных эксплойтов, который способен компрометировать все указанные выше технологии защиты Windows 10, основанные на виртуализации (VBS) является ThinkPwn, о котором я писал здесь. ThinkPwn использует уязвимость в драйвере прошивки для того, чтобы исполнить свой код на самом привилегированном уровне — SMM.

Рис. Абстрактные уровни привилегий исполнения кода. Высший относится к Intel ME, далее SMM и гипервизор. Компрометация UEFI-прошивки позволяет компрометировать гипервизор и основанные на нем механизмы защиты (Device Guard, Credential Guard, Windows Defender Application Guard).

Очевидно, что Microsoft учла вышеприведенные причины и добавила новые требования безопасности к прошивкам UEFI. Первое требование относится к фактической реализации DEP для прошивки. Т. е. страницы памяти с данными прошивки будут помечаться как NX (non-executable), что позволит исключить исполнение кода из ненадлежащих регионов памяти.

VBS will enable No-Execute (NX) protection on UEFI runtime service code and data memory regions. UEFI runtime service code must support read-only page protections, and UEFI runtime service data must not be executable.

Вторая функция безопасности относится к защите от эксплуатации уязвимостей, связанных с системной таблицей ACPI и драйверов (сервисов) UEFI. Для этого используется новая системная структура данных под названием Windows SMM Security Mitigations Table (WSMT).

The Windows SMM Security Mitigations Table (WSMT) specification contains details of an Advanced Configuration and Power Interface (ACPI) table that was created for use with Windows operating systems that support Windows virtualization-based security (VBS) features.

Отметим, что в обоих случаях Microsoft подчеркивает, тот факт, что введенные методы безопасности обезопасят VBS от компрометации через уязвимости в прошивке.

Reduces the attack surface to VBS from system firmware

Источник

ACPI system description tables

Implementation of the Advanced Configuration and Power Interface (ACPI) Hardware Specification is not required on SoC-based platforms, but much of the ACPI Software Specification is (or can be) required. ACPI defines a generic, extensible table-passing mechanism, plus specific tables for describing the platform to the operating system.

Table structures and headers, including ID and checksum fields, are defined in the ACPI 5.0 specification. Windows utilizes this table-passing mechanism, in addition to the specific tables that are described in this article.

The idea behind these tables is to enable generic software to support standard intellectual property (IP) blocks that can be integrated into various platforms in diverse ways. With the table strategy, the platform-variable attributes of a particular platform are provided in a table, and used by generic software to adapt itself to the specific set of IP blocks integrated into the platform. This software can therefore be written once, thoroughly tested, and then optimized over time.

Root System Description Pointer (RSDP)

Windows depends on UEFI firmware to boot up the hardware platform. Hence, Windows will use the EFI system table to locate the RSDP, as described in section 5.2.5.2, «Finding the RSDP on UEFI Enabled Systems», of the ACPI 5.0 specification. The platform firmware fills in the address of either the RSDT or XSDT in the RSDP. (If both table addresses are provided, Windows will prefer the XSDT.)

Root System Description Table (RSDT)

The RSDT (or XSDT) includes pointers to any other system description tables provided on the platform. Specifically, this table contains pointers to the following:

The Fixed ACPI Hardware Table (FADT)

The multiple interrupt controller table (MADT)

Optionally, the Core System Resource Table (CSRT)

The Debug Port Table 2 (DBG2)

The Boot Graphics Resource Table (BGRT)

The Firmware Performance Data Table (FPDT)

The base system description table (DSDT)

Optionally, additional system description tables (SSDT)

Fixed ACPI Description Table (FADT)

The Fixed ACPI Hardware Table (FADT) contains important information about the various Fixed Hardware features available on the platform. To support hardware-reduced ACPI platforms, ACPI 5.0 extends the FADT table definition as follows:

The Flags field within the FADT (offset 112) has two new flags:

HARDWARE_REDUCED_ACPI Bit offset 20. Indicates that ACPI hardware is not available on this platform. This flag must be set if the ACPI Fixed Hardware Programming Model is not implemented.

LOW_POWER_S0_IDLE_CAPABLE Bit offset 21. Indicates that the platform supports low-power idle states within the ACPI S0 system power state that are more energy efficient than any Sx sleep state. If this flag is set, Windows will not try to sleep and resume, but will instead use platform idle states and connected standby.

The FADT Preferred_PM_Profile field (byte offset 45) has a new role entry, «Tablet». This role influences power management policy for the display and input, and affects the display of on-screen keyboards.

The «IA-PC Boot Architecture Flags» field (offset 109) has a new «CMOS RTC Not Present» flag (bit offset 5) to indicate that the PC’s CMOS RTC is either not implemented, or does not exist at the legacy addresses. If this flag is set, the platform must implement the ACPI Time and Alarm Control Method device. For more information, see the Control Method Time and Alarm device section in the ACPI defined devices topic.

New fields are added to support traditional PC sleep/resume on hardware-reduced ACPI platforms. These fields are ignored by Windows, but must be present in the table for compliance.

If the HARDWARE_REDUCED_ACPI flag is set, all fields relating to the ACPI Hardware Specification are ignored by the operating system.

All other FADT settings retain their meanings from the previous version, ACPI 4.0. For more information, see section 5.2.9, «Fixed ACPI Description Table (FADT)», of the ACPI 5.0 specification.

Multiple APIC Description Table (MADT)

In PC implementations of ACPI, the Multiple APIC Description Table (MADT) and PC-specific interrupt controller descriptors are used to describe the system interrupt model. For Arm-based SoC platforms, ACPI 5.0 adds descriptors for the Arm Holdings’ Generic Interrupt Controller (GIC) and GIC Distributor. Windows includes inbox support for the GIC and GIC Distributor. For more information about these descriptors, see sections 5.2.12.14, «GIC Structure», and 5.2.12.15, «GIC Distributor Structure», of the ACPI 5.0 specification.

The interrupt controller descriptor structures are listed immediately after the Flags field in the MADT. For Arm platforms, one descriptor is listed for each GIC, followed by one for each GIC Distributor. The GIC corresponding to the boot processor must be the first entry in the list of interrupt controller descriptors.

Generic Timer Description Table (GTDT)

As with the interrupt controller, there is a standard timer description table in ACPI. For Arm systems that utilize the GIT timer, ACPI’s GTDT can be used to leverage the built-in support for the GIT in Windows.

Core System Resources Table (CSRT)

Core System Resources (CSRs) are shared hardware functions such as interrupt controllers, timers and DMA controllers to which the operating system must serialize access. Where industry standards exist for features such as timers and interrupt controllers (on both x86 and Arm architectures), Windows builds in support for these features based on the standard tables described in ACPI (for example, MADT and GTDT). However, until the industry converges on DMA controller interface standards, there is a need to support some non-standard devices in the operating system.

Windows supports the concept of HAL extensions to address this issue. HAL extensions are SoC-specific modules, implemented as DLLs, that adapt the Windows HAL to a specific hardware interface of a specific class of CSR required by Windows. In order to identify and load these non-standard CSR modules, Microsoft has defined a new ACPI table. This table, which has a reserved signature of «CSRT» in the ACPI specification, must be included in the RSDT if non-standard CSRs are used on the platform.

The CSRT describes resource groups of CSRs, where each resource group identifies hardware of a particular type. Windows uses the identifier provided for the resource group to find and load the required HAL extension for this group. Resource groups within the CSRT might also contain individual resource descriptors, depending on the CSR type and the needs of the HAL extension. The format and use of these resource descriptors is defined by the HAL extension writer, who can make the extension much more portable and thereby support a variety of different SoC platforms simply by changing the resource descriptors contained in the CSRT.

To support maintenance of HAL extensions, and to manage the system resources used by these extensions, each resource group described in the CSRT must also be represented as a device within the platform’s ACPI namespace. For more information, see the following «Differentiated System Description Table (DSDT)» section. The device identifiers used in the resource group header must match the identifiers used in the device’s namespace node. For more information, see the Device Identification in ACPI section in the Device management namespace objects topic. The existence of these resource group namespace devices allows the HAL extension to be serviced by the Windows Update Service.

Debug Port Table 2 (DBG2)

Microsoft requires a debug port on all systems. To describe the debug port(s) built into a platform, Microsoft defines the Debug Port Table 2 (DBG2) for ACPI. This table specifies one or more independent port(s) for debugging purposes. The presence of the DBG2 table indicates that the platform includes at least one debug port. This table includes information about the identity and configuration of the debug port(s). The table is located in system memory with other ACPI tables, and must be referenced in the ACPI RSDT table.

Windows uses the Port Type value in the DBG2 table to identify and load the Kernel Debugger (KD) transport (for example, USB or serial) that the system requires. The KD transport then uses the Port Subtype value in the DBG2 table to identify the hardware interface used by the port. Other information in the DBG2 table specifies the system address of the port registers, which is used by the hardware interface module for the specified subtype. Finally, the DBG2 table must include a reference to the device node in the ACPI namespace that corresponds to the debug port. This reference enables Windows to manage conflicts between debugging use and normal use of the device, if any, and also to integrate the debugger with power transitions.

Differentiated System Description Table (DSDT)

In ACPI, peripheral devices and system hardware features on the platform are described in the Differentiated System Description Table (DSDT), which is loaded at boot, or in Secondary System Description Tables (SSDTs), which are loaded at boot or loaded dynamically at run time. For SoCs, the platform configuration is typically static, so the DSDT might be sufficient, although SSDTs can also be used to improve the modularity of the platform description.

ACPI defines an interpreted language (ACPI source language, or ASL) and an execution environment (ACPI virtual machine) for describing system devices and features, and their platform-specific controls, in an OS-agnostic way. ASL is used to define named objects in the ACPI namespace, and the Microsoft ASL compiler is used to produce ACPI machine language (AML) byte code for transmission to the operating system in the DSDT. The inbox Windows ACPI driver, Acpi.sys, implements the ACPI virtual machine and interprets the AML byte code. An AML object might simply return description information. Or, an AML object might be a method that performs computation or does I/O operations. A control method is an executable AML object that uses the operating system’s device drivers to do I/O operations on the platform hardware. ASL uses OpRegions to abstract the various address spaces accessible in the operating system. Control methods perform I/O operations as a series of transfers to and from named fields declared in OpRegions.

For more information about OpRegions, see section 5.5.2.4, «Access to Operation Regions», in the ACPI 5.0 specification. For more about ASL and control methods, see section 5.5, «ACPI Namespace», in the ACPI 5.0 specification.

Windows provides support for developing and debugging ASL code. The ASL compiler includes a disassembler to enable the implementer to load a namespace from a debugging target. The ASL compiler can then be used to reapply the namespace to the target for rapid prototyping and testing—without having to flash the system firmware. In addition, the Windows Kernel Debugger, in conjunction with a checked (CHK) version of the Acpi.sys driver, supports tracing and analyzing AML execution. For more information, see The AMLI Debugger.

Windows SMM Security Mitigations Table (WSMT)

The Windows SMM Security Mitigations Table (WSMT) specification contains details of an Advanced Configuration and Power Interface (ACPI) table that was created for use with Windows operating systems that support Windows virtualization-based security (VBS) features.

This information applies to the following operating systems:

Windows ServerВ 2016

WindowsВ 10, version 1607

iSCSI Boot Firmware Table (iBFT)

The iSCSI Boot Firmware (iBF) Table (iBFT) is a block of information that contains various parameters that are useful to the iSCSI Boot process. The iBFT is the mechanism by which iBF parameter values are conveyed to the operating system. The iBF builds and fills in the iBFT. The iBFT is available to the Windows operating system to enable a consistent flow of the boot process.

Источник

Understanding the Windows SMM Security Mitigation Table (WSMT)

The Windows SMM Security Mitigation Table (WSMT) is an ACPI table defined by Microsoft that allows system firmware to confirm to the operating system that certain security best practices have been implemented in System Management Mode (SMM) software. The WSMT table definition is described in the Windows SMM Security Mitigations Table (WMST) specification.

Background

The WSMT was defined to better support Windows Virtualization-based Security features. Please refer to Virtualization-based Security (VBS) for more background on VBS. Because SMM operates without the operating system’s knowledge or control, SMM represents a significant attack surface that could be leveraged by malicious code to compromise or circumvent the OS protections enabled through VBS. Delivering a robust and secure VBS platform requires careful scrutiny and likely updates of SMM code by the OEM to eliminate common vulnerabilities that may be exploited. The WSMT contains flags which firmware can set to indicate to the operating system which of these specific security best practices have been implemented.

Implications of the WSMT on Windows VBS Support

The WSMT Protection Flags field indicates the presence of these specific SMM security mitigations in the systems firmware. Supported versions of the Windows operating system read the WSMT Protection Flags early during initialization, prior to hypervisor and VBS launch, and may elect to enable, disable, or de-feature certain security features based on the presence of these SMM Protections Flags.

Implementation Notes

Proper implementation of the security mitigations represented by the WSMT Protection Flags FIXED_COMM_BUFFERS and COMM_BUFFER_NESTED_PTR_PROTECTION will require the firmware vendor carefully evaluate and possibly re-design the System Management Interrupt (SMI) handlers. All SMI handlers must be restricted to only access (read or write) to allowable memory regions that contain MMIO and EFI-allocated memory. It is not sufficient to check that pointers in SMM do not reference memory entirely outside of SMM. Rather, all SMM pointers must be validated to be within these safe memory regions. This prevents SMM from being exploited in a «confused deputy» attack, which could then be leveraged to compromise Windows VBS features. The above-mentioned Protection Flags refer only to input validation and pointer checks and do NOT currently require enforcement via SMM page protections. For example, SMM should not read or write to memory that was described by the firmware as EfiConventionalMemory because it may contain secrets or cause software to behave unpredictably.

Validating the WSMT Protections

Because SMM is opaque to the operating system, it is not possible to produce a test which runs in Windows to verify that the protections prescribed in the WSMT specification are actually implemented in SMM. From the operating system, the only check that is possible is to look for the presence of the WSMT, and check the state of all defined Protection Flags.

Therefore, it is the responsibility of the OEM to carefully scrutinize each system’s SMM code and ensure that firmware complies with the guidance outlined in the WSMT specification and this article. No Protection Flag should be set to «true» until the OEM has confirmed that the mitigations corresponding to each Protection Flag value have been properly implemented. Failing to adhere to this as a best practice will leave the platform vulnerable to compromise, and negate the effectiveness of multiple OS protections and Windows security features which rely on VBS to maintain robust security boundaries.

Supported versions of Windows

Support for the WSMT is included in the following versions of Windows:

Источник

Microsoft добавит новые меры безопасности UEFI в Windows 10

В прошлых публикациях, посвященных улучшениям безопасности Windows 10 [1,2,3,4], я неоднократно хвалил Microsoft за эти полезные нововведения. Новые механизмы безопасности помогают более эффективно бороться с эксплойтами. Пока очевидно, что Microsoft все больше делает ставку на новые технологии защиты от эксплойтов, основанные на виртуализации Virtualization Based Security, при этом добавляя более современные метрики безопасности и вынося выполнение критических по безопасности операций в отдельные виртуальные машины с высоким уровнем привилегий.

На сей раз речь пойдет о безопасности прошивок UEFI. Известный гуру внутреннего устройства Windows Alex Ionescu опубликовал у себя в твиттере скриншот дополнительных требований безопасности UEFI, которые должны поддерживаться прошивками начиная с Windows 10 1703. Как известно, эта версия Windows 10 и может получить название очередного существенного обновления Redstone 2.

Не секрет, что сама прошивка, ее компоненты и драйверы в современных ПК являются почти мини-ОС, которая получает управление еще до передачи упropравления загрузчику Windows. Столь стремительное распространение UEFI подталкивает security-ресерчеров к детальному поиску уязвимостей в прошивках и их драйверах, а производителей BIOS/UEFI к пересмотру механизмов их защиты. Злоумышленнику достаточно воспользоваться уязвимостью только в одном компоненте прошивки, чтобы скомпрометировать такие продвинутые VBS- технологии защиты Windows 10 как Device Guard, Credential Guard, Windows Defender Application Guard.

Одним из подобных эксплойтов, который способен компрометировать все указанные выше технологии защиты Windows 10, основанные на виртуализации (VBS) является ThinkPwn, о котором я писал здесь. ThinkPwn использует уязвимость в драйвере прошивки для того, чтобы исполнить свой код на самом привилегированном уровне — SMM.

Рис. Абстрактные уровни привилегий исполнения кода. Высший относится к Intel ME, далее SMM и гипервизор. Компрометация UEFI-прошивки позволяет компрометировать гипервизор и основанные на нем механизмы защиты (Device Guard, Credential Guard, Windows Defender Application Guard).

Очевидно, что Microsoft учла вышеприведенные причины и добавила новые требования безопасности к прошивкам UEFI. Первое требование относится к фактической реализации DEP для прошивки. Т. е. страницы памяти с данными прошивки будут помечаться как NX (non-executable), что позволит исключить исполнение кода из ненадлежащих регионов памяти.

VBS will enable No-Execute (NX) protection on UEFI runtime service code and data memory regions. UEFI runtime service code must support read-only page protections, and UEFI runtime service data must not be executable.

Вторая функция безопасности относится к защите от эксплуатации уязвимостей, связанных с системной таблицей ACPI и драйверов (сервисов) UEFI. Для этого используется новая системная структура данных под названием Windows SMM Security Mitigations Table (WSMT).

The Windows SMM Security Mitigations Table (WSMT) specification contains details of an Advanced Configuration and Power Interface (ACPI) table that was created for use with Windows operating systems that support Windows virtualization-based security (VBS) features.

Отметим, что в обоих случаях Microsoft подчеркивает, тот факт, что введенные методы безопасности обезопасят VBS от компрометации через уязвимости в прошивке.

Reduces the attack surface to VBS from system firmware

Источник

О безопасности UEFI, часть вторая

Часть вторая. SMM

Немножечко ликбеза

Аппаратное SMI

Писать про него особенно нечего: подаем напряжение на ногу — имеем прерывание. Сейчас используется редко, т.к. почти на всех системах теперь имеются мультифункциональные GPIO, которые могут генерировать события, не прерывая работу ОС, плюс не нужна дополнительная логика для определения, кто же конкретно сгенерировал аппаратное SMI, ведь устройств много, а нога — одна.

Системные SMI

Программные SMI

Программные SMI генерируются чаще всего либо прошивкой, либо драйверами, но ничего не мешает атакующему с правами администратора в ОС (точнее, необходимы права на исполнение инструкции out) тоже генерировать их.
Программное SMI генерируется при записи в CPU IO-порт APM_CNT (чаще всего это порт 0xB2), в качестве параметра в регистре AL передается его номер. Таким образом, максимальное количество различных обработчиков программных SMI в системе — 256, но реально их от 0-5 на специализированных системах, подготовленных для работы с RTOS, до 15-20 на системах с кучей разного железа, которым надо управлять без вмешательства ОС.

Как реализован SMM

Для кода SMM-диспетчера и обработчиков SMI выделяется 1-3 области физической памяти, которую во всех «обычных» режимах исполнения чипсет помечает как область MMIO с несуществующим устройством, т.е. для всего остального мира эти области — сплошная череда 0xFF, которые невозможно перезаписать. Первая область, называемая обычно ASEG (т.е. «сегмент А»), предназначена для т.н. legacy SMM code, т.е. старых 16-битных обработчиков SMI, которых на современных системах уже нет. Имя сегменту досталось за то, что он находится по фиксированным физическим адресам 0xA0000 — 0xBFFFF. Вторая область с фиксированными адресами — HSEG (т.е. «высокий сегмент»), раньше находилась на 0xFEDA0000 — 0xFEDBFFFF, но на современных системах не используется, т.к. имеется гораздо более удобный сегмент с настраиваемыми адресом и размером — TSEG (т.е. «топовый сегмент»), в котором и находятся сейчас 99% кода, исполняемого в SMM, а в ASEG остается только небольшая заглушка для совместимости.
При переходе в SMM процессор сохраняет практически весь контекст (т.е. содержимое практически всех регистров, какие именно не сохраняются — зависит от конкретной микроархитектуры), причем к сохраненному контексту у обработчиков SMI есть полный доступ, и потому он может общаться с системой через изменение сохраненных значений.
Для ОС вызов SMM кода выглядит как волшебное изменение содержимого регистров и памяти, и хотя отследить длительность нахождения в SMM все же можно по косвенным признакам, а факт перехода в него — по непосредственным, при помощи чтения регистра MSR_SMI_COUNT до и после вызова инициации программного прерывания, но повлиять на длительность обработчика SMI ОС не может, поэтому SMM плохо совместим с hard-RTOS (стоит отметить, что вся архитектура x86 совместима с ними весьма через раз, но это другая история).
При настройках по умолчанию работающий в SMM код имеет полный доступ ко всей физической памяти на чтение и запись, полный доступ ко всем подключенным устройствам, в общем — может практически все, и при этом независим от ОС и недоступен из нее даже на чтение, что сильно затрудняет его анализ и делает код обработчиков SMI весьма привлекательной целью для атаки. Более того, если атакуемой системе доступна из SMM запись на SPI-микросхему (а она доступна во всех случаях, кроме систем с включенной PFAT, которые не найти с огнем, систем с Read-only BIOS’ом, которые встречаются еще реже, и систем с защитой через PR-регистры), то успешная атака может закончиться записью своего кода в BIOS, с последующем воровством, убийством и непотребством с гусями. Именно поэтому защитить SMM от вставки туда вредоносного кода — жизненно необходимо.

Атаки на SMM и защита от них

Забытый D_LOCK

Код в SMRAM не появляется там самостоятельно, сначала саму SMRAM нужно настроить, инициализировать физическую память, настроить TSEG так, чтобы все обработчики туда влезли, скопировать туда код SMM-диспетчера и обработчиков, настроить там таблицы дескрипторов — в общем, навести строгий уставной порядок, после чего обязательно снять бит D_OPEN, чтобы никто больше там ничего не испортил, и установить бит D_LOCK, чтобы D_OPEN нельзя было поставить назад. На некоторых старых системах установить D_LOCK забывали, и там SMM был отрыт всем ветрам, но во времена UEFI этого уже не происходит, так что этот вектор атаки ушел в историю.

SMM cache poisoning

Еще одна историческая атака — отравление кэша SMRAM, которую в 2009 году опубликовали Rafal Wojtczuk и Joanna Rutkowska. Суть атаки коротко — меняем тип памяти для региона SMRAM на Write-Back, организуем запись в регион SMRAM своего кода, запись в память не происходит, но при этом наш код остается в кэше второго уровня, после чего генерируем программное SMI и процессор читает данные не из SMRAM, а из кэша, и выполняет наш вредоносный код. Проблема решилась радикально — производители CPU запретили ставить режим WB на SMRAM, и потому системе с UEFI этой уязвимости не подвержены.

SMM call-out, она же SMM incursion attack

Please, please, please, go apply patches!

DMA attack

SMM cross-buffer attack

Представленная специалистами из Intel ATR атака на обработчики SMI, которые принимают в качестве параметра указатель и размер буфера, и производят запись в него. Атакующий может передать указатель и размер таким образом, чтобы буфер пересекал границу RAM-SMRAM, а т.к. обработчик SMI имеет доступ к SMRAM, то он перепишет какую-то часть данных вначале SMRAM. При удачном стечении обстоятельств (т.е. приблизительно после 500 часов отладки минимум) обработчик может переписать служебные структуры диспетчера SMM или других обработчиков нужным атакующему образом, и он получит возможность выполнения произвольного SMM-кода. Атака адски сложная и целевая, но вполне возможная, поэтому с начала 2015 года все обработчики SMI, принимающие указатели на буфер, обязаны валидировать его перед использованием. На более старых системах атака будет работать, но вероятность того, что именно вас через нее взломают — невелика.

Заключение

Ну вот, теперь разобрались более или менее и с SMM, в следующей части поговорим об атаках на S3 BootScript.
Спасибо за внимание, безопасных вам прошивок.

Источник

основные сведения о таблице защиты Windows SMM (WSMT)

таблица по обеспечению безопасности Windows SMM (WSMT) — это таблица ACPI, определенная корпорацией майкрософт, которая позволяет системному встроенному по проверить операционную систему на наличие определенных рекомендаций по обеспечению безопасности в программном обеспечении (SMM). определение таблицы WSMT описано в спецификации Windows таблицы мер безопасности SMM (вмст).

Историческая справка

влияние использования WSMT на поддержку Windows VBS

В поле Флаги защиты WSMT указываются сведения о наличии этих конкретных угроз безопасности SMM в встроенном программном обеспечении системы. поддерживаемые версии операционной системы Windows читать флаги защиты WSMT на ранних этапах инициализации, до запуска гипервизора и VBS, а также включать, отключать или отменять некоторые функции безопасности в зависимости от наличия этих флагов защиты SMM.

Примечания по реализации

Правильная реализация средств обеспечения безопасности, представленных флагами защиты WSMT FIXED_COMM_BUFFERS и COMM_BUFFER_NESTED_PTR_PROTECTION, требует тщательного анализа и, возможно, перепроектирования обработчиков прерываний управления системой (SMI). Все обработчики SMI должны быть ограничены доступом (для чтения или записи) к допустимым областям памяти, содержащим память MMIO и, выделенную EFI. Не вполне достаточно проверить, что указатели в SMM не ссылаются на память целиком за пределами SMM. Вместо этого все указатели SMM должны быть проверены в пределах этих областей памяти. это предотвращает использование SMM при атаке «путают deputy», которая затем может быть использована для взлома Windows VBS. Указанные выше флаги защиты относятся только к проверке входных данных и проверкам указателей, и в настоящее время не требует принудительного применения с помощью защиты страниц SMM. Например, SMM не следует считывать или записывать данные в память, которая была описана встроенным по как Ефиконвентионалмемори, поскольку она может содержать секреты или вызывать непредсказуемое поведение программного обеспечения.

Проверка защиты в WSMT

поскольку SMM непрозрачна для операционной системы, невозможно создать тест, выполняемый в Windows, чтобы убедиться, что защита, предписанная в спецификации WSMT, фактически реализована в SMM. В операционной системе единственными возможными проверками является наличие приложения WSMT и проверка состояния всех определенных флагов защиты.

Таким образом, поставщик вычислительной техники должен тщательно сопротивляются код SMM каждой системы и убедиться, что встроенное по соответствует рекомендациям, изложенным в спецификации WSMT и этой статье. Флаг защиты не должен иметь значение «true» до тех пор, пока поставщик вычислительной техники не подтвердил, что для каждого значения флага защиты были правильно реализованы все меры по устранению. если не придерживаться этого способа, это позволит оставить платформу уязвимой для компрометации и отменять эффективность нескольких средств защиты ос и Windows функции безопасности, использующие VBS для поддержания надежных границ безопасности.

Поддерживаемые версии Windows

Поддержка WSMT включена в следующие версии Windows:

Источник

Microsoft добавит новые меры безопасности UEFI в Windows 10

В прошлых публикациях, посвященных улучшениям безопасности Windows 10 [1,2,3,4], я неоднократно хвалил Microsoft за эти полезные нововведения. Новые механизмы безопасности помогают более эффективно бороться с эксплойтами. Пока очевидно, что Microsoft все больше делает ставку на новые технологии защиты от эксплойтов, основанные на виртуализации Virtualization Based Security, при этом добавляя более современные метрики безопасности и вынося выполнение критических по безопасности операций в отдельные виртуальные машины с высоким уровнем привилегий.

На сей раз речь пойдет о безопасности прошивок UEFI. Известный гуру внутреннего устройства Windows Alex Ionescu опубликовал у себя в твиттере скриншот дополнительных требований безопасности UEFI, которые должны поддерживаться прошивками начиная с Windows 10 1703. Как известно, эта версия Windows 10 и может получить название очередного существенного обновления Redstone 2.

Не секрет, что сама прошивка, ее компоненты и драйверы в современных ПК являются почти мини-ОС, которая получает управление еще до передачи упropравления загрузчику Windows. Столь стремительное распространение UEFI подталкивает security-ресерчеров к детальному поиску уязвимостей в прошивках и их драйверах, а производителей BIOS/UEFI к пересмотру механизмов их защиты. Злоумышленнику достаточно воспользоваться уязвимостью только в одном компоненте прошивки, чтобы скомпрометировать такие продвинутые VBS- технологии защиты Windows 10 как Device Guard, Credential Guard, Windows Defender Application Guard.

Одним из подобных эксплойтов, который способен компрометировать все указанные выше технологии защиты Windows 10, основанные на виртуализации (VBS) является ThinkPwn, о котором я писал здесь. ThinkPwn использует уязвимость в драйвере прошивки для того, чтобы исполнить свой код на самом привилегированном уровне — SMM.

Рис. Абстрактные уровни привилегий исполнения кода. Высший относится к Intel ME, далее SMM и гипервизор. Компрометация UEFI-прошивки позволяет компрометировать гипервизор и основанные на нем механизмы защиты (Device Guard, Credential Guard, Windows Defender Application Guard).

Очевидно, что Microsoft учла вышеприведенные причины и добавила новые требования безопасности к прошивкам UEFI. Первое требование относится к фактической реализации DEP для прошивки. Т. е. страницы памяти с данными прошивки будут помечаться как NX (non-executable), что позволит исключить исполнение кода из ненадлежащих регионов памяти.

VBS will enable No-Execute (NX) protection on UEFI runtime service code and data memory regions. UEFI runtime service code must support read-only page protections, and UEFI runtime service data must not be executable.

Вторая функция безопасности относится к защите от эксплуатации уязвимостей, связанных с системной таблицей ACPI и драйверов (сервисов) UEFI. Для этого используется новая системная структура данных под названием Windows SMM Security Mitigations Table (WSMT).

The Windows SMM Security Mitigations Table (WSMT) specification contains details of an Advanced Configuration and Power Interface (ACPI) table that was created for use with Windows operating systems that support Windows virtualization-based security (VBS) features.

Отметим, что в обоих случаях Microsoft подчеркивает, тот факт, что введенные методы безопасности обезопасят VBS от компрометации через уязвимости в прошивке.

Reduces the attack surface to VBS from system firmware

Источник

Оценка статьи (5 / 2)

UEFI boot – это программа нового поколения, которая ускорит загрузку компьютера и она по структуре напоминает BIOS.

BIOS – это предпрограмма (код, вшитый в материнскую плату компьютера). Он запускается до загрузки операционной системы, проверяя работоспособность компьютера и отладку оборудования (драйверов). UEFI, в отличие от привычного BIOS-a, представляет собой графический интерфейс, гибко запрограммированный и действительно позволяющий быстрее запустить ОС.

Расположена предпрограмма поверх всей аппаратной начинки компьютера, а ее код, значительно превышающий BIOS по размерам, физически может находиться в любом месте – в микросхеме памяти на материнской плате, на жестком диске или в сетевом хранилище. Благодаря этому она напоминает операционную систему, только в упрощенном варианте. При запуске компьютера сперва загружается служба UEFI, проверяя все компоненты последнего , а затем непосредственно операционная система.

Как отключить Secure Boot в BIOS ноутбука

Доброго времени суток. Довольно часто многие пользователи задают вопросы насчет Secure Boot (например, данную опцию иногда требуется отключить при установке Windows). Если ее не отключить, то эта защитная функция (разработанная Microsoft в 2012г.) будет проверять и искать спец. ключи, которые имеются только у ОС Windows 8 (и выше). Соответственно, загрузить ноутбук с какого-либо носителя вы не сможете…
В этой небольшой статье я хочу рассмотреть несколько популярных марок ноутбуков (Acer, Asus, Dell, HP) и показать на примере, как отключить Secure Boot.

В ажная заметка! Чтобы отключить Secure Boot, необходимо зайти в BIOS — а для этого нужно нажать соответствующие кнопки сразу после включения ноутбука. Этому вопросу посвящена одна из моих статей — https://pcpro100.info/kak-voyti-v-bios-klavishi-vhoda/. В ней указаны кнопки для разных производителей и подробно рассказано, как войти в BIOS. Поэтому, в этой статье я на этом вопросе останавливаться не буду…

(Скриншоты из BIOS ноутбука Aspire V3-111P)

После того, как вошли в BIOS, необходимо открыть вкладку «BOOT» и посмотреть активна ли вкладка « Secure Boot «. Скорее всего, она будет не активной и ее нельзя будет изменить. Такое происходит из-за того, что не установлен пароль администратора в разделе BIOS « Security «.

Чтобы его установить, следует открыть данный раздел и выбрать пункт « Set Supervisor Password » и нажать на Enter.

Далее ввести и подтвердить пароль и нажать Enter.

Собственно, после этого можно открыть раздел « Boot » — вкладка « Secure Boot » будет активна и ее можно переключить в Disabled (т.е. выключить, см. скриншот ниже).

После проведенных настроек, не забудьте сохранить их — кнопка F10 позволит сохранить все произведенные изменения в BIOS и выйти из него.

После перезагрузки ноутбука, он должен грузиться с любого* загрузочного устройства (например, с флешки с Windows 7).

Некоторые модели ноутбуков Asus (особенно новые) ставят, порой, начинающих пользователей в тупик. На самом деле, как в них можно отключить защищенную загрузку?

1. Сначала заходим в BIOS и открываем раздел « Security «. В самом низу будет пункт « Secure Boot Control » — его нужно переключить в disabled, т.е. выключить.

Далее нажимайте кнопку F10 — настройки будут сохранены, а ноутбук отправиться перезагружаться.

2. После перезагрузки снова войтдите в BIOS и затем в разделе «Boot» сделайте следующее:

• Fast Boot — переводим в режим Disabled (т.е. отключаем быструю загрузку. Вкладка есть не везде! Если у вас ее нет — то просто пропустите эту рекомендацию);
• Launch CSM — переключаем в режим Enabled (т.е. включаем поддержку и совместимость со «старыми» ОС и ПО);
• Затем снова жмем F10 — сохраняем настройки и перезагружаем ноутбук.

3. После перезагрузки входим в BIOS и открываем раздел « Boot » — в пункте « Boot Option» можно бужет выбрать загрузочный носитель, который подключен к USB порту (например). Скриншот ниже.

Затем сохраняем настройки BIOS и перезагружаем ноутбук (кнопка F10).

(Скриншоты с ноутбука Dell Inspiron 15 3000 Series)

В ноутбуках Dell отключение Secure Boot, наверное, одно из самых простых — достаточно одного захода в Bios и ненужно никаких паролей администраторов и пр.

После входа в BIOS — откройте раздел «Boot» и задайте следующие параметры:

• Boot List Option — Legacy (этим мы включаем поддержку старых ОС, т.е. совместимость);
• Security Boot — disabled (отключаем защищенную загрузку).

Собственно, далее можно отредактировать очередь загрузки. Большинство устанавливает новую ОС Windows с загрузочных USB флешек — поэтому ниже привожу скриншот, какую строку нужно подвинуть на самый верх, чтобы можно было загрузиться с флешки (USB Storage Device).

После введенных настроек нажмите кнопку F10 — этим вы сохраните введенные настройки, а затем кнопку Esc — благодаря ей вы выйдите из BIOS и перезагрузите ноутбук. Собственно, на этом отключение защищенной загрузки на ноутбуке Dell — завершено!

После входа в BIOS, откройте раздел « System Configuration «, а затем перейдите во вкладку « Boot Option » (см. скриншот ниже).

Далее переключите « Secure Boot » в Disabled, а « Legacy Support » в Enabled. Затем сохраните настройки и перезагрузите ноутбук.

После перезагрузки появиться текст «A change to the operating system secure boot mode is pending…».

Нас предупреждают о внесенных изменениях в настройки и предлагают подтвердить их кодом. Просто нужно ввести код, показанный на экране и нажать на Enter.

После этого изменения ноутбук перезагрузиться, а Secure Boot будет отключен.

Чтобы загрузиться с флешки или диска: при включении ноутбука HP нажмите на ESC, а в стартовом меню выберите пункт «F9 Boot Device Options», дальше сможете выбрать устройство, с которого хотите загрузиться.

Для отключения можно использовать различные способы.

Первый из которых возможен при наличии на вашем устройстве операционной системы Windows 8 или выше.

В этом случае вам понадобится открыть правую панель и выбрать пункт «Параметры», после чего перейти в раздел изменения параметров компьютера.

Затем следует выбрать пункт «Восстановление» в разделе «Обновление и восстановление» и кликнуть по кнопке «Перезагрузить сейчас» с использованием особых вариантов загрузки компьютера.

Выбираем параметры загрузки

В дополнительных параметрах выбираете настройки UEFI и производите перезагрузку устройства.

Пункт выбора UEFI

Еще одним способом, позволяющим войти в БИОС вашего ноутбука, является использование комбинации клавиш Fn + F2 .

После этого вы также получите доступ ко всем настройкам BIOS.

На некоторых ОС «горячие клавиши» могут отличаться.

Так у стационарных компьютеров это чаще всего клавиша Delete , а у большинства ноутбуков — F2 .

Для того, чтобы не ошибиться с тем, какие клавиши позволяют войти в настройки BIOS на вашем устройстве — вы их можете увидеть на начальном экране в момент запуска.

Для начала стоит рассмотреть настройки БИОС InsideH20 setup utility с имеющейся функцией UEFI, так как это распространенный набор микропрограмм для большинства ноутбуков.

Сюда можно отнести устройства таких брендов как Acer и Toshiba, перевод Secure Boot в неактивное состояние на которых несколько схоже.

Установка Windows UEFI

Установка windows через BIOS кардинально отличается от установки через UEFI. Первым делом необходимо создать загрузочную флешку. Одна из самых подходящих для таких целей программ – утилита Rufus 1.4.6. Она бесплатная, не требует установки и поэтому не занимает много места на жестком диске или съемном носителе. Что важно , она подходит для GPT-разметки жесткого диска и может работать со спецификацией UEFI. Подходящее обновление утилиты можно скачать на официальном веб-сайте разработчиков.

Запускаем утилиту и указываем название флешки, предназначенной для установки(предварительно нужно удалить важные файлы, очистив память). В пункте «File system» (файловая система) выбираем FAT 32, далее в качестве схемы раздела – GPT (GUID Partition Table), системный интерфейс – UEFI. Поставьте галочку у пункта «Create a bootable disk using:» (создать загрузочное устройство с использованием…), выберите рядом ISO Image и укажите полный путь к ISO-образу операционной системы Windows.

После введения всех описанных параметров можно нажимать на « Start » и программа самостоятельно подготовит флеш-накопитель к загрузке ОС. Время, затраченное на этот процесс, зависит от быстродействия вашего компьютера и от поколения USB.

Если работа утилиты Rufus вас не устраивает или появляются проблемы с загрузкой UEFI, можно использовать абсолютно аналогичную программу, которая называется WinSetupFromUSB.

Скачивание также доступно на сайте производителя, а ее название (в переводе «Загрузка Windows с USB») говорит само за себя. Загрузочная флешка создается полностью аналогично, так как программы имеют практически одинаковый интерфейс.

Отключение на устройствах Acer

Используя клавишу F2 в самом начале загрузки операционной системы откройте окно BIOS.

Зайдя таким образом в настройки BIOS UEFI необходимо будет перейти в раздел «Main» и из присутствующего списка выбрать пункт «F12 Boot Menu».

По умолчанию данная функция активна, однако, ее следует деактивировать, установив напротив нее параметр [Disabled] .

В этом случае вы сможете после нажатия клавиши F12 попасть в загрузочное меню своего ноутбука.

После этого необходимо с помощью клавиш со стрелками переместиться в раздел «Security» и выбрать пункт «Set Supervisor Password».

Отключение на ноутбуке Toshiba

Необходимо найти раздел «Security», который присутствует в верхнем списке меню.

Не забывайте, что все перемещения по списку производятся при помощи клавиш со стрелками.

BIOS ноутбука Тошиба

Выбрав таким образом необходимый пункт — жмете на клавишу Enter , чтобы войти в его настройки.

После этого опускаетесь к опции «Secure Boot», расположенной в нижней части вкладки.

По умолчанию данная функция включена и имеет надпись [Enabled] .

При нажатии на данном пункте кнопкой Enter вам представится возможность выбрать вариант [Disabled] — отключено.

С помощью этих действий вы отключите функцию Secure Boot на своем ноутбуке, но для того, чтобы установить на него другую операционную систему — этого будет недостаточно.

На данной вкладке среди имеющегося списка найдите пункт «System Configuration» и нажмите кнопку Enter .

Войдя в настройки данного пункта выберите строку «Boot Mode» (в некоторых моделях может быть «OS Mode Selection») и в открывшемся меню перейдите из установленного по умолчанию положения «UEFI Boot» (на некоторых устройствах может быть «UEFI OS») в режим «CSM Boot» (могут быть и такие варианты, как «CMS OS», «UEFI and Legacy OS»).

После проведения всех настроек следует нажать клавишу F10 , чтобы они вступили в силу, а в открывшемся окне «Save & reset» подтвердить свое намерение выбором пункта «Yes» и нажать клавишу Enter .

Завершающим этапом будет перезагрузка ноутбука, после которой вы сможете установить на устройство любую другую операционную систему.

Для этого вам снова придется войти в БИОС, используя клавишу F10 либо Esc , и выбрать в его настройках подключенную установочную флешку или загрузочный компакт диск.

Как узнать, включен ли режим безопасного запуска

Этот вариант подходит для восьмой и десятой версий Windows. Нажмите кнопки Windows+R и в полученном окне введите команду «msinfo32» ( без кавычек). Нажмите кнопку Enter.

В появившемся окне слева следует выбрать раздел «Сведения о системе», а справа найти строку «Состояние безопасной загрузки». Столбец «Значение» показывает , включена или отключена рассматриваемая функция.

Отключение на ноутбуке Samsung

На устройствах данного производителя устанавливается программа Aptio Setup utility, ее открытие происходит в момент запуска нажатием клавиши F2 .

Войдя таким образом в BIOS следует открыть настройки раздела «Boot».

В нем необходимо выбрать пункт «Secure Boot» и перевести его из состояния [Enabled] (включено) в положение [Disabled] (отключено).

Перемещение производится с помощью клавиш со стрелками, а подтверждение изменения — кнопкой Enter .

После того, как появится окно с предупреждением, что загрузка компьютера может быть произведена с ошибкой — нажмите на клавишу Enter для подтверждения.

Этот пункт следует перевести в положение «UEFI and Legacy OS» либо «CSM OS» и вновь нажать на клавиатуре Enter .

Перед вами снова появится сообщение о возможном появлении ошибки в процессе перезагрузки.

Игнорируйте его нажатие клавиши Enter , после чего перезагрузите ноутбук с сохранением новых настроек.

Для этого необходимо нажать на клавишу F10 и согласиться с сохраняемыми изменениями, выбрав вариант «Yes».

Когда ПК будет перезагружаться, нажмите F10 , перед вами откроется меню загрузки.

В нем вам предстоит выбрать один из вариантов — жесткий диск компьютера, компакт-диск или флешку.

Как создать установочную флешку для компьютера с UEFI

С переходом на UEFI изменились и требования к загрузочным USB-флешкам. Теперь флешки, созданные по старым правилам, например, при помощи утилиты Microsoft Windows USB/DVD Download Tool, можно использовать лишь для установки устаревших и 32-битных версий ОС в режиме эмуляции BIOS.
Чтобы поставить на комп Windows 10 x64 в режиме UEFI с активным Secure Boot, загрузочный носитель должен иметь файловую систему FAT32. Это накладывает ограничение на его объем (максимум 4 Гб), но NTFS, к сожалению, несовместим с протоколом безопасной загрузки. Зато в остальном процесс создания загрузочных флешек сильно упростился. Теперь это можно делать даже без программ.

Самый простой способ создания установочной USB-флешки с Виндовс 10 – это обычное копирование на нее файлов дистрибутива. Таким же способом, как копируют данные из папки в папку. Создавать на флешке загрузчик не нужно, поскольку он уже входит в состав UEFI.

Для копирования на флешку дистрибутива в формате ISO, последний достаточно открыть в проводнике Windows.

Если у вас нет дистрибутива «десятки» или вы просто предпочитаете создавать загрузочные носители при помощи программ, используйте утилиту Microsoft . Чтобы подготовить флешку к установке, помимо нее самой и утилиты вам понадобится лишь доступ в Интернет. Как происходит «таинство» записи и каково в нем ваше участие, F1comp рассказывал в этой статье.

Еще одна простая бесплатная утилита, заточенная под создание загрузочных накопителей для UEFI, это . Нужные настройки устанавливаются на ней буквально в 3 клика мышью.

Самое главное здесь – правильно выбрать схему раздела и тип системного интерфейса. Для совместимости с Secure Boot и дисками, вместительнее 2 Тб, выбирайте из списка «GPT для компьютеров с UEFI». Далее укажите программе путь к дистрибутиву и жмите кнопку Старт. Через 20-40 минут установочная флешка будет готова.

Вариант отключения на устройствах Hewlett-Packard

Выполнение данной операции на некоторых моделях ноутбуков HP может быть сопряжено с некоторыми дополнительными действиями.

Одной из таких моделей является HP Pavilion.

BIOS ноутбука HP

Изначально следует запустить ноутбук и в самом начале загрузки (как только на экране монитора появятся самые первые символы) нажать и удерживать некоторое время кнопкой Esc .

После этого появится «Startup Menu», которое содержит варианты загрузки.

Далее нужно воспользоваться кнопкой F10 , чтобы попасть в окно настроек BIOS.

Войдя в него вам предстоит выбрать раздел меню «System Configuration», расположенный в верхней части окна, перемещаться к которому следует с помощью кнопок со стрелками.

Нажатием на Enter вы попадете в окно настроек данного пункта, в котором нужно выбрать из имеющегося списка пункт «Secure Boot».

Чтобы его отключить — установите напротив него значение [Disabled] (отключено).

После этого перейдите к пункту «Legacy support», отвечающему за совместимость с другими операционными системами.

Переведите его в состояние [Enabled] , так как по умолчанию данная функция отключена.

На ваши действия система выдаст предупреждение, которое необходимо проигнорировать и выбрать пункт «Yes».

Далее жмете на кнопку Enter , после чего происходит стандартная перезагрузка.

В ее процессе откроется окно с предупреждением о том, что произведено изменение режима безопасной загрузки операционной системы.

Для завершения произведенных настроек будет предложено ввести четырехзначный код и нажать на клавишу Enter .

При его новом запуске необходимо удерживать Esc на клавиатуре, которая позволит войти в загрузочное меню.

Создание загрузочной флешки UEFI вручную

Ранее я писал, о том, Как сделать загрузочную флешку Windows 10 UEFI в Rufus, как сделать загрузочную флешку Windows 8 и 8.1 с поддержкой UEFI в программе Rufus. Вы можете использовать указанное руководство, если нет желания выполнять все действия в командной строке — в большинстве случаев, все проходит успешно, программа отличная.

В этой инструкции загрузочная флешка UEFI будет создаваться с помощью командной строки — запустите ее от имени администратора (В Windows 7 найдите командную строку в стандартных программах, кликните правой кнопкой мыши и выберите запуск от имени администратора. В Windows 10, 8 и 8.1 нажмите клавиши Win + X на клавиатуре и выберите нужный пункт в меню).

В командной строке по порядку введите следующие команды:

• diskpart
• list disk

В списке дисков посмотрите, под каким номером находится подключенная к компьютеру флешка, на которую будет производиться запись, пусть это будет номер N. Введите следующие команды (все данные с USB накопителя будут удалены):

• select disk N
• clean
• create partition primary
• format fs=fat32 quick
• active
• assign
• list volume
• exit

В списке, который отобразится после выполнения команды list volume, обратите внимание на букву, которая была присвоена USB накопителю. Впрочем, это можно посмотреть и в проводнике.

Материнская плата ASUS

Для удобства работы на некоторых моделях предусмотрено наличие русского языка, делающего интерфейс UEFI BIOS Utility понятным и доступным.

Также имеется возможность использовать компьютерную мышь для проведения настроек.

Вид UEFI BIOS Utility

Чтобы отключить функцию Secure Boot необходимо удерживать кнопку F2 или Delete в момент загрузки компьютера.

Это позволит открыть окно «UEFI BIOS», находясь в котором следует нажать клавишу F7 .

Открыв окно настроек вам понадобится перейти в пункт меню «Загрузка» и выбрать в нем параметр «Безопасная загрузка».

В строке «Тип ОС» выбираете «Other OS» (другая ОС) вместо установленной по умолчанию «Windows UEFI mode».

После этого необходимо вернуться в начальное окно раздела «Загрузка» и выбрать пункт CSM (Compatibility Support Module).

Выделив данный пункт и нажав клавишу Enter , вы попадете в окно его настроек, в котором выбираете «Запуск CSM».

Далее выбираете пункт «Параметры загрузочных устройств» и устанавливаете ему свойство «UEFI и Legacy OpROM» либо «Только Legacy OpROM».

Перейдите в пункт «Загрузка с устройств хранения» и установите один из двух вариантов — «Both, Legacy OpROM first» либо «Сначала Legacy OpROM».

Затем нажмите клавишу F10 , чтобы сохранить все произведенные изменения.

Как отключить Secure boot в БИОСе

Режим security в UEFI, или security boot, обеспечивает на ноутбуке, стационарном компьютере защиту при запуске: блокирует доступ к настройке изменения приоритета загрузки с CD/DVD, USB-накопителя (в том числе не даёт возможность пользоваться ОС с загрузочной флешки), предотвращает попытки установки нелицензированной, неавторизованной ОС, несанкционированного вмешательства в загрузочную оболочку. В таких ситуациях при загрузке на дисплее появляется надпись «secure boot violation», сигнализирующая о невозможности модификации загрузки в BIOS (в биосе), UEFI.

Чтобы убрать эту блокировку, необходимо отключить в UEFI соответствующие опции. После отключения защиты можно изменять приоритет загрузки с дисков и USB-флешки, а также устанавливать любые дистрибутивы ОС.

Эта статья подскажет вам, как отключить secure boot в опциях загрузочной оболочки. В ней подробно рассказывается, как выключить режим защиты на девайсах популярных брендов, как узнать при помощи настроек системы, включен ли Secure Boot.

Проверка активности функции

Статус активации защиты загрузки можно узнать двумя способами:

Способ №1: в опциях

1. Зажмите вместе на клавиатуре клавиши «Win» +«R».

2. В панели «Выполнить» введите msinfo32, нажмите «Enter».

3. Найдите параметр «Состояние … загрузки». Просмотрите его значение: «Откл.» — режим защиты выключен, «Вкл.» — включен.

Способ №2: в консоли Powershell

1. Запустите утилиту:

• откройте меню «Пуск»;
• в поисковой строке задайте название утилиты — powershell;

2. Щёлкните в списке панели «Пуск» появившуюся строку с утилитой.

Как открыть настройки UEFI/BIOS

Чтобы деактивировать Security Boot, изначально нужно открыть загрузочную оболочку UEFI или BIOS. Выполнить эту процедуру также можно по-разному:

Способ №1: при помощи «горячих клавиш»

Перезапустите ОС. Нажимайте «Del». Если вход в оболочку не удалось выполнить, значит, используется другая «горячая клавиша» для входа в режим загрузочных настроек. Это может быть — «F2» или комбинация «FN+F2» (на ноутбуке).

Примечание. Кнопка перехода в биос может указываться на мониторе в процессе запуска системы.

Способ №2: штатная опция ОС

(вариант для 8/8.1) 1. Активируйте выдвижную панель (в правой части экрана).

2. Перейдите: Параметры → Изменение параметров … → Обновление и …→ Восстановление.

3. В дополнительных надстройках выставьте режим перезапуска «Настройки по UEFI».

4. Активируйте команду «Перезагрузить».

Руководства по отключению

Материнская плата ASUS (ПК)

1. Перезапустите ПК. Нажмите клавишу «Del» или «F2» (зависит от конкретной модели ASUS). Когда на дисплее отобразится оболочка, нажмите «F7», отобразится «Advanced Mode».

2. В «Boot» щёлкните по строке «Secure Boot».

3. В панели настройки задайте «Other OS».

4. Вернитесь в «Boot», Compatibility Support Module (CSM).

5. Включите опцию Launch CSM: в её строке установите Enabled.

6. В «Boot Device Control» задайте значение «UEFI and Legacy …» или « Legacy OpROM …».

7. Ниже по списку, в «Boot … Devices», выберите «Both, Legacy … first» либо « Legacy OpROM …».

Всё. Настройка завершена. Защита деактивирована. Нажмите «F10», подтвердите модификацию настроек. Перезагрузите ОС.

Ноутбук Asus

1. В загрузочной оболочке, в Security — Secure Boot, выставьте «Disabled».

2. В «Boot» — Fast Boot смените параметр на «Disabled».

3. Сохраните конфигурацию опций (F10), выполните перезагрузку. Откройте BIOS.

4. В Boot — «Launch …» смените значение на «Enabled».

5. Сохраните изменения и выполните перезагрузку ОС.

Asrock

1. В UEFI откройте «Security» (иконка «Щит» в верхнем меню).

2. В «Secure Boot» переведите переключатель в «Disabled» (отключить).

3. Нажмите «F10» для сохранения настроек. Выполните перезагрузку ПК.

Gigabyte

1. В UEFI откройте меню «… Features».

2. Задайте опции:

• Windows 8 Features — Other OS;
• Boot Mode Selection» — «Legacy only» /«UEFI and Legacy» (возможные варианты);
• Other PCI Device ROM Priority — Legacy OpROM.

3. Сохраните выполненные модификации при помощи клавиши «F10».

1. В меню оболочки перейдите: SETTINGS → Boot.

2. В Boot Mode Select поменяйте параметр на «Legacy+UEFI».

3. Нажмите F10 для сохранения изменений в опциях.

Toshiba

1. В Security- «Secure Boot» задайте положение «Disabled».

2. Перейдите в оболочке: Advanced → System Configuration.

3. Найдите «Boot Mode» (также он может называться OS Mode Selection) и установите его переключатель в положение «CSM Boot» (альтернативные названия параметра — CMS OS, UEFI and Legacy OS).

4. Активируйте команду сохранения настроек клавишей «F10». Перезапустите систему. Теперь можно использовать загрузочные диски и флешки, а также устанавливать любые ОС.

В ноутбуках HP Pavillion для деактивации нужно выполнить ещё несколько дополнительных настроек:

1. Для входа в UEFI-BIOS в процессе перезагрузки нажимайте клавишу «F10» (в отдельных моделях: ESC → F10).

2. В оболочке перейдите: System Configuration → Boot Options.

3. Измените положение следующих опций:

• Secure Boot — Disabled (отключение защитного режима);
• Legacy support — Enabled (включение совместимости с другими ОС).

4. В запросе с подтверждением изменений параметров выберите «Yes» (Да).

5. Чтобы новые настройки вступили в силу, активируйте сохранение параметров клавишей F10.

6. Перезагрузите ОС. По завершении перезапуска системы появится предупреждение и запрос на ввод указанного кода (отображается в строке … to complete the change). Наберите его и нажмите «Enter». Ноутбук автоматически перезагрузится.

Для изменения приоритета загрузки в целях использования установочной USB-флешки в процессе включения ноутбука зайдите в стартовое меню (клавиша ESC) и выполните необходимые настройки в разделе «Boot Device Options» (клавиша F9).

Samsung

1. Чтобы перейти в оболочку UEFI-BIOS, в ходе запуска ноутбука нажимайте клавишу «F2».

2. Перейдите в панель «Boot», установите курсор в строке «Secure Boot».

3. В подменю измените его параметр на значение «Disabled».

4. В сообщении с предупреждением выберите «OK» (подтвердите изменение).

5. После отключения защиты в этом же перечне появится пункт «OS Mode Selection». Задайте в нём параметр CMS OS (или UEFI and Legacy OS).

Acer Aspire

1. В момент перезапуска ноутбука нажмите «F2».

2. В панели Main, в опции «F12 Boot Menu», поставьте значение «Enabled».

Примечание. Данная надстройка разрешает запрос загрузочного меню клавишей F12.

3. В панели Security установите курсор в опции «Set Supervisor Password» и нажмите «Enter». В дополнительном поле введите два раза условный пароль.

4. Когда появится сообщение «Changes… saved» снова нажмите «Enter».

5. На вкладке Boot, в настройке Boot Mode, смените параметр на «Legacy».

6. Сохраните изменения настроек (F10).

7. Перезагрузите ноутбук и снова зайдите в UEFI-BIOS.

8. Перейдите: Security → Set Supervisor Password. Нажмите «Enter», введите раннее установленный пароль. В последующих полях нажмите «Enter» без ввода данных.

В сообщении «Changes… saved» снова используйте клавишу Enter. Теперь пароль сброшен и появился доступ к активации/деактивации защиты Secure Boot.

Lenovo

1. Зайдите в консоль UEFI при помощи клавиши F2 или комбинации Fn+F2 (в зависимости от модели).
2. Откройте: раздел «Security» → опцию «Secure Boot». В её графе поставьте значение «Disabled».
3. Сохраните значение опции (нажмите F10).

В ноутбуках Dell, оснащённых оболочкой InsydeH2O, деактивация защиты выполняется так:

1. В меню открывается: вкладка Boot → подраздел UEFI Boot.
2. В строке «Secure Boot» устанавливается значение «Enabled».
3. Сохраняются настройки, перезапускается ноутбук.

Как видите, принцип отключения защиты Secure Boot на разных моделях практически одинаков за исключением лишь некоторых нюансов, связанных с местонахождением меню и дополнительными надстройками. Если даже в этом обзоре нет модели вашего ПК, ноутбука, используйте для деактивации защитной загрузочной опции базовый алгоритм. А именно: вход в оболочку UEFI → выключение Secure Boot (+ в некоторых компьютерах включение совместимости с другими ОС) → сохранение созданной конфигурации оболочки → перезагрузка системы.

Успешной и быстрой вам настройки компьютера! Будьте предельно внимательны, изменяя значение опций в консоли UEFI.

Старый-добрый BIOS

Основные принципы функционирования BIOS (базовой системы ввода-вывода) для персональных компьютеров были определены еще в конце 70х годов прошлого века. На протяжении довольно большого промежутка времени, прошедшего с той поры, компьютерная отрасль интенсивно развивалась, это приводило к тому, что на определенных этапах возможностей BIOS было недостаточно, поскольку выпускаемые производителями устройства имели на борту новые технологии, часто не совместимые с текущими версиями BIOS. Что бы уйти от подобных проблем, разработчикам приходилось порой довольно существенно модифицировать код BIOS, однако целый ряд ограничений так и остался неизменным до настоящего времени. И, если первоначально архитектура BIOS была достаточно простой, то по прошествии времени она неминуемо усложнялась, адаптируясь под все новые и новые технологии, поэтому, к определенному моменту она стала напоминать нагромождение различного рода устаревшего и плохо взаимодействующего между собой кода. Ограничения, которые и по сей день можно встретить в коде BIOS, объясняются необходимостью сохранять совместимость с базовыми функциями, необходимыми для функционирования старого ПО. Всё это привело к тому, что BIOS, по сути, стал самым устаревшим компонентом современных ПК. На данный момент BIOS мало удовлетворяет требованиям новейшего оборудования и имеет следующие недостатки:

1. 16-битный код, реальный режим. BIOS написан на языке ассемблера и функционирует на 16-битном коде в реальном режиме (real mode) процессора со свойственными ему ограничениями, самое существенное из которых — ограничение адресного пространства памяти объемом 1 Мегабайт.
2. Отсутствие доступа к 64-битному железу. BIOS не способна напрямую взаимодействовать с 64-битным оборудованием, доминирующим на рынке в настоящее время.
3. Отсутствие единого стандарта. Для BIOS отсутствует единая спецификация — каждый производитель предлагает собственный вариации реализации.
4. Сложность разработки. Проблема заключается в том, что практически для каждой очередной модели системной платы производителем разрабатывается собственная версия BIOS, в которой реализуются уникальные технические особенности данного устройства: взаимодействие с модулями чипсета, периферийного оборудования и прч. Разработку BIOS можно разделить на два этапа. На первом этапе создается базовая версия микропрограммы, в которой реализуются те функции, которые не зависят от специфики оборудования. Разработчики подобного кода хорошо известны, это такие компании как American Megatrends (AMIBIOS), Phoenix Technologies (+ приобретенная ею легендарная Award Software (AwardBIOS)) и некоторые другие. На втором этапе к разработке BIOS подключаются программисты производителя материнской платы. Тут уже базовая сборка модифицируется под специфику каждой конкретной модели платы, учитываются ее особенности. После выхода системной платы на рынок, работа над прошивкой продолжается, регулярно выпускаются обновления, в которых исправляются ошибки, добавляется поддержка нового оборудования (например, процессоров) и, иногда даже расширяются функциональные возможности прошивки.

Все эти, а так же некоторые другие, недостатки традиционной модели BIOS и привели к тому, что коалиция производителей аппаратуры и ПО начала работать над созданием спецификации UEFI. Начиная, по собственным наблюдениям, где-то с 2010 года, спецификация UEFI начала массово внедряться во все вновь выпускаемые материнские платы ведущих производителей, поэтому на данный момент найти новый компьютер с традиционным BIOS практически невозможно. Однако, сильно огорчаться из-за этого не стоит, поскольку многие производители в своих системных платах сохраняют совместимость с функционалом традиционных BIOS. К примеру, очень важным моментом является поддержка традиционного режима загрузки при помощи MBR. С этой целью был разработан UEFI-модуль режима эмуляции BIOS, который носит название Compatibility Support Module (CSM). Правда, я так полагаю, со временем все меньше и меньше производителей будут поддерживать в своих прошивках данный режим.

Как отключить UEFI/Secure Boot (разблокировать BIOS)?

Купил ноутбук Asus, хотел загрузится с загрузочного диска чтоб переустановить Windows 8, на Windows 7, не могу загрузится с диска, Что делать?

Вам необходимо отключить так называемый режим — Secure Boot

Просто находим изображение со своим BIOS и смотрим как в нем отключается UEFI.

Secure Boot — это защитная функция, созданная в 2012 году корпорацией Майкрософт в результате чего не может быть доставлен в приоритете загрузки BIOS на CD / DVD диске, который означает, что вы не можете загрузить диск, и вы не можете поставить приоритет загрузки к USB, будь то флэш-накопитель USB или внешний жесткий внешний диск. Доступ Т.е. полностью закрыт, но вы можете отключить эту защиту, предусмотрен.

В зависимости от способа, чтобы отключить производителей могут отличаться от описанных здесь, но в целом, суть остается той же. Главное понять, что цель Secure Boot — официальные ключи, которые пользователь должен приобрести за счет собственных средств.Вот 3 самых распространённых BIOS (и инструкция как отключить UEFI):

В старых версиях BIOS-а отключить Secure Boot было довольно легко:

В новых версиях BIOS-а, Secure Boot отключается на порядок сложнее. Просто находим Свое изображение (или изображениЯ) и смотрим на них как отключается этот самый Secure Boot.

Алгоритм работы UEFI

В процессе разработки UEFI, разработчика, с самого начала, были установлены жесткие рамки для каждого процесса, участвующего в ходе выполнения. Первые три фазы (SEC, PEI, DXE) подготавливают платформу для загрузчика ОС, четвертая фаза (BDS) непосредственно производит загрузку загрузчика ОС. Давайте попробуем разобрать алгоритм работы UEFI и подробнее рассмотреть все его фазы.

• Фаза SEC. (Security, Безопасность). Фаза безопасности. Все должно быть подписано и проверено иначе не будет запущено! Очистка CPU кэша.
• Запуск главной процедуры инициализации в ROM.
• Переход в защищенный режим работы процессора.
• Инициализируются MTRR (диапазонные регистры типа памяти) для BSP.
• Запуск патчей микрокода для всех установленных процессоров.
• Начальная работа с BSP/AP. BSP = Board Support Package. AP = Application Processor. Каждое ядро может быть представлено как BSP + AP. Всем AP рассылается IIPI (Init Inter-processor Interrupt), затем SIPI (Start-up Inter-processor Interrupt).
• Передача данных и управления в фазу PEI.

Фаза PEI. (Pre-EFI Initialization, Пред-EFI Инициализация). Подготовка платформы (памяти и обнаруженных устройств) для главной процедуры инициализации системы в фазе DXE.

Перенос данных из ROM в кеш.

Инициализация CRTM (Core Root for Trust of Measurement). Это набор инструкций, который запускается платформой в ходе выполнения RTM-операций.

Загружается диспетчер PEI. Диспетчер загружает серию модулей (PEIM), которые варьируются в зависимости от платформы. Эти модули завершают оставшиеся задачи PEI. Стадия завершается, когда все модули загружены.

PEIM: Загружаются и запускаются модули инициализации процессоров. (пример: модуль кеша процессора, модуль выбора частоты процессора). Инициализируются процессоры.

PEIM: Встроенные интерфейсы платформы инициализируются (SMBus). Инициализируются MCH (Memory Controller Hub), ICH (I/O Controller Hub).

PEIM: инициализация памяти. Инициализация основной памяти и перенос в нее данных из кэша.

Проверка режима S3. Нет — передача управления в фазу DXE. Да — восстановление исходного состояния процессора и всех устройств и переход к ОС.

Фаза DXE. (Driver eXecution Environment, Среда загрузки драйверов). Загрузка компонентов этой фазы базируется на ресурсах, которые были инициализированы в фазе PEI. Фаза окончательной инициализации всех устройств. Запуск служб UEFI: Boot Services, Runtime Services и DXE Services.

Загружается ядро DXE. Создается инфраструктура DXE: создаются необходимые структуры данных, база данных хендлов. Включает основные интерфейсы DXE. Запускает ряд сервисов: сервисы этапа загрузки (Boot Services), сервисы этапа выпонения (Runtime Services), сервисы фазы DXE (DXE Services).

Запуск диспетчера DXE. Посредством переданного из PEI списка Hand-off Block структур (HOB list) определяет доступные Firmware Volume (FV, структурированная база данных исполняемых модулей DXE: драйверов и приложений) и ищет в них драйвера, запускает их, соблюдая зависимости. В этот момент производится активация остальных компонентов, причем одновременно нескольких. Диспетчер грузит все доступные драйвера со всех доступных носителей.

Загрузка драйвера SMM Init. Инициирует подфазу. SMM (System management mode) — один из привилегированных режимов исполнения кода x86-процессора, в котором процессор переключается на независимое адресное пространство, сохраняет контекст текущей задачи, затем выполняет необходимый код, затем возвращается в основной режим. Зачем нам SMM? А потому что в этом режиме можно сделать с системой все что угодно и не зависимо от ОС. Код SMM может исполняться и после окончания фазы DXE.

Запускается UEFI Boot Manager. Это происходит после запуска всех драйверов. Управление передается в фазу BDS.

Фаза BDS. (Boot Device Selection, Выбор устройства загрузки). Реализует политику загрузки платформы. Основная задача — подключить устройства, необходимые для загрузки, выбрать (вручную или автоматически) устройство загрузки и загрузиться с него. Зачастую выполняет рекурсивный поиск по всем доступным FV и пытается найти доступный для загрузки контент.

Инициализируются консольные устройства, описываемые переменными окружения ConOut (ConsoleOutHandle), ConIn (ConsoleInHandle), StdErr (StandardErrorHandle).

Загружаются UEFI-драйвера устройств, перечисленные в переменной окружения DriverOrder (содержащей опций Driver#### в порядке загрузки).

Загружается UEFI-приложение с устройства загрузки Boot####. Списки устройств содержатся в глобальной переменной окружения BootOrder в порядке очередности загрузки.

Если не смогли выполнить что-либо из вышеперечисленного, то вызываем диспетчер DXE для проверки обеспечения зависимостей дополнительных драйверов с момента последнего вызова диспетчера. После чего управление опять возвращается в фазу BDS.

Как отключить защиту Secure Boot в биосе

Многие покупатели ноутбука или ПК, где есть предустановленная ОС Windows 8 хотят перезагрузиться с диска и переустановить на Windows 7, но при этом не получается решить проблему отключения Secure Boot в Windows 8.1. Для этих целей необходимо войти в конфигурацию BIOS и посмотреть, как будет происходить отключение режима UEFI. Вся информация об этом ниже.

Непосредственное значение Secure Boot это защитная функция, которая разработана Майкрософт, где имеется доставленное для ПК в приоритете загрузка BIOS на CD / DVD диске. Это опция означает, что вы не можете осуществить загрузку диска, не можете осуществить приоритетную загрузку к USB и неважно, что в качестве этого будет использовано — диск или флэш-накопитель. Таким образом, доступ будет закрыт по умолчанию, но вы можете решить задачу как отключить Secure Boot в BIOS, используя простые подсказки. Нужно помнить одну вещь, что главной целью Secure Boot являются ключи, которые пользователь должен в обязательном порядке купить.

Советы и рекомендации

Главной особенности утилиты является проверка соответствия ключей и имеющихся подписей для загрузочной системы ПК, в том числе для Acer. Эта утилита предназначена для того, чтобы не было несанкционированного доступа в вашу операционную систему. Таким образом, чтобы избежать сложных действий по отключению утилиты, пользователь сначала должен отключить утилиту в UEFI.

Интерфейс этой утилиты принадлежит не Майкрософту, как думают многие пользователи, а компании UEFI, которая является разработчиком БИОС для компьютеров и ноутбуков. Основная функция этой утилиты — полный запрет установки другой ОС, а также управление ключами, которые предусмотрены конфигурацией для любого ПК или ноутбука. Среди всех вариантов отключения заострим внимание на том, что UEFI Secure Boot отключить не получится только на планшете, где имеется предустановленная операционная система Windows.

Если ваша операционная система «восьмёрка» или «десятка», тогда попробуем отключить утилиту в двух режимах.

• Используем режим Setup. Эта функция необходима для того, чтобы можно было отключить и произвести замену основных ключей общего вида Platform Key, и KEK, а также обкатать на базе действия разрешённых и отозванных ключей типового исполнения DB и DBX.
• Применяем в работе режим User или режим непосредственного пользователя, в котором работает юзер ПК.

Для того, чтобы полностью убрать функцию утилиты, в любом случае придётся использовать первый тип режима. Происходящая замена ключей позволяет сравниться с подписями кода, при этом имеется возможность обойти имеющиеся ограничения БИОС на переподключение к другой операционной системе.

Преимущества и недостатки

Позитив:

• Высокий уровень безопасности – гарантирует защиту от функционирования руткитов в системных файлах операционной системы, работа которых приведёт к недействительности цифровых подписей модифицированных файлов.
• Путём внесения в базу запрещенных для запуска операционных систем можно ограничить список загружаемых ОС.

Негатив:

• Все драйверы, которые запускаются на этапе загрузки ОС, должны быть подписанными, иначе они не загрузятся и соответствующие устройства не будут использоваться. Это требует согласования разработчиками системного программного обеспечения и производителями платформ момента добавления их ключей продуктов в доверенное хранилище.
• Разработчики ОС не обязаны реализовывать функцию деактивации Secure Boot. Добавление ключей программами в доверенное хранилище должно быть запрещено, что усложняет эту процедуру и для пользователей.
• Многие версии прошивок имеют уязвимости, позволяющие обходить Secure B

Пара первых недостатков значительно усложняет эксплуатацию неподписанных платформ и ОС, а также драйверов, имеющих неизвестные для запускаемых операционок подписи.