Intel bios guard support что это

Обновлено: 02.07.2024

Эксперты компаний Embedi и Cylance обнаружили проблемы с безопасностью прошивок UEFI/BIOS в материнских платах нескольких производителей. Проблемы позволяют злоумышленникам обходить встроенные в BIOS защитные средства, такие как Intel Boot Guard и Intel BIOS Guard.

Низкоуровневые уязвимости

Средства защиты BIOS, разработанные Intel, можно обойти с помощью уязвимостей в прошивках материнских плат. Об этом свидетельствуют результаты исследований экспертов Embedi и Cylance.

Алекс Матросов(Alex Matrosov), представитель Cylance, в августе 2017 г. на Black Hat USA сообщил, что, по его данным, OEM-вендоры не вполне корректно используют разработанные Intel защитные технологии в своих продуктах. Матросов сам ранее работал в Intel, как раз в подразделении, занимавшемся вопросами безопасности firmware. По его словам, OEM-разработчики очень по-разному относятся к защите UEFI, и нередко допускают серьезные ошибки.

В конце прошлой недели эксперт Embedi Александр Ермоловпредставил собственное исследование, в котором продемонстрировал, что проблема может быть еще масштабнее, нежели предполагал Матросов.

Проблема в прошивках

Минувшим летом Матросов выявил шесть уязвимостей в программных оболочках сразу четырех разных материнских плат: ASUS Vivo Mini (уязвимость CVE-2017-11315), Lenovo ThinkCentre systems (CVE-2017-3753), MSI Cubi2 (CVE-2017-11312 и CVE-2017-11316) и в Gigabyte BRIX series (CVE-2017-11313 и CVE-2017-11314).

Прошивки этих материнских плат базируются на популярном программном комплекте AMI Aptio UEFI BIOS. Его используют MSI, Asus, Acer, Dell, HP и ASRock.

Как ни странно, некоторые производители материнских плат предпочитают оставлять неактивными защитные компоненты, реализованные Intel еще несколько лет назад. Речь идет, в частности, о средствах защиты флэш-памяти (BLE, BWE, PRx). Это, по мнению Матросова, делает материнские платы легкой добычей для злоумышленников.

Матросов выяснил, что с помощью этих уязвимостей злоумышленники могут повышать свои привилегии в атакованной системе, обходить средства защиты BIOS и устанавливать руткиты на самые современные операционные системы, например, Windows 10, для которой корпорация Microsoft долго и кропотливо разрабатывала защиту от руткитов.

Уязвимых плат может быть еще больше

Основываясь на выводах Матросова, исследователь Embedi Александр Ермолов продемонстрировал, что Intel Boot Guard можно обойти и на других материнских платах, например, Gigabyte GA-H170-D3H. Это может означать, что проблема имеет большие масштабы, нежели предполагалось изначально.

В своем исследовании Ермолов указывает, что наличие проблемы подтвердили в Dell, и, при помощи Embedi разработали обновление, которое исправляет уязвимость.

Разработчики AMI также заявили, что исправили проблему, и что в их базе кода для BIOS уязвимость отсутствует. Таким образом OEM-разработчики могут безболезненно выпускать обновления BIOS для конечных пользователей.

Однако, как выяснил Ермолов, они просто отключили один из уязвимых защитных компонентов.

«Если выводы Ермолова верны, то «исправления» AMI выглядят некорректными по отношению и к OEM-клиентам, и к конечным пользователям», - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - «Нежелание OEM-поставщиков использовать все защитные механизмы, предоставленные Intel, также не способствует защищенности конечных пользователей, и очень хорошо, что эта проблема вообще вышла в публичное поле».

Реверс малвари

В августе 2017 года, на конференции Black Hat USA 2017, специалист компании Cylance Алекс Матросов (Alex Matrosov) представил доклад, посвященный уязвимостям, которые он обнаружил в имплементациях Intel UEFI BIOS ряда производителей материнских плат. Тогда исследователь рассказал, что найденные им баги позволяют обойти защитные механизмы BIOS, в том числе Intel Boot Guard и Intel BIOS Guard, а также изменить или подменить сам UEFI BIOS, к примеру, внедрив в него руткит.

Протестированные исследователем устройства базировались на популярной среди OEM-производителей AMI Aptio UEFI BIOS (используют Gigabyte, MSI, Asus, Acer, Dell, HP, ASRock и другие). Тогда Матросов рассказал о шести уязвимостях в четырех материнских платах:

• ASUS Vivo Mini: CVE-2017-11315;
• Lenovo ThinkCentre systems: CVE-2017-3753;
• MSI Cubi2: CVE-2017-11312 и CVE-2017-11316;
• Gigabyte серия BRIX: CVE-2017-11313 и CVE-2017-11314.

Исследователь сетовал, что производители материнских плат не используют аппаратные защитные механизмы, в том числе представленные Intel много лет назад, такие как защитные биты для SMM и SPI (BLE, BWE, PRx). А так как активной защиты памяти на аппаратном уровне нет, устройства этих производителей в теории становятся легкими мишенями для атакующих.

Теперь исследование Матросова продолжил специалист компании Embedi Александр Ермолов. Эксперт обошел защиту Intel Boot Guard на материнский плате Gigabyte GA-H170-D3H, и в процессе выяснил, что проблема, скорее всего, распространяется даже дальше, чем предполагалось изначально.

Ермолов связался с представителями AMI, чтобы уведомить их о проблеме, но ему сообщили, что уязвимости уже были устранены и последняя версия AMI BIOS, доступная для производителей, уже лишена таких недостатков. Когда исследователь решил проверить работу патча, оказалось, что исправление, по сути, лишь ухудшило и без того скверную ситуацию. С полным описанием проблемы можно ознакомиться в блоге Embedi.

Эй хеллоу! Например вы решили разогнать свой комп. Похвально. Но если комп не хочет запускаться на повышенной частоте, то технология Boot Failure Guard (B.F.G) предложит вам безопасный запуск и выдаст экран настроек.

Технология есть на материнках AsRock, может и на других также присутствует. И вроде как технология включена по умолчанию для всех плат AsRock.

Я написал о технологии, скорее всего пункт в биосе имеет такое же значение.

Мой вывод об использовании Boot Failure Guard:

On-Demand Clock Modulation что это?

Технологией On-Demand Clock Modulation можно как-то управлять. Умеют это делать например программы OverSoft CPU Informer, RightMark CPU Clock Utility.

Опция в биосе и программы OverSoft CPU Informer и RightMark CPU Clock Utility

Intel SpeedStep что это?

Коротко о важном:

А если не включать? Тогда.. в общем смотрите:

При включенной технологии Intel SpeedStep ограничить частоту процессора в Windows можно этой настройкой:

Intel SpeedStep в биосе

Фух, вот мы и разобрались с некоторыми опциями. Желаю вам удачи и не хулиганьте там в биосе)) До новых встреч!

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Среди системных требований Windows 11 указан параметр TPM 2.0. Что это такое и как его активировать, чтобы установить новую операционную систему.

Гайды по Windows 11

Что такое TPM 2.0

Проще говоря, это выделенный модуль шифрования на материнской плате. Именно в нем, а не на жестком диске вашего компьютера, хранятся ключи шифрования, что гораздо безопаснее.

На большинстве систем такого модуля нет, но это не значит, что Windows 11 установить невозможно. На современных материнских платах под Intel и AMD реализован программный модуль TRP.

Как проверить компьютер на совместимость с Windows 11

Сначала нужно свериться с официальными системными требованиями:

• процессор: 64-битный двухъядерный с тактовой частотой не менее 1 ГГц;
  
• оперативная память: 4 гигабайта;
  
• накопитель: 64 гигабайта;
  
• видео: с поддержкой DirectX 12 или более поздней версии и драйвером WDDM 2.0;
  
• дисплей: не менее 9 дюймов;
  
• прочее: модуль TPM 2.0 и поддержка Secure Boot.
  

Если ваше оборудование не соответствует им, то обновиться у вас не получится. Далее, нужно скачать программу PC Health Check для проверки совместимости.

Хотя программа не указывает конкретную причину несовместимости, скорее всего, дело именно в модуле TRP. Чтобы узнать это наверняка, нажмите сочетание клавиш Win + R и выполните команду tpm.msc, которая откроет окно «Управление доверенным платформенным модулем на локальном компьютере». Если высветилось предупреждение «Не удается найти совместимый доверенный платформенный модуль», то причина в модуле TRP.

Как настроить программный модуль TPM 2.0

Чтобы включить программный модуль TPM, нужно зайти в BIOS. Сделать это можно, зажав определенную клавишу при включении компьютера. Обычно это Del, но может быть F2 или другая, в зависимости от производителя. Желательно перед этим установить свежую версию BIOS для вашего оборудования.

На материнских платах ASUS с логикой от AMD нужно сначала нажать клавишу F7, чтобы перейти к расширенным настройкам. Затем переключиться на вкладку Advanced и выбрать строку AMD fTPM configuration. Далее активируйте (enabled) строку AMD fTPM switch. На материнских платах под Intel путь немного отличается. На вкладке Advanced найдите строку PCH-FW Configuration, затем TPM Device Selection. Выставьте значение Enable Firmware TPM.

На материнских платах MSI с логикой от AMD нужно зайти в меню Security и далее Trusted Computing. В строке Security Device Support поставьте значение Enabled, в строке AMD fTPM switch выставьте AMD CPU fTPM. На Intel все почти так же: в строке Security Device Support поставьте значение Enabled, в строке TPM Device Selection нужно выбрать PTT.

На материнских платах ASRock с логикой от AMD зайдите в меню Advanced, далее пролистайте вниз и выберите строку AMD fTPM switch. Выставьте значение AMD CPU fTPM. На Intel все тоже очень просто: зайдите в Security и внизу экрана найдите строчку Intel Platform Trust Technology. Выберите параметр Enabled.

Читайте также:

  
• Самые дорогие программы для компьютера
  
• Как отправить документ на согласование в 1с документооборот
  
• Транзакция в 1с что это такое простыми словами
  
• В excel нет вкладки вид
  
• Как убрать шумы в фотошопе