Какую ситуацию можно предотвратить создав пароль uefi

Обновлено: 04.07.2024

Простыми словами UEFI – это современная замена БИОС , выполняющая те же задачи, т.е. управление базовыми настройками компьютера, но имеющая расширенный функционал. На современных компьютерах уже не устанавливают старый добрый БИОС, а его заменяет его усовершенствованный потомок – UEFI. Но во многом, название БИОС уже стало нарицательным, для программы, осуществляющей основную настройку режимов работы компьютера, до загрузки операционной системы. Так что в скобках, я буду использовать и его.

В прошлой статье, где я рассказывал об установке Windows 10 на ноутбук Acer Extensa 15 , для выбора загрузки с установочной флэшки, нам понадобилось зайти в UEFI (БИОС) и изменить приоритет загрузки , переставляя на первое место нашу загрузочную флэшку.

Но в случае, если опция Secure Boot включена , то система может не распознать загрузочную флэшку, и даже если распознает загрузочный диск, то не позволить начать установку операционной системы с него. Собственно, в этом и есть задача функции Secure Boot не позволить злоумышленнику переустановить операционную систему на вашем компьютере, либо просто запустить какую-либо программу с флэшки и получить доступ к вашим данным.

В этом случае опцию Secure Boot нужно отключить . После отключения, загрузочная флэшка может быть по прежнему не видна. Тогда нужно выйти из UEFI (БИОС) с сохранением изменений и после перезагрузки снова в него зайти. Переходим во вкладку « Boot» и видим, как загрузочная флэшка присутствует в списке:

Что делать, если Secure Boot не активна?

Но что делать, если опция Secure Boot не активна ? Т.е., как на фото ниже, строка « Secure Boot: Enabled» серого цвета и мы не можем ее выделить, чтобы отключить безопасную загрузку.

В этом случае, нужно перейти во вкладку « Security» и, нажав клавишу Enter , на строке « Set Supervisor Password»

Задать пароль безопасности, который будет работать только на вход в БИОС (UEFI).

После этого, нажимаем клавишу F10 и выходим из программы, сохраняя изменения.

При перезагрузке компьютера, зажимаем клавишу F2 , чтобы снова зайти в БИОС (клавиша для входа в БИОС может быть разной, речь идет о конкретном ноутбуке Acer Extensa 15 ). Появляется окно, куда нужно ввести заданный нами пароль.

После этого возвращаемся на вкладку « Boot » и видим, что строка « Secure Boot: Enabled » стала синего цвета и мы можем ее выделить и отключить безопасную загрузку.

После отключения Secure Boot , как описывалось в начале статьи, можно выбрать загрузочную флэшку, как приоритетное загрузочное устройство и перейти к установке операционной системы.

А после установки операционной системы, опцию Secure Boot можно снова активировать . При этом, не зная пароля для входа в БИОС (UEFI), потенциальный злоумышленник не сможет ее отключить и соответственно, получить доступ к системе и данным, с помощью загрузочной флэшки.

Надеюсь статья кому-нибудь будет полезна!

Спасибо, что дочитали до конца! Если статья понравилась, нажмите, пожалуйста, соответствующую кнопку. Если интересна тематика электроники и различных электронных самоделок, подписывайтесь на канал. До встречи в новых статьях!


Недавно аналитики ESET обнаружили первый в истории руткит для UEFI. Это новый и очень опасный тип вредоносных программ, который атакует компьютер до запуска Windows. В этом случае не поможет ни переустановка ОС, ни замена жесткого диска.

Ранее теоретические возможности руткитов для UEFI обсуждались только на конференциях по информационной безопасности. Сегодня киберпреступники используют их в реальных атаках.

Поэтому в новой версии ESET NOD32 для домашних пользователей мы усовершенствовали модуль «Сканер UEFI». Например, теперь пользователь может запустить «Сканер UEFI» вручную прямо в интерфейсе антивируса.

Однако большинство пользователей слабо представляют, что такое UEFI, чем он отличается от BIOS и зачем их защищать. Попробуем разобраться!

Со времени своего создания BIOS почти не развивался качественно. Выходили отдельные дополнения и расширения. Например, ACPI — усовершенствованный интерфейс управления конфигурацией и питанием (англ. Advanced Configuration and Power Interface).

Этот интерфейс упрощал установку BIOS и управление питанием, а также переходом в спящий режим. Однако этого было недостаточно, BIOS безнадежно застрял во временах MS-DOS. Например, BIOS может загружаться только с дисков объемом менее 2,1 Тб. Кроме того, у него есть проблемы с одновременной инициализацией нескольких аппаратных устройств, что приводит к замедлению загрузки на компьютерах с современными комплектующими.

В 1998 году компания Intel впервые задумалась о замене BIOS и начала работу над Extensible Firmware Interface (EFI) для недооцененной серии 64-разрядных процессоров Itanium. Для распространения нового интерфейса требовалась широкая поддержка всей отрасли. Apple выбрали EFI для Mac еще в 2006 году, но другие производители не последовали их примеру.

UEFI к нам приходит

UEFI поддерживает эмуляцию BIOS, так что у пользователей остается возможность работать на устаревших ОС остается (прим. ред. — это небезопасно!)

Новый стандарт позволяет избежать ограничений BIOS. UEFI может загружать ОС с дисков, объем которых превышает 2,2 Тб. Фактический предел для них составляет 9,4 зеттабайт . Это примерно в три раза превышает предполагаемый объем всех данных в Интернете.

UEFI поддерживает 32-битный или 64-битный режимы, а его адресное пространство больше, чем у BIOS – что значительно ускоряет загрузку. Кроме того, экран настройки UEFI обладает более гибким функционалом с поддержкой мыши и пользовательским интерфейсом.

Поддержка Secure Boot позволяет проверить, что загрузку ОС не изменила вредоносная программа. UEFI позволяет проводить удаленную настройку и отладку. BIOS так не умеет.

По сути, UEFI — самостоятельная операционная система, работающая поверх прошивки ПК. Она может храниться во флэш-памяти на материнской плате или загружаться из других источников (жесткий диск и другие носители).

Материнские платы с UEFI от разных производителей будут иметь разный интерфейс и функционал. Все зависит от конкретной модели, но базовые настройки будут одинаковыми для любого компьютера.

Как открыть настройки UEFI?

Для обычных пользователей переход от BIOS к UEFI прошел незаметно. Новый ПК будет просто быстрее загружаться при включении. Однако если вам понадобился доступ UEFI, то он будет отличаться в зависимости от операционной системы.

Windows 8

  1. Нажмите Win + C
  2. Настройки — Изменить настройки ПК
  3. В разделе «Настройки ПК» выберите «Общие»
  4. В разделе «Расширенный пуск» щелкните «Перезагрузить»
  5. После перезагрузки появится меню загрузки Windows 8
  6. В меню загрузки выберите «Поиск неисправности» — «Расширенные настройки» — «Настройка прошивки UEFI»
  7. Для перезагрузки системы и входа в UEFI нажмите «Перезагрузка»


Windows 10

В Win 10 в UEFI можно попытаться зайти по старинке:

  1. Нажмите и удерживайте кнопку питания 5 секунд
  2. Как только на экране появится логотип, быстро нажимайте F2 или DEL (на некоторых моделях ноутбуков клавиши могут быть другими)


Доступ из операционной системы:

  1. В поле поиска введите «Параметры»
  2. Настройки — Обновление и безопасность — Восстановление
  3. В разделе «Особые варианты загрузки» нажмите «Перезагрузить сейчас»
  4. Система перезагрузится и покажет меню загрузки Windows 10
  5. Устранение неполадок — Дополнительные параметры — Параметры UEFI
  6. Для перезагрузки системы и входа в UEFI нажмите «Перезагрузка»





Чтобы включить или отключить (чего мы делать не рекомендуем!) модуль «Сканер UEFI»:

Расширенные параметры (F5) — Модуль обнаружения — Процессы сканирования вредоносных программ


Расширенные параметры (F5) — Модуль обнаружения — Защита файловой системы в режиме реального времени


BIOS

Если вы долгое время использовали Windows, я уверен, что вы знаете пароль BIOS или UEFI. Эта блокировка паролем гарантирует, что вам нужно ввести установленный пароль даже до загрузки компьютера Windows. Тем не менее, самая большая проблема с BIOS или паролем UEFI заключается в том, что нет такой опции восстановления, как учетная запись Microsoft. В этом руководстве мы расскажем, как восстановить или установить пароль BIOS или UEFI для компьютеров с Windows.

Шаги включают в себя:

  1. Временно удалить батарею CMOS
  2. Очистить неизвестные пароли BIOS/UEFI с помощью веб-сайта bios-pw
  3. Позвоните в отдел обслуживания клиентов.

Восстановить или сбросить пароль BIOS или UEFI

Временно удалить батарею CMOS

Каждая материнская плата поставляется с батареей CMOS. Это помогает системе сохранять тактовую частоту, следить за тем, чтобы настройки BIOS не терялись при выключении компьютера. Поэтому, когда компьютер включается, батарея CMOS обеспечивает доступность информации для загрузки компьютера.

Тем не менее, если вы временно удалите батарею CMOS примерно на 30 секунд или минуту, настройки будут потеряны. Некоторые материнские платы построены так, что вынимая батарею надолго, сбрасывает все. Это включает в себя пароль для BIOS/UEFI.

Очистить неизвестные пароли BIOS/UEFI с помощью веб-сайта bios-pw


Если вышеуказанный шаг не работает, вы можете использовать этот сайт BIOS Password, чтобы очистить его. Следуй этим шагам:

Позвоните в отдел обслуживания клиентов

Если ни один из методов не работает для вас, лучше всего позвонить в отдел обслуживания клиентов и принять их предложения. Они могут помочь вам в вызове, используя метку обслуживания, или могут предложить вам посетить Сервисный центр и решить эту проблему.

Установить пароль BIOS или UEFI

Установка пароля в BIOS или UEFI на самом деле не рекомендуется, но если вы решили, вот как вы можете это сделать. Тем не менее, интерфейс BIOS или UEFI варьируется от OEM к OEM. Так что ищите что-то связанное с БЕЗОПАСНОСТЬЮ или ПАРОЛЕМ. У вас будут варианты, похожие на

  • Пароль администратора: это как мастер-пароль для изменения важных настроек.
  • Пароль пользователя: с его помощью любой может изменить второстепенные настройки.
  • Мастер-пароль для жесткого диска или общий пароль.

Некоторые производители предлагают микро контроль, где вам нужно будет ввести пароль BIOS. Например, вы получаете возможность пропустить обычный перезапуск или при выборе загрузочного устройства. Хотя вам может потребоваться ввести его для автоматической перезагрузки или при включении компьютера и т. Д.

Если вы хотите удалить пароль, найдите опцию удаления пароля в том же разделе. Вы получите приглашение, в котором вы можете ввести установленный пароль один раз. Если это правильно, он удалит пароль BIOS.

Как только вы закончите, убедитесь, что сохранили и выйдите из BIOS. Перезагрузите компьютер и посмотрите, правильно ли применены настройки.

Наконец, будьте очень осторожны с блокировками BIOS/UEFI. Вместо этого лучше использовать учетную запись Microsoft для блокировки компьютера.

UEFI с «Secure Boot»: безопасная загрузка ПК

На новых компьютерах Microsoft требует использования UEFI с функцией «Secure Boot». Это усложняет установку других операционных систем.


Плата с блоком памяти NVRAM

На новых компьютерах Microsoft требует использования UEFI с функцией «Secure Boot». Это усложняет установку других операционных систем.

Плата с блоком памяти NVRAm Популярность ОС Windows привела к тому, что к многочисленным проблемам добавилась еще одна: «черви», вирусное ПО и трояны заставляют нас испытывать недюжинный страх за безопасность операционной системы. По утверждению Microsoft, интерфейс UEFI с функцией «Secure Boot» — это попытка вернуть пользователям уверенность в безопасности. Если загрузка ПК осуществляется UEFI в данном режиме, то такие вредоносные программы, как руткиты, оказываются не в состоянии до старта системы проникнуть в оперативную память. Все дело в том, что в режиме «Secure Boot» менеджер загрузки UEFI выполняет только подписанный цифровым ключом код, который он сверяет с зашифрованной базой данных.

Столь решительную систему защиты Microsoft предписывает использовать на всех компьютерах, которые реализуются под логотипом «Certified for Windows 8». Иными словами, все новые ПК, начиная с десктопов и ноутбуков и заканчивая Windows-планшетами, поставляются с активированным режимом «Secure Boot».

Но помимо защиты от руткитов есть одно неприятное обстоятельство — невозможность выполнения кода, не имеющего цифровой подписи. Это противоречит принципу свободной компьютерной платформы и с особым негодованием было воспринято сообществом Linux. Если режим «Secure Boot» активирован, вы не сможете ни установить, ни тем более запустить старые системы, включая Windows XP и 7. Более подробное знакомство с технологией позволит ответить на вопрос «почему?».

Удобство и быстрый запуск благодаря UEFI

Unified Extensible Firmware Interface (унифицированный расширяемый интерфейс прошивки), или кратко UEFI, призван заменить на всех компьютерах уходящий в прошлое интерфейс BIOS, который связывает аппаратные средства с операционной системой и отвечает за запуск ПК. Разработчики UEFI прежде всего преследовали цель устранить некоторые ограничения, присущие традиционной BIOS, которая появилась более 30 лет назад и перестала отвечать современным требованиям.

Отдельные этапы инициализации компонентов платформы в некоторой степени соответствуют BIOS, однако они выполняются намного быстрее. После этапа инициализации запускается менеджер загрузки UEFI. После проверки всех аппаратных компонентов он активирует встроенные в UEFI приложения и драйверы — например, оболочку для ввода команд или функцию поддержки сети. Приложения хранятся либо в NVRAM — запоминающем устройстве UEFI-совместимой материнской платы, либо на жестком диске. На последнем этапе менеджер загрузки UEFI запускает загрузчик ОС, который отвечает за старт операционных систем.

«Secure Boot» проверяет системные компоненты

Именно на этом этапе активируется «Secure Boot» и принимается решение о разрешении или запрете на загрузку операционной системы. Для защиты информации в «Secure Boot» используются три ключа шифрования: в самом верху находится ключ платформы (Platform Key), который создается производителем аппаратного обеспечения. Он требуется для обновления UEFI и загрузки новых ключей KEK (Key Enrollment Key). Согласно стандарту UEFI, ключи KEK должны предоставлять разработчики различных операционных систем, но все это чистая теория. На практике в каждом компьютере содержится лишь KEK от Microsoft для Windows 8, так как сегодня все машины с «Secure Boot» поставляются с данной операционной системой — исключением является только «хромобук» от Google. Ключ KEK занимает центральную позицию в «Secure Boot», так как он открывает доступ к базе данных с разрешенными подписями (Allow DB) и базе данных с запрещенными подписями (Disallow DB). В первой из них содержатся цифровые подписи приложений UEFI, а также подписи и/или хеши компонентов операционной системы — например, менеджера загрузки, ядра и драйверов. Только при их наличии загрузчик ОС запускает систему.

«Secure Boot» в сочетании с поставляемой Windows 8 работает безупречно, но для предыдущих версий операционных систем Microsoft не предоставляет подписей. В данном случае пользователю придется отключать «Secure Boot». Для операционных систем Linux доступны подписанный ключом загрузчик Shim и загрузчик от некоммерческой организации The Linux Foundation.

Справедливости ради стоит отметить, что разработчики Linux не отвергают идею «Secure Boot». Однако они усматривают в ней монополистские притязания Microsoft на аппаратное обеспечение, которые не проявлялись до появления «Secure Boot». С одной стороны, в стандартах по сертификации для Windows 8 компания Microsoft четко указывает, что пользователь имеет возможность отключения «Secure Boot». С другой — может произойти так, что в документации к следующей операционной системе данного примечания просто не окажется.

Последовательность загрузки ПК на основе UEFI Пришедший на смену BIOS интерфейс UEFI активирует аппаратное обеспечение, включая драйверы, и выполняет собственные приложения. Если задействуется режим «Secure Boot», UEFI проверяет наличие у драйверов и программ действительных цифровых подписей. В случае их отсутствия процесс запуска будет прерван. Ту же самую проверку проходят менеджер загрузки и ядра установленных операционных систем.

UEFI с «Secure Boot»: безопасная загрузка ПК

Активация аппаратных средств

На начальном этапе загрузки UEFI мало чем отличается от традиционной BIOS. После проверки того, подается ли на все аппаратные компоненты напряжение, выполняется запуск компонентов материнской платы, процессора и памяти, а затем загружается код UEFI.

Выполнение кода UEFI

Менеджер загрузки UEFI загружает носитель данных и дополнительный код UEFI из памяти NVRAM, а также из раздела UEFI на жестком диске. При этом драйверы и приложения выполняются только в том случае, если их цифровые подписи соответствуют данным, внесенным в базу Allow DB. В завершение выполняется запуск загрузчика ОС.

Загрузка операционной системы

Загрузчик ОС загружает операционные системы либо напрямую, либо с помощью их менеджеров загрузки. Код загрузки ОС и менеджер загрузки должны обладать действующим сертификатом безопасности, в противном случае процесс будет прерван. То же самое относится и ко всем компонентам ядра, которые в дальнейшем загружаются менеджером загрузки.

Проверка «Secure Boot»

В «Secure Boot» все основные файлы операционной системы (ядро, драйверы) должны обладать цифровой подписью. В таблице сертификатов файла указан подходящий сертификат для «Secure Boot», созданный в соответствии со стандартом X.509, а также снабженные цифровой подписью хеш-значения свойств основных файлов. Они должны соответствовать данным, содержащимся в базе Allow DB.

Читайте также: