Comments 15
Мне интересно, как запрет на запуск загрузочных носителей средствами ОС организован.
Средствами биоса/uefi ещё более-менее понимаю.
Добавят хэши уязвимых загрузчиков в UEFI Revocation List и через Windows Update разошлют (что, скорее всего, и понимается под "средствами ОС"). Что следовало сделать давным-давно.
Это стандартная процедура, даже загрузчики самой ЛК банили таким образом. Просто теперь уязвимость уже в загрузчике самой Windows. В новых версиях загрузчика это исправлено, а старую версию, которой пользуются злоумышленники, остаётся только забанить.
Соответственно, перестанут грузиться все загрузочные накопители, использующие старую версию загрузчика Windows (другие загрузчики это не коснётся).
То есть всё же на уровне uefi оно решается. Понятно.
Но это всё будет, если только включён Secure Boot? Разные там флешки multi-iso - Ventoy, Rufus - оно не затронет?
1) Да
2) Это касается загрузчиков Windows. Если в этих флешках на каком-то этапе используются уязвимые загрузчики Windows, то затронет. Но решение простое - подложите туда майский (или новее) установочный образ Windows. У вас на это есть ещё больше полугода. Заодно после установки сэкономите время на загрузке обновлений (чем древнее образ, тем больше обновлений придётся скачать).
А в современных материнских платах , какая функция в биос, отвечает за блокировку записи в "UEFI Revocation List и через Windows Update" , аналогично .
"По поводу проблем с ноутбуками HP — там сработала система защиты переменных SecureBoot от несанкционированной записи, включенная по умолчанию. "
Это, вероятно, что-то специфически-корпоративное, потому что даже в потребительском ноуте HP 2021 года такой защиты нет и я самописным скриптом спокойно обновляю dbx.
На Linux эти обновления можно ставить с помощью fwupd.
Скажите, я один вижу проблему, что пользователю В ЦЕЛЯХ БЕЗОПАСНОСТИ не дают выбора "не загружать обновление и сохранить совместимость со старыми бекапами и загрузочными дисками"?
И вот что мешало сделать перемычку на плате которая физически переводит загрузчик в read-only режим.
Надо было нагородить UEFI систему криптографических ключей, которые порождают больше проблем чем решают. И потом героически преодолевать самими же созданные проблемы.
Перемычка, которая переводит в read-only часть hdd/ssd, находящуюся неизвестно где? Проблема же не в той части, где хранится сам uefi.
Что мешает загрузчику или ключам загрузчика быть на флешке материнки?
Сам загрузчик хранить во флеше — надо каким-то образом умудряться разблокировать его для обновлений. Плюс это опять же нужно делать вообще для всех загрузчиков. Хотите загрузиться с usb-флешки — заливайте в память материнки. Нужно загрузиться с диска восстановления — заливайте в память материнки. Хотите использовать две ОС — заливайте оба загрузчика в память?
Ключи загрузчика на флешке и есть в итоге, это называется secure boot.
надо каким-то образом умудряться разблокировать его для обновлений
И не надо. Именно эти обновления приводят к уязвимостям. Обновляйте на загрузчик, а операционную систему.
Ключи загрузчика на флешке и есть в итоге, это называется secure boot.
Так перемычки нету для физического запрещения изменений.
Если надо обновить, регулярно изменять — премычку не трогаем. В рабочем инструменте должна быть переключено. И визуально можно проверить. Чем проще тем лучше и не надо всех этих танцев с бубнами.
Security Week 2320: патч Microsoft выключит старые загрузочные носители