Boot Aman Windows 8

Boot aman (boot aman atau boot aman) adalah salah satu fungsi UEFI yang memungkinkan Anda untuk menangani rootkit dan bootkit (yang menggunakan kerentanan dalam firmware BIOS) bahkan pada tahap awal memuat OS. Teknologi boot aman adalah salah satu eselon pertahanan dalam OS Microsoft baru - Windows 8 dan Windows Server 2012. Dalam artikel ini kita akan mempertimbangkan aspek praktis dan teoritis dari pekerjaan Boot aman pada Windows 8 (juga relevan untuk Windows Server 2012).

Bukan rahasia lagi bahwa dalam sistem modern, memuat OS adalah salah satu komponen yang paling rentan dari sudut pandang keamanan. Cukup bagi penyerang untuk mentransfer fungsi-fungsi bootloader ke bootloader ("jahat") -nya, dan bootloader semacam itu tidak akan terdeteksi oleh sistem keamanan OS dan perangkat lunak antivirus.

Fungsi Boot Aman di Windows 8 memungkinkan Anda untuk mengatur pemindaian semua komponen yang diluncurkan (driver, program) selama proses boot (sebelum memulai sistem operasi), memastikan bahwa hanya tepercaya (ditandatangani secara digital) program dapat berjalan selama proses boot Windows. Kode dan kode yang tidak ditandatangani tanpa sertifikat keamanan yang tepat (rootkit, bootkit) diblokir oleh UEFI (namun, sistem perlindungan ini dapat dilewati, ingat worm Flame, yang ditandatangani oleh sertifikat Microsoft palsu) Jika komponen terdeteksi tanpa tanda tangan digital, layanan Pemulihan Windows akan secara otomatis mulai, yang akan mencoba membuat perubahan pada Windows dengan mengembalikan file sistem yang diperlukan.

Kiat. Apa yang harus dilakukan jika, setelah memutakhirkan ke Windows 8.1, tulisan "SecureBoot Secure Boot dikonfigurasi secara tidak benar" muncul di desktop di sudut kanan bawah?

Harus dipahami dengan jelas bahwa untuk menggunakan teknologi boot aman, sistem UEFI harus digunakan sebagai pengganti BIOS pada PC (ini dijelaskan dalam artikel UEFI dan Windows 8). Selain itu, firmware motherboard harus mendukung spesifikasi. UEFI v2.3.1 dan di UEFI database mereka menandatangani sertifikat otoritas sertifikasi Microsoft Windows (atau sertifikat dealer perangkat keras OEM yang disertifikasi oleh Microsoft). Semua komputer baru dengan Windows 8 yang sudah diinstal sebelumnya (versi 64 bit) yang menerima stiker "Windows 8 siap"seperti yang diminta oleh Microsoft,  tentu saja memerlukan Boot Aman aktif. Perhatikan juga bahwa Windows 8 untuk ARM (Windows RT) tidak dapat diinstal pada peralatan yang tidak mendukung UEFI atau memungkinkan Anda untuk menonaktifkan Boot Aman. Agar boot aman atau ELAM berfungsi, TPM (modul platform tepercaya) tidak wajib!

Komponen lain dari boot aman Windows 8  - ELAM (Peluncuran Anti-Malware Awal - teknologi untuk peluncuran awal perlindungan anti-malware) memberikan perlindungan anti-virus bahkan sebelum komputer dinyalakan. Dengan demikian, antivirus bersertifikat (yang berarti produk dari berbagai vendor, tidak hanya Microsoft) mulai bekerja bahkan sebelum malware mendapat kesempatan untuk memulai dan menyembunyikan keberadaannya.

Menyiapkan boot aman di Windows 8

Mari kita coba mencari tahu cara mengatur boot aman Windows 8 pada komputer baru (diasumsikan bahwa kita memiliki versi Windows 8 yang sudah dalam kotak daripada yang diinstal sebelumnya). Untuk percobaan, motherboard Asus P8Z77 dengan dukungan UEFI (dan stiker siap Windows 8) dipilih. Harus dipahami bahwa pada screenshot dan opsi spesifik motherboard lain kemungkinan besar akan berbeda, hal utama adalah memahami prinsip dasar menginstal Windows 8 dari boot aman ke komputer baru

Sistem ini direncanakan akan diinstal pada drive SSD, oleh karena itu, dalam pengaturan BIOS (sebenarnya, ini adalah UEFI) sebagai SATA Mode Seleksi tanya AHCI. (apa itu AHCI)

Selanjutnya, matikan mode CSM (mode dukungan kompatibilitas - mode kompatibilitas BIOS), Luncurkan CSM - Dinonaktifkan.

Selanjutnya, ubah jenis OS OS jenis - Windows 8 EUFI, dan pastikan mode boot aman standar diaktifkan (Aman Boot Mode - Standar).

Untuk menginstal Windows 8 dalam mode UEFI, kita memerlukan drive DVD yang dapat di-boot (fisik) dengan distribusi Win 8, atau drive flash USB yang dapat di-boot dengan Windows 8 (diformat dalam FAT32) yang disiapkan dengan cara khusus (kami akan menyiapkan flash drive UEFI yang dapat di-boot untuk menginstal Windows 8), karena . bootable flash drive dengan NTFS di UEFI tidak akan berfungsi. Perlu dicatat bahwa menginstal Windows 8 dari USB flash drive ke drive SSD hanya membutuhkan waktu sekitar 7 menit!

Matikan komputer, masukkan disk boot (USB flash drive) dan nyalakan komputer. Anda akan melihat layar pemilihan parameter boot (menu UEFI Boot), di mana Anda harus memilih perangkat boot Anda (tangkapan layar menunjukkan opsi Windows Boot Manger, tetapi pada kenyataannya Anda hanya akan melihatnya setelah menginstal sistem dalam mode EFI).

Mari kita memikirkan opsi partisi untuk sistem. EFI dan boot aman mengharuskan drive berada dalam mode GPT (bukan MBR). Jika disk tidak ditandai, tidak ada gerakan dan manipulasi lebih lanjut dengan diskpart yang perlu dilakukan, sistem akan melakukan semuanya sendiri. Jika disk dipartisi, hapus, sebagai UEFI menggunakan boot aman untuk menggunakan empat partisi khusus yang akan dibuat installer secara otomatis.

Diasumsikan bahwa kami ingin menggunakan seluruh drive di bawah Windows 8, jadi klik saja Selanjutnya, tanpa membuat partisi apa pun. Windows akan secara otomatis membuat empat partisi dengan ukuran yang diperlukan dan memberi mereka nama:

  • Pemulihan - 300 Mb
  • Sistem - 100 MB - partisi sistem EFI yang berisi NTLDR, HAL, Boot.txt, driver dan file lain yang diperlukan untuk mem-boot sistem.
  • MSR (Dilindungi) - 128 MB - bagian yang disediakan oleh Microsoft (Microsoft Reserved -MSR) yang dibuat pada setiap disk untuk digunakan selanjutnya oleh sistem operasi
  • Primer - semua ruang yang tersisa adalah bagian di mana, pada kenyataannya, Windows 8 diinstal


Selanjutnya, lakukan instalasi Windows 8 seperti biasa. Setelah Windows diinstal, menggunakan Powershell Anda dapat memastikan bahwa boot aman digunakan, untuk melakukan ini, pada baris perintah dengan hak administrator, jalankan:

konfirmasi-SecureBootUEFI

Jika boot aman diaktifkan, perintah akan mengembalikan TRUE (jika itu mengembalikan false atau perintah tidak ditemukan, maka dinonaktifkan).

Jadi, kami telah berhasil menginstal Windows 8 dalam mode Boot Aman dengan UEFI.