UEFI Lemezkiosztás Támogatás és Biztonságos Indítás Kezelése

Az Egyesített Bővíthető Belső Vezérlőprogram-Felület (UEFI) egy modern interfész, amely az operációs rendszerek és a rendszert futtató hardver firmware-je között teremt kapcsolatot. Az UEFI Secure Boot egy kiemelten fontos biztonsági funkció, amely az UEFI firmware alapú rendszereken biztosítja, hogy csak megbízható szoftverek indulhassanak el a rendszer indítási folyamata során. Ez a mechanizmus digitális aláírások ellenőrzésével működik, összevetve azokat a megbízható tanúsítványokkal, amelyeket a rendszer firmware-je tárol.

Az UEFI Secure Boot iparági szabványként határozza meg a tanúsítványok kezelését, a firmware hitelesítését és az operációs rendszer szerepét ebben a folyamatban. A funkciót először a Windows 8-ban vezették be a rendszerindítás előtti kártevők, úgynevezett bootkitek elleni védelemként. A platform inicializálásának részeként a Secure Boot minden futtatás előtt hitelesíti az UEFI firmware illesztőprogramjait, a rendszertöltőket és az alkalmazásokat.

A biztonságos indítási folyamat végső lépéseként a firmware ellenőrzi, hogy a rendszertöltő megbízható-e a Secure Boot számára. A megbízható kódot a gyártás során beállított firmware-szabályzat határozza meg. A szabályzat módosításai, például tanúsítványok hozzáadása vagy visszavonása, egy kulcshierarchián keresztül történnek. Ez a hierarchia a Platform Key (PK) -vel kezdődik, amelyet általában a hardvergyártó birtokol, ezt követi a Key Exchange Key (KEK), amely tartalmazhat egy Microsoft KEK-t és más OEM KEK-ket. Az Engedélyezett Aláírási Adatbázis (DB) és a Nem Engedélyezett Aláírási Adatbázis (DBX) határozza meg, hogy mely kódok futhatnak az UEFI környezetben az operációs rendszer elindítása előtt.

A Tanúsítványok Érvényessége és Frissítése

A Microsoft 2011 óta folyamatosan frissíti a Windows-eszközök Secure Boot tanúsítványait, hogy biztosítsa a megbízható rendszerindító szoftverek ellenőrzését. Azonban ezek a régebbi tanúsítványok 2026 júniusában lejárnak. Azok az eszközök, amelyek nem kapták meg az újabb, 2023-ban kiadott frissítéseket, továbbra is működnek, és a szokásos Windows-frissítések is települnek rájuk. Idővel azonban ez korlátozhatja az eszközök védelmét a feltörekvő fenyegetésekkel szemben, és befolyásolhatja az olyan funkciókat, mint a BitLocker vagy a külső rendszertöltők megerősítése.

A legtöbb Windows-eszköz automatikusan megkapja az új tanúsítványokat, és számos OEM (gyártó) biztosít firmware-frissítéseket szükség esetén. A Windows bevezetése óta minden Windows-alapú eszköz ugyanazt a Microsoft-tanúsítványkészletet használja a KEK-ben és a DB-ben. Ezek az eredeti tanúsítványok közelednek a lejárati dátumukhoz, ami hatással lehet az eszközökre, ha a korábbi verziók valamelyikét használják. A Microsoft frissítette a UEFI CA 2011 tanúsítványt, ami két különálló tanúsítványra bontotta a rendszertöltő-aláírást és a beállítás ROM-aláírást. Ez lehetővé teszi a rendszermegbízhatóság finomabb szabályozását.

UEFI Kezelőfelületek és Funkciók

Egyes gyártók, mint például az ASUS, felhasználóbarátabb UEFI felületet kínálnak. A MyASUS in UEFI felület például gazdag képekkel és színekkel jelenik meg, eltérve a hagyományos kék és fehér BIOS képernyőktől, ezáltal közelebb hozva az UEFI környezetet a megszokott operációs rendszer-használati élményhez.

Ha a rendszer nem indul el az operációs rendszer környezetében, a MyASUS in UEFI funkció, mint például a Cloud Recovery, segíthet az operációs rendszer újratelepítésében. Ehhez csupán egy internetkapcsolattal rendelkező környezetben kell követni az utasításokat. Az UEFI felületén lehetőség van a nyelv kiválasztására, a rendszer alapértelmezett beállításainak visszaállítására, a BIOS beállítások módosítására, a firmware frissítésére, a hardverinformációk megtekintésére, valamint olyan funkciók, mint a Wi-Fi vagy a Bluetooth gyors ki- és bekapcsolására. Ezenkívül beállítható az indítási prioritás, megtekinthetők az USB-eszközök, és futtathatók rendszerdiagnosztikai tesztek.

A Secure Boot Története és Fejlődése

Az UEFI (Unified Extensible Firmware Interface) specifikációt az Intel fejlesztette ki az eredeti Extensible Firmware Interface (EFI) specifikációk alapján. Az EFI motivációja az 1990-es évek közepén jelent meg az első Intel-HP Itanium rendszerek fejlesztése során, mivel a BIOS korlátai túl szűknek bizonyultak. Az Intel 2005-ben leállította az EFI fejlesztését, és hozzájárult a Unified EFI Fórumhoz, amely átalakította a specifikációt UEFI-vé. Az UEFI 2.1-es verziója 2007-ben jelent meg. A Tiano volt az első nyílt forráskódú UEFI megvalósítás, amelyet az Intel 2004-ben adott ki. Később, 2018 decemberében a Microsoft bejelentette a Mu projektet, amely a TianoCore EDK2 egyik leágazása, és amelyet a Microsoft Surface és Hyper-V termékekben használnak.

Érdekesség, hogy a Windows 7 operációs rendszer is kapott UEFI és Secure Boot támogatást a végleges támogatási időszakában, ami azoknak a felhasználóknak kínált alternatívát, akik nem kívántak modernebb operációs rendszerre váltani. Azonban a funkció nem mindig működött tökéletesen, egyes esetekben a rendszer nem fejezte be a boot folyamatot, ami kijelző-eszközillesztő szoftverek frissítését igényelte.

Biztonsági Beállítások és Jelszókezelés

Az UEFI interfész biztonsági beállításokat is kínál, beleértve a jelszókezelést. Elfelejtett rendszergazdai jelszó esetén a Lenovo hivatalos szervize nem tudja azt visszaállítani, ilyenkor az alaplap cseréje szükséges. Az UEFI felületén lehetőség van bekapcsolási jelszó (Power on Password) és merevlemez jelszó (Hard Disk Password) beállítására. Fontos megjegyezni, hogy a merevlemez jelszó elfelejtése esetén a merevlemezen tárolt adatok elvesznek, és a merevlemezt is cserélni kell.

A merevlemez jelszó beállítása során óvatosan kell eljárni. Ha a számítógép több tárolóeszközzel rendelkezik, minden egyes eszközhöz külön jelszót lehet beállítani. Lehetőség van központi (master) és felhasználói merevlemez jelszó módosítására vagy törlésére is. A központi jelszó eltávolítása a felhasználói jelszót is törli.

Tiszta Telepítés és Lemezparticionálás UEFI Környezetben

Amennyiben problémák merülnek fel a rendszer működésével kapcsolatban, egy tiszta telepítés végrehajtása javasolt. Ehhez szükség van egy legalább 8 GB méretű USB meghajtóra, amelyre a Windows 11 Media Creation Tool eszközzel telepítési adathordozót hozhatunk létre. A számítógépet UEFI módban kell indítani a telepítési adathordozóról. A telepítés során a "Telepítés most" opció kiválasztása után az "Egyéni: Csak Windows telepítése" típust kell választani. A következő lépésben az összes partíciót (beleértve az EFI, a fenntartott és a helyreállítási partíciókat is) törölni kell a rendszerlemezről. Ezt követően a fel nem osztott területre kattintva folytatható a telepítés.

tags: #mert #a #gep #uefi #belso #vezerloprogramjaban

Népszerű bejegyzések:

• A veszprémi utánpótlás-nevelés Bimbó Tamás szemén keresztül
• Career Paths of Hungarian Footballers
• Ismerd meg a kosárlabda szabályait
• A Ferencvárosi TC és a Puskás Akadémia FC rivalizálása
• Magyarországon Super Bowl