UEFI Secure Boot: Részletes útmutató és használat
Amikor a számítógépünket bekapcsoljuk, valószínűleg észre sem vesszük, de a háttérben egy nagyon fontos szoftver kezdi meg a működését. Ez a szoftver a BIOS vagy az újabb UEFI, amely nélkül számítógépünk nem tudna megfelelően elindulni. A gép vezérléséhez az operációs rendszer fő összetevőjét - a kernelt --, egy bootloader nevű programnak kell betöltenie, amit egy előre telepített firmware, például a BIOS vagy az UEFI tölt be.
Bár mindkét elnevezés az alaplapon található firmware-t takarja, felépítésük és működésük merőben különbözik. A BIOS már elavultnak számít, mégis mindmáig ez maradt meg a köztudatban, köszönhetően annak, hogy sokszor az UEFI-t is ezzel a névvel illetik.
Mi az UEFI és miért fontos?
Az UEFI, vagy Unified Extensible Firmware Interface, a BIOS modern utódja. Az UEFI-t a 2000-es évek elején fejlesztették ki az Intel által, hogy megoldja a BIOS korlátait, például a nagyobb merevlemezek és a gyorsabb bootolás támogatását.
Pedig ez utóbbi minden tekintetben fejlettebb nála: sokkal gyorsabb indításra képes, több modern hardverrel kompatibilis, a Secure Boot és a fast boot mellett hálózati funkciókat is támogat.
Az UEFI több előnnyel is rendelkezik:
- Gyorsabb rendszerindítás és ébresztés alvó állapotból.
- Támogatja a nagyobb, 2 TB-nál nagyobb merevlemezeket GPT partícióval.
- Grafikus és felhasználóbarátabb interfész, amelyet egérrel is lehet vezérelni.
- Biztonsági funkciók, mint például a Secure Boot, amely megakadályozza a nem megbízható szoftverek indítását.
Komplexitása azonban magában hordoz bizonyos problémákat. Működési elve és ezáltal esetleges hibáinak felderítése bonyolult, ráadásul az UEFI sérülékenyebb is: tavaly élesben is megjelentek az addig csak elméleti síkon létező firmware-t érintő kártevők, úgynevezett rootkitek. Ez a sebezhetőség tette még inkább szükségessé a megbízható biztonsági funkciókat.
A Secure Boot funkció: Alapok és működés
A biztonsági fenyegetések növekedése miatt az utóbbi években a számítógép gyártói egyre több biztonsági funkciót vezettek be, amelyek megakadályozzák a rosszindulatú programok és a számítógépes támadások által okozott károkat. Ezen funkciók egyike a Secure Boot.
Ez egy UEFI-specifikus szolgáltatás, nevéhez hűen az indítási folyamat biztonságáért felel. A Biztonságos rendszerindítás az Egyesített bővíthető belső vezérlőprogram interfész (UEFI) egyik funkciója, amely megköveteli az összes alacsony szintű belső vezérlőprogram és szoftverösszetevő ellenőrzését a betöltés előtt. A Secure Boot olyan biztonsági funkció, amely megakadályozza a nem engedélyezett operációs rendszerek és illesztőprogramok futtatását a számítógépen.
Lényege, hogy a firmware kizárólag olyan illesztőprogramokat engedélyez, amelyek megfelelő privát kulccsal, vagyis digitális aláírással rendelkeznek, a nem megfelelő szoftvereket pedig meg sem próbálja betölteni. A digitális aláírás a számítógép gyártójától származó tanúsítvány, amely megerősíti, hogy az operációs rendszer és az illesztőprogramok biztonságosak és engedélyezettek.
A kifejezetten UEFI-re írt vírusok és kémprogramok elterjedésével ez a hardver és szoftver közötti kézfogás létfontosságú szerepet tölt be, hiszen megakadályozza, hogy egy rosszindulatú illesztőprogram hozzáférjen az firmware-hez, és azon módosításokat végezzen, akár végérvényesen használhatatlanná téve az adott hardvert.
A Secure Boot kulcsrendszere
A rendszerindítás során az UEFI Secure Boot ellenőrzi az egyes rendszerindító szoftverek aláírását, beleértve az UEFI belső vezérlőprogram-illesztőprogramokat (más néven beállítási ROM-okat), az extensible Firmware Interface (EFI) alkalmazásokat, valamint az operációsrendszer-illesztőprogramokat és bináris fájlokat. Ez a folyamat több kulcs és adatbázis segítségével történik:
- Platformkulcs (PK) - Megbízhatóságot hoz létre a platform tulajdonosa (Microsoft) és a belső vezérlőprogram között.
- Kulcsregisztrációs kulcsadatbázis (KEK) - Megbízhatóságot hoz létre az operációs rendszer és a platform belső vezérlőprogramja között. A KEK adatbázisa olyan aláírási kulcsokkal van feltöltve, amelyek az aláírási adatbázis és a visszavont aláírási adatbázis frissítésére használhatók.
- Visszavont aláírások adatbázisa (dbx) - Olyan kódmodulok visszavont kivonatait tárolja, amelyek rosszindulatúnak, sebezhetőnek, sérültnek vagy nem megbízhatónak minősülnek.
Miután hozzáadta a db, dbx és KEK adatbázisokat, és befejeződött a belső vezérlőprogram ellenőrzése és tesztelése, az OEM zárolja a belső vezérlőprogram szerkesztését, és létrehoz egy platformkulcsot (PK). A KEKpub és a PKpub aláírásainak érvényesítésével megerősíthetjük, hogy csak megbízható felek rendelkeznek engedéllyel a megbízhatónak ítélt szoftverek definícióinak módosítására.
A rendszerindítási folyamat minden szakaszában a rendszer kiszámítja és összehasonlítja a belső vezérlőprogram, a rendszerindító, az operációs rendszer, a kernelillesztők és más rendszerindítási lánc összetevőinek kivonatait az elfogadható értékekkel. A nem megbízhatónak talált belső vezérlőprogramokat és szoftvereket nem lehet betölteni.
A biztonságos rendszerindítás engedélyezése Windows 11 rendszerben - Teljes útmutató
Secure Boot és Linux operációs rendszerek
A Secure Boot beállítása a Linux Mint és az Ubuntu alatt egyszerű. A Linux Mint és az Ubuntu is támogatja a Secure Boot-ot, és beépített mechanizmusokat biztosít a digitális aláírások ellenőrzéséhez. Az Ubuntu és a Linux Mint operációs rendszerei a Secure Boot használatához szükséges kulcsokat és tanúsítványokat tartalmazzák a UEFI-ben.
A Shim az első szintű bootloader, amit a Secure Boot támogatására fejlesztettek ki. Shim-nak hívjuk, mert olyan objektumként szolgál, ami betölti az űrt a Microsoft és saját megbízhatósági rendszer között. A tervezés során eredetileg csak a megfelelően aláírt binárisok betöltését és ellenőrzését végzi, de azóta valamivel bonyolultabb lett.
Fontos tudni, hogy ha Secure Boot beállítása mellett nem sikerül telepíteni a Linux Mint-et, a fejlesztők egyelőre a Secureboot letiltását javasolják.
Belépés az UEFI beállításokba
A BIOS vagy UEFI beállításokhoz való hozzáférés különböző alaplapokon eltérhet. Általában a számítógép indításakor, még az operációs rendszer betöltése előtt kell egy bizonyos billentyűkombinációt megnyomni.
Az alábbi táblázatban összegyűjtöttük a leggyakoribb billentyűket, amelyekkel beléphet az UEFI beállítófelületre különböző gyártók esetében:
| Alaplap gyártó | UEFI belépési billentyű |
|---|---|
| ASUS | F2, Del |
| Gigabyte | Del, F12 |
| MSI | Del, F11 |
| Acer | F2, F12 |
| Lenovo | F1, F12 |
A fent említett billentyűk a leggyakrabban használtak, de előfordulhat, hogy a pontos belépési mód az adott számítógép modelltől is függ. Amennyiben a fenti billentyűk nem működnek, érdemes megnézni a számítógép kézikönyvét vagy a gyártó weboldalát.
A BIOS/UEFI nem csak a rendszerindításért felelős, hanem számos más fontos beállítást is tartalmaz, amelyek befolyásolhatják a számítógép teljesítményét és működését. Ezek közé tartoznak a biztonsági beállítások is, ahol jelszóval védhetjük a BIOS/UEFI beállításokat vagy engedélyezhetjük a Secure Boot funkciót.
A Secure Boot állapotának beállítása (Példa: ROG MAXIMUS Z790 HERO)
Az alábbiakban egy példa látható a Secure Boot beállítására egy ROG MAXIMUS Z790 HERO alaplap esetén, melynek menete gyártónként eltérő lehet, de az általános lépések hasonlóak.
- Kapcsolja be a rendszert, és nyomja meg a [Delete/törlés] billentyűt a BIOS [Advanced Mode (Speciális üzemmódba)] való belépéséhez.
- Kattintson a [Boot/rendszerindítás] gombra.
- Kattintson a [Secure Boot/biztonságos rendszerindítás] opcióra.
- Válassza ki az OR típusát (operációs rendszer típusát). Alapértelmezés szerint ez gyakran "Egyéb OR" (Other OS) beállításra van állítva, ami azt jelenti, hogy a Secure Boot kikapcsolt állapotban van. A Secure Boot engedélyezéséhez válassza a "Windows UEFI mód" opciót, ami bekapcsolja a Biztonságos rendszerindítást.
- Ellenőrizze a Biztonságos rendszerindítás állapotát. Ez az opció alapértelmezés szerint szürke színű, és manuálisan nem állítható be, mivel szinkronizálva van a Secure Boot kulcsokkal. A "Felhasználó" állapot azt jelzi, hogy vannak Secure Boot kulcsok, míg a "Beállítás" állapot azt, hogy nincsenek. Fontos megjegyezni, hogy a Kulcskezelés opció szürke színnel jelenik meg, ha a Biztonságos rendszerindítás módja "Standard"-ra van állítva.
Az alábbi táblázat összefoglalja a Secure Boot állapotait a BIOS-ban, az operációs rendszer típusától, a Secure Boot módtól és a kulcskezeléstől függően:
| Biztonságos rendszerindítás állapot a BIOS-ban | OR típusa | Biztonságos rendszerindítás mód | Kulcskezelés | Biztonságos rendszerindítás állapot az operációs rendszerben |
|---|---|---|---|---|
| Felhasználó | Egyéb OR | Ügyfél | Alapértelmezett | Ki |
| Felhasználó | Egyéb OR | Standard | N/A | Ki |
| Beállítás | Egyéb OR | Ügyfél | Biztonságos rendszerindítás kulcsok törlése | Ki |
| Beállítás | Windows UEFI mód | Ügyfél | Biztonságos rendszerindítás kulcsok törlése | Ki |
| Felhasználó | Windows UEFI mód | Ügyfél | Alapértelmezett | Be |
| Felhasználó | Windows UEFI mód | Standard | N/A | Be |
A Secure Boot állapotának ellenőrzése Windows alatt
Miután beállította a Secure Bootot a BIOS/UEFI-ben, ellenőrizheti az állapotát a Windows operációs rendszerben:
- Nyomja meg egyszerre a [WIN] + [R] billentyűket, majd írja be az msinfo32 parancsot.
- Keresse meg a [Biztonságos rendszerindítás állapota] opciót. Itt láthatja, hogy a Secure Boot engedélyezett vagy letiltott állapotban van-e.
Fontos, hogy először ellenőrizni kell, hogy az operációs rendszer támogatja-e a Secure Bootot, majd azt is, hogy a számítógép támogatja-e ezt a funkciót.
tags: #uefi #secure #boot #hasznalata
