настройка ключа безопасности windows 10
Как создать USB-ключ безопасности в Windows 10
В интересах безопасности данных некоторые люди обращаются к сторонним USB-устройствам, которые служат ключами безопасности для их ПК. Без подключения такого устройства ваш компьютер не будет разблокирован. Это очень просто.
Есть два способа получить один из этих ключей безопасности, чтобы добавить дополнительный уровень защиты: вы можете купить готовый или создать свой собственный.
Давайте рассмотрим оба метода, а также то, как, на самом деле, создать свой собственный USB-ключ безопасности, используя старый флэш-накопитель.
Что такое YubiKey
В качестве примера укажем компанию Yubico, которая создала YubiKey – USB-флешку, совместимую с Windows Hello, и рядом других сервисов, которые необходимо поддерживать в безопасности, таких как LastPass, KeePass, Google, Dropbox и Evernote.
Как только вы получите его, всё, что вам нужно сделать, это подключить к компьютеру, зарегистрировать, и вы готовы к работе. Есть несколько разных вариантов YubiKey. У вас есть стандартный YubiKey, который подключается через USB, Nano YubiKey, который намного меньше, и YubiKey NEO, который может подключаться как через NFC, так и через USB.
Как создать USB-ключ безопасности
Прежде чем приступить к этой работе, помните, что создание ключа безопасности USB для вашего ПК имеет некоторые недостатки. Если вы потеряете USB-ключ, вам будет нелегко попасть на ваш компьютер, особенно если вы отключите возможность ввода пароля в качестве резервной возможности. Вы также потеряете возможность использовать один из USB-портов на вашем ПК, пока активна блокировка.
Существует несколько вариантов, когда речь заходит о программном обеспечении, используемом для этого процесса, но USB Raptor, Rohos Logon Key и Predator являются некоторыми из них, хотя последние два являются платными. Rohos Logon Key стоит 34 доллара, а Predator – 10 долларов.
Поскольку USB Raptor бесплатен, мы покажем вам, как его настроить, используя Windows 10 и старый флэш-накопитель. На самом деле, не имеет значения, сколько места на флэш-накопителе, потому что всё, что будет создано, это файл размером 1 КБ.
USB Raptor откроется. На этом этапе вы можете подключить флэш-накопитель к компьютеру. Как только он подключен, вы сможете продолжить следующие шаги.
Как только вы извлечёте USB-накопитель, включится USB Raptor. Появится фиолетовый экран с логотипом USB Raptor. Только когда вы снова подключите USB-ключ, он разблокируется практически мгновенно.
Расширенные настройки USB Raptor
Выше представленная инструкция охватывает простую конфигурацию, которую рекомендует USB Raptor, но есть довольно много расширенных настроек, которые вы можете изменить, установив флажок рядом с Advanced configuration в правом верхнем углу окна.
Здесь вы можете выбрать, хотите ли вы использовать пароль в качестве резервной копии в случае, если вы потеряете USB-накопитель, должна ли быть задержка блокировки при извлечении USB-накопителя или нет, должен ли проверяться серийный номер USB-накопителя (для предотвращения копирования файла) и многое другое.
Конечно, USB Raptor прекрасно работает без изменения расширенных настроек, поэтому вам не нужно настраивать то, что вам не нужно.
Отключение запроса ключа безопасности windows hello
В попытке угнаться за MacOS разработчики из Microsoft оснастили windows 10 рядом функций, хорошо знакомым пользователям MacBook и iMac. Одной из них стала методика защиты данных пользователя и самого устройства. Эта служба носит название windows hello и позволяет многое.
Что такое windows hello
Данная функция тесно связана с учетной записью пользователя. Идентифицирует его по различным признакам. Только он может выполнить вход в систему. Для этого необходимо предоставить личные данные.
По своему желанию пользователь может настроить тот способ распознавания, который поддерживает его система. Данные, которые он предоставляет, отправляются в Майрософ в зашифрованном виде. Казалось бы, все продумано. Но не редки случаи, когда у владельцев аккаунтов возникают проблемы с доступом. В этой статье будет дан ответ на вопрос – как отключить windows hello и удалить все данные, связанные с этой службой.
Это может потребоваться в моменты, когда продуманный на первый взгляд компонент системы начинает доставлять неудобства. К примеру, сложный и надежный пароль стал забываться. Владелец ПК не может получить к нему доступ, потому что сканер отпечатка пальцев работает некорректно. Наконец, ему может просто надоесть каждый раз вставлять в USB разъем ключ безопасности.
К счастью, методы, описанные ниже, достаточно просты. Применить их на практике может ПК-пользователь любого уровня. Начинающим, правда, предложенные варианты покажутся неочевидными.
windows hello в windows 10 как отключить запрос пин-кода для доступа к учетной записи
Те, кто используют для защиты от вирусов встроенное в систему средство, будут видеть предложение его создать не только во время инсталляции системы. Предложение настроить вход в аккаунт по оригинальному шифру будет поступать и от антивируса. В результате даже те, кому защищенный доступ к аккаунту не нужен совсем. Как же это все отключить?
После этого доступ к компьютеру будет предоставляться в обычном режиме. То есть, без участия windows hello и всех, входящих в эту службу методик безопасности.
Служба windows hello в Windows 10. Отключение запроса ключа безопасности и других методов входа.
Операционная система, именуемая в народе «Десяткой», предлагает множество способов идентификации личности. Чтобы она не требовала никаких данных при входе, необходимо сделать следующее:
Теперь можно возвращаться в раздел «Варианты входа», и удалить данные лица, отпечатка пальцев, пароля, и графического пароля. Для этого поочередно входить в каждый раздел, и там нажимать удалить. Исключение составляет лишь опция «Ключ безопасности». Для ее деактивации понадобится выполнить следующие действия.
После этого все компоненты данной службы будут полностью отключены. Пользователь сможет беспрепятственно входить в систему. Теперь важно, чтобы пользователь не попытался снова ограничить себе доступ к учетной записи.
Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 11 и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
Нажмите Пуск > Параметры > Учетные записи > Варианты входа.
В разделе Варианты входа выберите элемент Windows Hello, который нужно добавить.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности.
Нажмите Добавьте новый способ входа или проверки.
Выберите Используйте компьютер с Windows.
Следуйте инструкциям по настройке Windows Hello в качестве способа входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности.
Нажмите Добавьте новый способ входа или проверки.
Определите тип ключа (USB или NFC) и нажмите Далее.
Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности. Управляйте ключами безопасности в разделе Способы подтверждения вашей личности.
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
Перейдите в раздел Учетные записи > Варианты входа.
В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Выберите Используйте компьютер с Windows
Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Определите тип ключа (USB или NFC) и нажмите Далее.
Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.
Windows Руководство по созданию и управлению ключами безопасной загрузки
Вишал Манан, архитектор, консультационные услуги OEM, vmanan@microsoft.com
Арие Van der хоевен, архитектор, консультационные услуги OEM, ariev@microsoft.com
Этот документ поможет изготовителям оборудования и Одмс в создании и управлении защищенными ключами и сертификатами в производственной среде. в нем рассматриваются вопросы, связанные с созданием, хранением и получением ключей платформы (первичные ключи), ключами безопасного обновления встроенного по, а также ключами Exchange клавишами сторонних производителей (ключи обмена ключами).
Примечание. Эти действия не относятся к изготовителям ПК. Предприятия и клиенты также могут использовать эти действия для настройки серверов для поддержки безопасной загрузки.
требования к Windows для UEFI и безопасной загрузки можно найти в Windows требованиях к сертификации оборудования. в этом документе не приводится новых требований или представляется официальная программа Windows. Она предназначена как руководство, не превышающее требования к сертификации, для помощи в создании эффективных и безопасных процессов создания защищенных загрузочных ключей и управления ими. Это важно, поскольку безопасная Загрузка UEFI основана на использовании инфраструктуры открытых ключей для проверки подлинности кода перед выполнением этого действия.
Читатель должен знать основы UEFI, базовое понимание безопасной загрузки (глава 27 Спецификации UEFI) и модель безопасности PKI.
требования, тесты и средства проверка безопасной загрузки на Windows доступны на сегодняшний день в Windowsном наборе сертификации оборудования (хкк). однако эти хкк ресурсы не устраняют возможности создания и управления ключами для Windows развертываний. В этом документе Управление ключами рассматривается как ресурс, помогающий партнерам развернуть ключи, используемые встроенным по. Он не предназначен для указания нормативных руководств и не включает новые требования.
1. безопасная загрузка, Windows и управление ключами содержит информацию о безопасности загрузки и архитектуре PKI, так как она применяется к Windows и безопасной загрузке.
2. решения по управлению ключами предназначены для того, чтобы помочь партнерам разработать решение для управления ключами и разработки, удовлетворяющее их потребностям.
3. Сводка и ресурсы включают в себя приложений, контрольные списки, API-интерфейсы и другие ссылки.
Этот документ служит отправной точкой для разработки компьютеров, готовых для клиентов, средств заводского развертывания и ключевых рекомендаций по безопасности.
1. безопасная загрузка, Windows и управление ключами
Спецификация UEFI (Единый интерфейс EFI) определяет процесс проверки подлинности при выполнении встроенного по, называемый безопасной загрузкой. В качестве отраслевых стандартов безопасная загрузка определяет, как встроенное по платформы управляет сертификатами, проверяет подлинность встроенного по и взаимодействие операционной системы с этим процессом.
Безопасная загрузка основана на процессе инфраструктуры открытых ключей (PKI) для проверки подлинности модулей, прежде чем они будут разрешены для выполнения. К этим модулям могут относиться драйверы встроенного по, дополнительные ПЗУ, драйверы UEFI на диске, приложения UEFI или Загрузчики UEFI. Благодаря проверке подлинности на основе образа перед выполнением безопасная загрузка снижает риск атак с использованием вредоносных программ, таких как rootkit-программы. корпорация майкрософт использует безопасную загрузку UEFI в Windows 8 и более поздних версиях в рамках надежной архитектуры безопасности загрузки для повышения безопасности платформы наших клиентов. безопасная загрузка необходима для Windows 8 и более поздних клиентских пк, а также для Windows Server 2016, как определено в Windows требованиях к совместимости оборудования.
Процесс безопасной загрузки работает следующим образом, как показано на рис. 1.
Загрузочные компоненты встроенного по: встроенное по проверяет, является ли загрузчик ос доверенным (Windows или другой доверенной операционной системой).
Windows загрузочных компонентов: BootMgr, WinLoad, Windows запуск ядра. Windows компоненты загрузки проверяют подпись каждого компонента. Все недоверенные компоненты не будут загружены, а вместо этого будут запускать исправление безопасной загрузки.
Инициализация антивирусных и антивредоносных программ: Это программное обеспечение проверяется на наличие специальной подписи, выданной Майкрософт, которая проверяет, является ли драйвер надежным для загрузки, и запускается на ранних этапах процесса загрузки.
Инициализация критического драйвера загрузки: Подписи всех драйверов, критических для загрузки, проверяются как часть проверки безопасной загрузки в WinLoad.
Дополнительная инициализация ОС
Windows Экран входа
рис. 1. Windowsная надежная архитектура загрузки
Реализация безопасной загрузки UEFI является частью архитектуры надежной загрузки Майкрософт, представленной в Windows 8.1. Растущий тренд эволюции эксплойтов вредоносных программ нацелен на путь загрузки в качестве предпочтительного направления атаки. Этот класс атак был сложно защитить от, так как Антивредоносные программы могут быть отключены от вредоносных программ, что предотвращает их полную загрузку. благодаря Windowsной надежной архитектуре загрузки и установке корня доверия с безопасной загрузкой, клиент защищается от вредоносного кода, выполняемого в загрузочном пути, гарантируя, что только подписанный, сертифицированный «известный хороший» код и загрузчики запуска могут выполняться до того, как будет загружена сама операционная система.
1,1 Public-Key инфраструктура (PKI) и безопасная загрузка
PKI устанавливает подлинность и доверие в системе. Безопасная загрузка использует PKI для двух высокоуровневых целей:
Во время загрузки, чтобы определить, являются ли модули раннего запуска доверенными для выполнения.
Для проверки подлинности запросов на запросы на обслуживание включает изменение баз данных безопасной загрузки и обновление встроенного по платформы.
PKI состоит из следующих компонентов:
Центр сертификации (ЦС), который выдает цифровые сертификаты.
Центр регистрации, проверяющий подлинность пользователей, запрашивающих сертификат из центра сертификации.
Центральный каталог, в котором хранятся и индексируются ключи.
Система управления сертификатами.
1,2. шифрование с открытым ключом
Шифрование с открытым ключом использует пару математически связанных криптографических ключей, известных как открытый и закрытый ключи. Если вы знакомы с одним из ключей, вы не сможете легко вычислить то, что имеет другой. Если для шифрования информации используется один ключ, только соответствующий ключ может расшифровать эту информацию. Для безопасной загрузки закрытый ключ используется для цифрового подписывания кода, а открытый ключ используется для проверки подлинности подписи в коде. Если закрытый ключ скомпрометирован, системы с соответствующими открытыми ключами перестают быть безопасными. Это может привести к атакам комплекта загрузки и повредить репутацию сущности, ответственной за обеспечение безопасности закрытого ключа.
В системе с открытым ключом безопасной загрузки необходимо следующее:
1.2.1 RSA 2048 Encryption
RSA-2048 — это асимметричный криптографический алгоритм. Пространство, необходимое для хранения модуля RSA-2048 в необработанном виде, составляет 2048 бит.
1.2.2 самозаверяющий сертификат
Сертификат, подписанный закрытым ключом, совпадающим с открытым ключом сертификата, называется самозаверяющим сертификатом. Сертификаты корневого центра сертификации (ЦС) попадают в эту категорию.
Центр сертификации 1.2.3
Центр сертификации (ЦС) выдает подписанные сертификаты, подтверждающие подлинность субъекта сертификата, и привязывает этот идентификатор к открытому ключу, содержащемуся в сертификате. ЦС подписывает сертификат с помощью его закрытого ключа. Он выдает соответствующий открытый ключ всем заинтересованным сторонам в самозаверяющего сертификата корневого ЦС.
В случае безопасной загрузки центры сертификации (CAs) включают поставщиков вычислительной техники (или их представителей) и Майкрософт. Центры сертификации создают пары ключей, которые формируют корень доверия, а затем используют закрытые ключи для подписывания допустимых операций, таких как разрешенные модули EFI с ранней загрузкой и запросы на обслуживание встроенного по. Соответствующие открытые ключи поставляются в встроенное по UEFI для защищенных компьютеров с поддержкой загрузки и используются для проверки этих операций.
(Дополнительные сведения об использовании центров сертификации и обмена ключами доступны в Интернете, которые относятся к модели безопасной загрузки.)
1.2.4 Открытый ключ
Ключ общедоступной платформы поставляется на компьютере, доступен или является общедоступным. В этом документе мы будем использовать суффикс «Pub» для обозначения открытого ключа. Например, Пкпуб обозначает открытую половину ПЕРВИЧного ключа.
закрытый ключ 1.2.5
Для работы PKI необходимо обеспечить безопасное управление закрытым ключом. Он должен быть доступен для нескольких доверенных лиц в Организации и расположен в физически надежном месте с ограничениями политики доступа на месте. В этом документе мы будем использовать суффикс Priv для обозначения закрытого ключа. Например, Пкприв указывает на частную половину ПЕРВИЧного ключа.
сертификаты 1.2.6
Использование цифровых сертификатов в основном используется для проверки происхождения подписанных данных, например двоичных файлов и т. д. Обычно сертификаты используются для обеспечения безопасности сообщений в Интернете с помощью протокола TLS или SSL (SSL). Проверка подписанных данных с помощью сертификата позволяет получателю узнать источник данных и, если он был изменен во время передачи.
Цифровой сертификат в целом содержит, на высоком уровне, различающееся имя (DN), Открытый ключ и подпись. DN определяет сущность (например, компанию), которая содержит закрытый ключ, соответствующий открытому ключу сертификата. Подписывание сертификата с помощью закрытого ключа и помещение подписи в сертификат привязывает закрытый ключ к открытому ключу.
Сертификаты могут содержать данные других типов. Например, сертификат X.509 включает формат сертификата, серийный номер сертификата, алгоритм сигнатуры сертификата, имя ЦС, которым был издан сертификат, имя и открытый ключ сущности, запрашивающей сертификат, а также сигнатура центра сертификации.
1.2.7 цепочки сертификатов
Рис. 2. цепочка из трех сертификатов
Сертификаты пользователей часто подписываются с помощью другого закрытого ключа, такого как закрытый ключ ЦС. Это образует цепочку из двух сертификатов. Проверка того, что сертификат пользователя является подлинным, подразумевает проверку его подписи, которая требует наличия открытого ключа ЦС из сертификата. Но прежде чем можно будет использовать открытый ключ ЦС, необходимо проверить сертификат, включающий ЦС. Так как сертификат ЦС является самозаверяющим, для проверки сертификата используется открытый ключ ЦС.
Сертификат пользователя не должен быть подписан закрытым ключом корневого ЦС. Он может быть подписан закрытым ключом посредника, сертификат которого подписан закрытым ключом ЦС. Это экземпляр цепочки из трех сертификатов: сертификат пользователя, промежуточный сертификат и сертификат ЦС. Но несколько посредников могут быть частью цепочки, поэтому цепочки сертификатов могут иметь любую длину.
1,3. требования для безопасной загрузки PKI
Корень доверия, определяемый UEFI, состоит из ключа платформы и любых ключей, которые OEM или ОДМ включают в ядро встроенного по. Безопасность до UEFI и корень доверия не решаются процессом безопасной загрузки UEFI, а не с помощью национального института стандартов и технологий (NIST) и организация TCG (TCG) публикаций, упоминаемых в этом документе.
требования к безопасной загрузке 1.3.1
Для реализации безопасной загрузки необходимо учитывать следующие параметры.
Windows Требования к совместимости оборудования
Требования к созданию ключей и управлению.
Вам потребуется выбрать оборудование для безопасного управления ключами загрузки, таких как аппаратные модули безопасности (HSM), рассмотрите специальные требования на компьютерах для доставки в государственные учреждения и другие учреждения и, наконец, процесс создания, заполнения и управления жизненным циклом различных защищенных загрузочных ключей.
1.3.2 ключи, связанные с безопасной загрузкой
Ниже приведены ключи, используемые для безопасной загрузки.
Рис. 3. ключи, связанные с безопасной загрузкой
На рис. 3 выше представлена подпись и ключи компьютера с безопасной загрузкой. Платформа защищена с помощью ключа платформы, который изготовитель оборудования устанавливает в микропрограмму во время производства. Другие ключи используются безопасной загрузкой для защиты доступа к базам данных, в которых хранятся ключи, разрешающие или запрещающие выполнение встроенного по.
Авторизация базы данных (DB) содержит открытые ключи и сертификаты, представляющие доверенные компоненты встроенного по и загрузчики операционной системы. База данных запрещенных подписей (DBX) содержит хэши вредоносных и уязвимых компонентов, а также скомпрометированные ключи и сертификаты и блокирует выполнение этих вредоносных компонентов. Сила этих политик основана на встроенном по для подписывания с помощью Authenticode и инфраструктуры открытых ключей (PKI). PKI — это хорошо установленный процесс создания, управления и отзыва сертификатов, устанавливающих отношения доверия во время обмена информацией. Инфраструктура PKI является основой модели безопасности для безопасной загрузки.
Ниже приведены дополнительные сведения об этих ключах.
Ключ платформы 1.3.3 (PK)
Чтобы изменить владение платформой, необходимо перевести встроенное по в режим установки UEFI, который отключает безопасную загрузку. Вернуться к режиму установки, только если это необходимо сделать во время производства.
Для настольных ПК изготовители оборудования управляют ключом PK и необходимыми для него инфраструктурой PKI. Для серверов изготовители оборудования по умолчанию управляют ключом PK и необходимым PKI. Enterprise клиенты или пользователи сервера также могут настроить pk, заменив доверенный ключ компьютера OEM на специализированный пк, чтобы заблокировать доверие в микропрограмме UEFI с безопасной загрузкой.
1.3.3.1 для регистрации или обновления ключа Exchange ключей (KEK) при регистрации ключа платформы
1.3.3.2 Очистка ключа платформы
Владелец платформы очищает общедоступную половину ключа платформы (пкпуб), вызывая интерфейс UEFI Boot SER все, SetVariable () с переменным размером 0 и сбросом платформы. Если платформа находится в режиме установки, то проверка подлинности пустой переменной не требуется. Если платформа находится в пользовательском режиме, то пустая переменная должна быть подписана текущим пкприв; Дополнительные сведения см. в разделе 7.2 (службы переменных) в Спецификации UEFI 2.3.1 errata C. Настоятельно рекомендуется, чтобы Рабочая Пкприв никогда не использовалась для подписывания пакета для сброса платформы, так как это позволяет программно отключить безопасную загрузку. Это, в первую очередь, сценарий подготовительного тестирования.
Ключ платформы также можно очистить с помощью безопасного метода для конкретной платформы. В этом случае необходимо также обновить режим установки глобальных переменных до 1.
Рис. 4. Схема состояния ключа платформы
Создание ПЕРВИЧного ключа 1.3.3.3
По мере получения рекомендаций по UEFI открытый ключ должен храниться в энергонезависимом хранилище, что является несанкционированным и удаляет устойчивость компьютера. закрытые ключи остаются надежными на уровне партнера или в Office безопасности OEM, и на платформу загружается только открытый ключ. Дополнительные сведения см. в разделе 2.2.1 и 2,3.
Число созданных ПЕРВИЧных процессоров определяется по усмотрению владельца платформы (OEM). Эти ключи могут быть следующими:
По одному на ПК. Наличие одного уникального ключа для каждого устройства. Это может потребоваться для государственных учреждений, финансовых учреждений или других клиентов сервера с высокими требованиями к безопасности. Для создания закрытых и открытых ключей для большого количества компьютеров может потребоваться дополнительное хранилище и вычислительная мощность для обработки шифрования. Это усложняет сопоставление устройств с соответствующим ключом ПК при отправке обновлений встроенного по на устройства в будущем. Существует несколько различных решений HSM, доступных для управления большим количеством ключей на основе поставщика HSM. Дополнительные сведения см. в статье Создание безопасного загрузочного ключа с помощью HSM.
По одному на модель. Наличие одного ключа на модель ПК. Компромисс заключается в том, что если ключ скомпрометирован, все компьютеры в одной модели будут уязвимы. Это рекомендовано корпорацией Майкрософт для настольных компьютеров.
По одному на строку продукта. Если ключ скомпрометирован, вся линия продукта будет уязвимой.
Один на OEM. Хотя это и может быть самым простым настройкой, если ключ скомпрометирован, все производимые ПК будут уязвимы. Для ускорения операции в цехе фабрики PK и потенциально другие ключи можно создать заранее и сохранить в безопасном месте. Впоследствии их можно будет извлечь и использовать в строке сборки. В главах 2 и 3 содержатся дополнительные сведения.
1.3.3.4 переключить PK
Это может потребоваться, если ПК скомпрометирован или является требованием клиента, который по соображениям безопасности может принять решение о регистрации собственного ПЕРВИЧного ключа.
Возможность смены ключей может быть выполнена для модели или ПК в зависимости от того, какой метод был выбран для создания ПЕРВИЧного ключа. Все новые компьютеры будут подписаны с использованием только что созданного ПЕРВИЧного ключа.
Для обновления ПЕРВИЧного ПК на рабочем компьютере потребуется либо обновление переменной, подписанное существующим ПЕРВИЧным процессором, заменяющее PK, либо пакет обновления встроенного по. Изготовитель оборудования также может создать пакет SetVariable () и распространить его с помощью простого приложения, такого как PowerShell, которое просто изменяет ПЕРВИЧный ключ. Пакет обновления встроенного по будет подписан с помощью ключа обновления безопасного встроенного по и проверено встроенным по. При обновлении встроенного по для обновления ПЕРВИЧного ключа следует соблюдать осторожность, чтобы убедиться, что KEK, DB и dbx сохранены.
На всех компьютерах рекомендуется не использовать PK в качестве ключа обновления безопасного встроенного по. Если Пкприв скомпрометирован, то это ключ обновления защищенного встроенного по (так как они одинаковы). В этом случае обновление для регистрации нового Пкпуб может оказаться невозможным, так как процесс обновления также был скомпрометирован.
На SoC ПК есть еще одна причина, по которой не следует использовать PK в качестве ключа обновления безопасного встроенного по. это связано с тем, что защищенный ключ обновления встроенного по постоянно бурнт в плавкие предохранители на компьютерах, соответствующих требованиям сертификации оборудования Windows.
ключ Exchange ключа 1.3.4 (KEK) Ключи обмена ключами устанавливают отношения доверия между операционной системой и встроенным по платформы. Каждая операционная система (и потенциально, каждое стороннее приложение, которое должно взаимодействовать с встроенным по платформы) регистрирует открытый ключ (кекпуб) в встроенном по платформы.
1.3.4.1 ключей регистрации ключей Exchange
Ключи обмена ключами хранятся в базе данных сигнатур, как описано в статье базы данных сигнатуры 1,4 (DB и DBX). База данных сигнатур хранится в виде переменной UEFI, прошедшей проверку подлинности.
Владелец платформы регистрирует ключи обмена ключами, вызывая SetVariable (), как указано в разделе 7.2 (службы переменных) в разделе » Спецификации UEFI 2.3.1 с ошибками C». с _ переменной EFI _ Добавление _ атрибута Write и параметра data, содержащего новые ключи, или путем считывания базы данных с помощью функции InAttribute (), добавления нового ключа обмена ключами к существующим ключам и последующей записи базы данных с помощью SetVariable (), как указано в разделе 7.2 (переменные службы) в Спецификации UEFI 2.3.1 Ошибка C без _ _ _ набора атрибутов для добавления переменной EFI.
Если платформа находится в режиме установки, переменная базы данных сигнатур не должна быть подписана, но параметры вызова SetVariable () по-прежнему должны быть подготовлены согласно указаниям для прошедших проверку подлинности переменных в разделе 7.2.1. Если платформа находится в пользовательском режиме, база данных подписей должна быть подписана с использованием текущего Пкприв
1.3.4.2 очистки KEK
Можно «очистить» (удалить) KEK. Обратите внимание, что если ПК не установлен на платформе, запросы со снятыми флажками не обязательно должны быть подписаны. Если они подписаны, то для очистки KEK требуется пакет, подписанный ПК, а для очистки базы данных или dbx требуется пакет, подписанный любой сущностью, присутствующей в KEK.
1.3.4.3 Microsoft KEK
Microsoft KEK требуется для включения отзыва плохих образов путем обновления dbx и, возможно, для обновления базы данных, чтобы подготовиться к новым Windows подписанным образам.
Включите Microsoft Corporation KEK CA 2011 в базу данных KEK со следующими значениями:
1.3.4.4 кекдефаулт поставщик платформы может предоставить набор ключевых Exchange ключей по умолчанию в переменной кекдефаулт. Дополнительные сведения см. в разделе о Спецификации UEFI 27.3.3.
1.3.4.5 OEM/стороннего производителя KEK — Добавление нескольких KEK
Клиентам и владельцам платформ не обязательно иметь свои собственные KEK. на компьютерах, не являющихся Windows RT, поставщик вычислительной техники может иметь дополнительные ключи обмена ключами, чтобы разрешить дополнительный поставщик вычислительной техники или доверенный сторонний элемент управления для баз данных и dbx.
ключ обновления встроенного по безопасной загрузки 1.3.5 Ключ безопасного обновления встроенного по используется для подписывания встроенного по, когда необходимо его обновить. Этот ключ должен иметь минимальную стойкость ключа RSA-2048. Все обновления встроенного по должны быть надежно подписаны поставщиком вычислительной техники, доверенным представителем, таким как ОДМ или ИБВ (независимый поставщик BIOS) или безопасной службой подписывания.
По мере обновления встроенного по в соответствии с заданной публикацией NIST 800-147 должен поддерживать все элементы руководства.
Любое обновление в флэш-магазине встроенного по должно быть подписано автором.
Встроенное по должно проверять подпись обновления.
1.3.6 создание ключей для безопасного обновления встроенного по
Один и тот же ключ будет использоваться для подписи всех обновлений встроенного по, так как общедоступная половина будет размещена на компьютере. Вы также можете подписать обновление встроенного по с помощью ключа, который цепочка позволяет защитить ключ обновления встроенного по.
На каждый компьютер может быть один ключ, например PK или один для каждой модели, или одна для каждой линейки продуктов. Если имеется один ключ на каждый компьютер, то это означает, что потребуется создать миллионы уникальных пакетов обновления. Подумайте о доступности ресурсов, которые будет использовать метод. Наличие ключа для каждой модели или линейки продуктов — хороший компромисс.
Открытый ключ безопасного обновления встроенного по (или его хэш-код для экономии места) будет храниться в защищенном хранилище на платформе (в общем случае это защищенное устройство флэш-памяти (PC) или одноразовый программируемый предохранитель (SOC)).
Если сохранен только хэш этого ключа (для экономии пространства), то обновление встроенного по будет включать ключ, а первый этап процесса обновления будет проверять, соответствует ли открытый ключ в обновлении хэшу, сохраненному на платформе.
Капсулы — это средство, с помощью которого операционная система может передавать данные в среду UEFI во время перезагрузки. Windows вызывает UEFI упдатекапсуле () для доставки обновлений встроенного по системы и пк. во время загрузки до вызова екситбутсервицес () Windows передает все новые обновления встроенного по, обнаруженные в хранилище драйверов Windows, в упдатекапсуле (). Встроенное по UEFI может использовать этот процесс для обновления встроенного по системы и ПК. используя эту Windows поддержки встроенного по, изготовитель оборудования может использовать один и тот же общий формат и процесс обновления встроенного по для системы и пк. Чтобы обеспечить поддержку UEFI Упдатекапсуле () для Windows, встроенное по должно реализовывать таблицу ACPI ЕСРТ.
дополнительные сведения о реализации поддержки для платформы обновления встроенного по Windows uefi см. в следующей документации: Windows платформа обновления встроенного по uefi.
Обновленные капсулы могут находиться в памяти или на диске. Windows поддерживает обновления памяти.
1.3.6.1 капсула (капсула-в памяти)
Ниже приведена последовательность событий для работы с обновленной капсулой в памяти.
Капсула помещается в память приложением в операционной системе.
Для события почтового ящика задано уведомление BIOS о состоянии ожидания обновления
КОМПЬЮТЕР перезагружается, проверяется изображение капсулы и обновление выполняется BIOS.
Рабочий процесс 1.3.7 типичного обновления встроенного по
Скачайте и установите драйвер встроенного по.
Загрузчик ОС обнаруживает и проверяет встроенное по.
Загрузчик ОС передает двоичный BLOB-объект в UEFI.
UEFI выполняет обновление встроенного по (этот процесс принадлежит поставщику Silicon).
Обнаружение загрузчика ОС успешно завершено.
Загрузка ОС завершается.
Базы данных сигнатур 1,4 (DB и DBX)
1.4.1 допустимая база данных сигнатур (DB)
Содержимое файла » _ _ база данных защиты образа EFI» _ управляет тем, какие образы являются доверенными при проверке загруженных образов. База данных может содержать несколько сертификатов, ключей и хэшей для обнаружения разрешенных образов.
на компьютерах, не являющихся Windows RTными, изготовитель оборудования может также иметь дополнительные элементы в базе данных, чтобы разрешить другим операционным системам или драйверам UEFI, утвержденным изготовителем оборудования или приложениям, но эти образы не должны нарушать безопасность компьютера каким-либо образом.
1.4.2 дбдефаулт. поставщик платформы может предоставить набор записей по умолчанию для базы данных сигнатур в переменной дбдефаулт. Дополнительные сведения см. в разделе 27.5.3 в спецификации UEFI.
1.4.3 запрещенная база данных сигнатур (DBX)
1.4.4 дбксдефаулт. поставщик платформы может предоставить набор записей по умолчанию для базы данных сигнатур в переменной дбксдефаулт. Дополнительные сведения см. в разделе 27.5.3 в спецификации UEFI.
1,5 ключи, необходимые для безопасной загрузки на всех компьютерах
PK – 1. Необходимо использовать RSA 2048 или более надежный.