FAQ: Letiltható-e a felhasználó által a Secure Boot a Windows 8-minősítéssel rendelkező gépeken?

Titkosítás, biztonság, privát szféra

Ahogy egyre több Windows 8-minősítéssel rendelkező gép kerül forgalomba, úgy merül fel a kérdés egyre többször: "Ha akarom, letilthatom firmware-ből a Secure Boot funkciót?". Nézzük, hogy mit ír elő a kérdésben a Windows Hardware Certification Requirements for Windows 8 Client and Server Certified Systems dokumentum a rendszerépítők számára ahhoz, hogy az általuk épített gép a "Windows Hardware Certification Program"-ban (korábbi nevén Windows Logo program) megkaphassa a Windows 8-minősítést. Főbb ökölszabályok:

System.Fundamentals.Firmware.UEFISecureBoot

Title: All client systems must support UEFI Secure boot

Ezen nincs mit magyarázni. Nincs mese, az a kliens vas, amely Windows 8-minősítést akar, annak muszáj támogatnia a Secure Boot-ot.

Applicable OS Versions

  • Windows 8 (x86)
  • Windows 8 (x64)
  • Windows RT
  • Windows Server 2012

Mely operációs rendszerekre alkalmazandók a leírtak.

2. Mandatory. Secure Boot must ship enabled

Kötelező. A Secure Boot-nak bekapcsolt állapotban kell lennie.

Note II: Windows Server systems may ship with Secure Boot disabled,

Megjegyzés II: A Windows Server rendszerek érkezhetnek kikapcsolt Secure Boot-tal,

18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

Kötelező. Secure Boot engedélyezés/letiltás. ARM rendszerek kivételével előírás, hogy legyen lehetőség a Secure Boot firmware-en keresztüli letiltására. A fizikailag jelen levő (gyk. gép előtt ülő, álló stb.) felhasználó számára lehetővé kell tenni a Secure Boot firmware-en keresztüli letiltását anélkül, hogy a felhasználónak birtokában kellene lennie a "PKpriv"-nek. Windows Server esetén távoltól is letiltható lehet a Secure Boot (lehetőleg nyilvános kulcsra épülő) erős autentikációt használó távmenedzsment kapcsolaton, eszközön - menedzsment kártya, menedzsment processzor - keresztül. A Secure Boot letiltását ARM rendszeren nem szabad lehetővé tenni.

Az idevágó szabályozás 30 pontból áll. Itt csak a fontosabb pontok kerültek felsorolásra. A teljes és pontos követelménylista megtalálható itt.

( zoli78 | 2013. 01. 02., sze – 09:53 )

Milyen alapon különböztetik meg az ARM rendszereket? Ott miért tilos az, hogy le lehessen tiltani? Szerintem ez egy olyan dolog, amit nem a m$-nak kellene előírnia, hanem a felhasználási területtől függően vagy az eszközgyártónak vagy a vásárlónak.

Milyen windows tablet? :D Inkabb dolgoznanak rajta hogy androidos tabletre tudj rakni, aztan gyozzenek meg rola hogy az nekem miert lesz jo. Lehet nem veszik eszre hogy egyre kevesebb teruleten ok azok, akik diktalnak ;)

-------------------------------
"A gorog katolikus noknek 8 dioptria alatt nem kotelezo a bajusz!" avagy "Nozni csak muholddal lehet..." | http://lazly.hu

Volt arról is valami hír, hogy az EU azon dolgozik, hogy jogilag kötelezni fogja a kikapcsolhatóvá tételt és hogy talán még arra is kötelezni fogják a gyártókat, hogy kikapcsolt védelemmel kell értékesíteni (akinek meg fontos, az kapcsolja be magának). Bár lehet nem mindenre emlékszem pontosan.

Az ARM alapú gépeken nem Windows 8, hanem Windows RT fut ami egy sokkal zártabb rendszer. Míg a PC-k "bezárása" nem lenne elfogadható, addig semmi sem tiltja hogy egy új platform eleve zártan érkezzen. Ezért nem is lesz belőle ügy. Ha lehetne, akkor pl. az Apple iOS-t futtató eszközeit, na meg kb. bármilyen beágyazott rendszert is lehetne ezzel támadni.

Úgy is mondhatjuk, hogy PC-nél számítógépet veszel és hozzá szoftvert, míg a többi platformon a kettő összetartozik és együtt alkotják az eszközt. Egyiket sem lehet elválasztani a másiktól.

Továbbá érdemes megjegyezni, hogy ez egy biztonsági funkció. PC-n valószínűleg soha sem éri majd el a célját, de az ARM platformon sok fejfájástól kímélheti meg a normál felhasználót.

Feltételezem a tiltás arra vonatkozik, hogy HA secure boot-os a gép, mert valami Microsoft cuccot akarsz futtatni rajta, akkor ne lehessen kikapcsolni, de az ugyanakkor nem kötelező, hogy secure boot-os legyen az alaplap (logikusan). Így majd lesz kétfajta alaplap, az egyik SB-s, a másik meg nem. De akár felpakolhatnak a weboldalukra két BIOS-t, az egyik SB-t tud, a másik meg nem. Példának okáért volt egy Fujitsu-Siemens alaplapom, amelyikhez lehetett Linux vagy Windows rendszerhez BIOS-t letölteni. Lehet mondjuk a Windows-osban volt SLIC, a Linuxban nem.

"Belépés díjtalan, kilépés bizonytalan."

( mauzi v | 2013. 01. 02., sze – 11:29 )

Engem nagyon izgat még az a kérdéskör, hogy meddig lesz még lehetőség az új gépeken hagyományos, BIOS/MBR alapú bootolásra...

(Mert az oké, hogy a korszerű Windows-ok, és Linux-ok képesek lesznek már UEFI boot partícióról bootolni, de van csillió olyan multi-bootos rendszerünk, ami hagyományos boot managert és loadert használ. Ezeket nulláról, újra ki kell találni, ha az UEFI bootot be akarjuk vezetni. Azt meg lehetőség szerint akkor találnánk ki, amikor a gépek 100%-a támogatja már az UEFI boot-ot)

( sh4d0w808 | 2013. 01. 02., sze – 12:08 )

"...Note II: Windows Server systems may ship with Secure Boot disabled..."

Tehát mégsem a security a fő szempont, hanem a warezwindóz elleni harc.

-------------------------
Trust is a weakness...

ja ja, mar a telepito is valami varez edition, mondtam mar, hogy ezentul mindenki azt futtat majd okosban ?
de lehet atvertek, es megse 2k12 :D)

ui: utananeztem, csempesnek tunik, kezdem sajnalni a windows adminokat, de majd ugyis mindjart megcafolnak, hogy az ugy jo, mert az isten ms ugy akarta, tehat kiralysag.

Mi van akkor, ha windows nélkül vennék masinát? Akkor is nézegetnem kell ezt a secureboot baromságot?
Lefogadom hogy gyökeres Magyar a tanácsadójuk, ha ilyen módon "akarnak" piacot megtartani.
Teszem azt vásárolnék új lapot/masinát, de le nem szarom a win8ready dolgokat, mert nem azt szánom rá, akkor nekem plusz köröket kell futkozni, hogy milyen lapot is vegyek?
Eleddig ha kellett új alaplap, akkor a tapasztalatoknak megfelelően választottam márkát, azon belül pedig funkció(k)nak megfelelő típust. Ezek szerint nemsokára át kell nyálazni minden lap dokuját, hogy melyiknél van akadékba a secureboot, és melyiknél lehet kikapcsolni/netán nem is raknak hozzá?

Jelenlegi formájában -amit itt olvastam róla- szarnak találom, ha pl a multiboot lehetőségeket nézem. Ha csak windows kerülne az új masinára, akkor sem elfogadható, legfeljebb eltűrhető eszköznek titulálnám.
Szerintem -szándékosan- átestek a ló túloldalára, ennyi erővel fizettethetnének éves liszenszeket a jelenlegi "örök" helyett, ha már egyszer fokozzuk a hülyeséget.
Megnézném, mi történne velük ha a PC gyártók kezdenének el mutatni új irányvonalat a hardverek terén, amolyan "figyelj komám, 640kB konvencionális memória 20 éve nem elég senkinek sem" szerű üzenetekkel megtűzdelve.

Idéznék a papírkutyákból: "szeretem a nevetést, a tréfát, a viccet, de most qrvára nem ez a szituáció..."

--
compaq n610c
"...és micsoda zajt csapott!"

"Mi van akkor, ha windows nélkül vennék masinát?"
Semmi vehetsz ezután is.Max kapsz secureboot opciót ha támogatja oprendszered.

"Akkor is nézegetnem kell ezt a secureboot baromságot?"
Ha biztonság tudatosságra gyúrsz akkor feltétlen.

"Teszem azt vásárolnék új lapot/masinát, de le nem szarom a win8ready dolgokat, mert nem azt szánom rá, akkor nekem plusz köröket kell futkozni, hogy milyen lapot is vegyek?"
Nem kell mivel kikapcsolható maga funkció biosba.

Én meg neked írtam mivel ezeket én láttam ujabb win8-readys gépbe.Tehát úgy írtam mondandóm.
Ha nem win8 readys akkor vagy régi MBR/UEFI vel jön amiben biztos hogy így vagy úgy kikapcsolható.
Tudomásom szerint ha UEFI firmware nem támogadja secure boot opciót akkor nem is fogja használni.
Azt tesz rá ami jólesik.
Nem kell lázadni ellene.:)

Amennyiben ez abban akadályoz hogy megkapd secure boot támogatást abban az esetben küldesz egy levelet supportnak.Aki maximum elküld francba.(Ugye mivel nem írtad hogy mikori készülék win8 ready e stb)Ha meg nem kell secure boot akkor nincs min rugózni.(Ez nem tudom miért tartozik ide én meg irjak AMDnek hogy miért szüntette meg a Ati 1950-es kártyák driver supportját 10.12 catalist től?)

Atallas? Milyen atallas? Uj hardverekrol beszelunk, megvan? Ha SB-keptelen OS-t akar felrakni, o is pont ugyanugy ki tudja kapcsolni, mint a warezwindows-t hasznalok. Ez igy ebben a formaban nem indokolja, hogy a szerver gepeken kikapcsolt SB legyen.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Kedves Trey!

Tovabbra sem vagy gondolatolvaso, igy szerintem nem kene - hibasan - megvalaszolnod a nekem feltett kerdeseket.
Konkretan arra gondoltam, hogy a gyartoknak lehetnek olyan szoftvereszkozeik (diagnosztikai/frissito lemez peldaul) ami meg keptelem secure boot-tal indulni. Ilyen esetben erdemes lehet eleve kikapcsolni a secure boot-ot, hogy elkeruljek a rengeteg hivast es hibabejelentest.

Fogalmam sincs, hogy mi az oka, találgatni sem akarok. De ha az, hogy a rendszergazdákat segítsék, mert azok nem jönnének rá a megoldásra, miközben a desktop gépeken ott a lehetőség kötelezően, hogy a felhasználó megtalálja, de bekapcsolva szállítják, az megnevettet. Végül is te másodjára is ezt állítottad, csak nem követlenül, hanem közvetetten.

--
trey @ gépház

Igen, nekem is ez az alapveto problemam az indoklasaval. A "nem tudom" ilyenkor jobb valasz, legalabbis annal, hogy kepzett adminokat nezunk totalisan zoldfulunek, mindenkeppen. Felreertes ne essek: vannak olyan hulyek, akiknek ez tenyleg problemat okoz (BIOS-ban beallitani valamit), de az ilyet normalis ceg nem is veszi fel rendszergazdanak, legfeljebb ilyen loti-futi emberkenek.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( W3ber | 2013. 01. 04., p – 10:13 )

Secure boot kikapcsolása hogy érinti garanciát,windows licencet?Egyálltalán kérdez vagy figyelmeztet kikapcsolásnál?
pl Adott gép win8-al vásárolva.Clonezilla val lekap diszket.Majd secureboot kikapcs.Format,linux felrak.

Mivel a SecureBoot nem Windows fuggo, hanem hardver fuggo, igy en azt gondolom, ebbe a Microsoft licenceinek vajmi keves beleszolasa van. Legfeljebb azt mondhatjak ki, hogy az adott Windows verzio csak bekapcsolt SB mellett tamogatott - ha a gep kepes ra -, de a licencet nem invalidalhatjak, ha kikapcsolt SB mellett hasznalod a gepet, tekintve, hogy a Win8 meg a SB-keptelen gepeken is tamogatott. Es a legtobb licencet nem konkret gephez veszed, legfeljebb csak egy darab gepen hasznalhatod - de a ketto nem ugyanaz.

Itt inkabb a hardvergyarto supportja lesz az erdekes. De az altalaban mindig az.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal