A gépe(i)men a Secure Boot ...

Titkosítás, biztonság, privát szféra

Secure Boot szerepe: az operációs rendszer indítási folyamatának védelme azáltal, hogy csak hitelesített, aláírt bootloadereket és kernelkomponenseket enged lefuttatni a firmware (UEFI) induláskor. A megoldásnak vannak előnyei és hátrányai is. 

Ha több géped van, akkor a többsége szerint válassz opciót.

( Caro | 2025. 07. 07., h – 13:46 )

Eddig abban a hitben éltem, hogy a windows 11 igényli a secure boot-ot.

Tévedtem. A windows 11 igényli, hogy a gép képes legyen secure boot-ra, de azt nem igényli hogy be is legyen kapcsolva.

:facepalm:

Én ezt máshogy tudtam, de ezek szerint rosszul. Megesküdtem volna, hogy ha a Win11 telepítő szól, ha nincs bekapcsolva, és nem enged tovább.

Egyébként meg nem, az én gépeimen nincs bekapcsolva. Ez egy olyan rendszeren lenne fontos, mint a Windows, ami biztonsági lyukakkal teli, és mászik fel rá a sok random weboldalról telepítgetett zárt forráskódú szemét. Egy valóban szabályosan használt, ellenőrzött tárolókban, aláírt csomagokkal dolgozó, FLOSS megoldásokat telepítő disztrónál nem ad hozzá semmit, csak az életet bonyolítja meg. Igen, be lehet kapcsolni, egyfajta extrém paranoiát meg céges biztonsági megfelelési mantrát kivált, de felesleges. 11 éve linuxozok fő rendszerként, de a különböző disztrókat már előtte is telepítgettem, használgattam, teszteltem, célfeladatokra, tanulási célzattal, és egyszer sem futottam bele kártevőbe, vírusba, rootkit-be, ransomware-be. Pedig a sok biztonsági szagértő már 10 éve is nyomta ilyen pcforum.hu meg milyen oldalakon, hogy Linuxra van vírus, de nem sikerült vele találkozni, akinek igen, köszönjön a virnyákoknak a nevemben is.

Még azt is leszögezném, hogy láttam Linuxra vírust, de az mindig két esetkört ölelt fel:
1) fogalmatlan idióták telepítgettek root joggal, random weboldalakról, meg ellenőrizetlen 3rd party tárolókból, meg wget/curl URL | (ba)sh kezdetű orosz rulettes módszerrel, meg illesztgettek be Stackoverflow-ról meg Unix/Linux Stackexchange-ről olyan random parancsokat, amikről fogalmuk se volt, hogy mit csinál
2) vagy valami ősi, 10 éve lejárt támogatási idejű, frissítetlen rendszer volt (router, NAS, stb.), vagy amit a gazdája lustaságból cseszett frissíteni, vagy mert lex4rta, vagy if it's not broken don't fix it mentén bemagyarázta magának, hogy felesleges, és az ilyen rendszerek valóban bedőltek heartbleed-kor, meg nagyobb ransomware hullámoknál.

Szóval az én gépeimen nincs secure boot, se shim, se GRUB, se SELinux, se Apparmour, se tűzfal (jó, ez technikailag van, de nincs benne szűrési szabály beállítva), se vírusirtó. Ezen túlmenően se OOMkiller, se sok más RH-es, gnome/freedesktopos-os, se waylandes/portálos, se Flatpak/Snap, stb. szutyok nem fut, nem törik el, nem futok bele bugos update-be. Persze van, amit nem tudok elkerülni sajnos, systemd, Pipewire, Wireplumber, dbus, a böngészők miatt Gtk3, esetleges legacy program és scriptek miatt a sudo (egyébként szanálnám, mert doas-t használok helyette).

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Megesküdtem volna, hogy ha a Win11 telepítő szól, ha nincs bekapcsolva, és nem enged tovább.

Én is ezt gondoltam. Meg azt is gondoltam, hogy ezt linux alatt is bekapcsolják az emberek (a nagy részük, de ezek szerint nem). Én meg linux alatt is szívatom magam vele, pl az nvidia driver frissítésekkel. TPM-et is használok a LUKS kulcshoz, így ha valaki kikapcsolná a secure bootot, akkor jelszót is kérne a rendszer a feloldáshoz.

Igazából "kér", csak nem tőlem. Megértésem szerint a TPM a PCR regisztereket használja a kulcs kiadásához, ami alapján eldönti, hogy megbízható-e a rendszer. Ha bármelyik változik, akkor nem fogja a kulcsot kiadni. Pl.: kikapcsolja valaki a secure boot-ot. Vagy másik kernellel vagy initramfs-sel bootol.  A TPM-et ezekhez a pcr értékekhez kötheted, pl.: PCR0 BIOS, PCR2 bootloader, PCR4 kernel, PCR7 secure boot státusz, stb...

Emellett van lehetőség pinkód, vagy független kulcs hozzáadására is, de én itthon ezt nem szeretném, ezt így elég biztonságosnak ítélem meg (és kényelmesnek). Egy laptopon lehet hogy fontosabb lenne.

Ha ezzel megvagy, akkor meg mindig ott a login prompt.

Cost / gain aranya mar tul magas a modszernek. Ennyit nem er meg egy privat laptop feltorese szerintem. Megszerzik az asszony meztelen kepeit es par, azota mar reg letiltott hitelkartya adatait. Szerintem inkabb egy gyors diszk csere es mehet fel a hardveraprora.

Ez elég bonyolultnak hangzik, áttenni a RAM-ot egy másik gépbe, hogy az ne inicializálódjon, törlődjön.

És persze kell ott valami kulcs, amivel a titkosítás történik, de ez biztos nem a jelszó (alapelv, hogy csak addig tartják a memóriában, amíg kell), amit a betörő egy tool-lal közvetlen tud használni, hanem egyéb kriptográfiai kulcsok, amit a LUKS használ már belül.

Ez elég bonyolult ahhoz, hogy egy "betörő" ne betörésből éljen, ha ehhez is ért, hogy megtaláljon valamit így, és fel is tudjon vele oldani egy titkosított lemezt. :)

De ezt a cold boot attack-ot, amit írtál, írja is az arch wiki, hogy legyen tudatában mindenki, aki TPM-et használ: https://wiki.archlinux.org/title/Trusted_Platform_Module  https://en.wikipedia.org/wiki/Cold_boot_attack

> lefújod a DRAM-ot fagyasztó sprével, kiveszed, átteszed egy másik gépbe, és kiolvasod a tartalmát

ez amugy a gyakorlatban mennyire mukodik? olvastam en is 10+ eve errol, gondolom az akkori (lassabb) memoriakkal esetleg bizonyos csillagallas es nagyon de nagyon sok folyekony nitrogen mellett talan sikerult igy par bitet kiolvasni, de kotve hiszem hogy ettol valoban tartani kene...   ha ez tenyleg valos problema lenne akkor mar reg lenne hardveres memoria titkositas is :)

ha ez tenyleg valos problema lenne akkor mar reg lenne hardveres memoria titkositas is :)

Már lehet, hogy pont ezért írtad, mert van is. :) https://www.intel.com/content/www/us/en/architecture-and-technology/vpr…

Csak ez nem érhető el minden alaplappal, meg cpu-val.

Intel TME was developed to provide greater protection for system memory against hardware attacks, such as removing and reading the dual in-line memory module (DIMM) after spraying it with liquid gases (cold boot attack) or installing purpose-built attack hardware.

https://www.amd.com/content/dam/amd/en/documents/epyc-business-docs/whi…

Igen, javasolja is minden leírás a PIN kódot pluszban. Az nekem sem tetszik, hogy a login promptig eljutnak normál esetben. Van még yubikey-em is, csak szerintem benne hagynám a gépben véletlen. :) 

De otthonra ezt így jónak gondoltam a desktop gépemre, nem akartam két jelszót beírni. Az lehet egy valós veszély, hogy egy betörő elviszi a gépet, de legalább nem tud majd belépni, vagy adatot leszedni a lemezről.

Laptopon, amit hurcibálok, vagy céges gépen mindenképp indokolt a PIN kód is pluszban.

Leírnád pár mondatban, hogy ez hogy működik? Adott egy laptop, rajta TPM-backed Bitlocker/LUKS titkosítás. Valahogy hozzád kerül a laptop. Hogy szeded ki belőle a nagyontitkos.docx-et? Pár bulletpoint elég lesz, nem kell pontos implementáció.

Végül is nem baj, mert egy extra védelmi réteg, a mentő még senkit nem vitt el, aki használja, de mint írtam, sok előnyt nem fogsz belőle látni egy tisztességes Linux rendszeren.

Egyébként vegyes. Sok linuxos használ Secure Bootot, de ők jellemzően nem bekapcsolták, hanem elfelejtették kikapcsolni, úgy jött a gép Windowszal, hogy be volt kapcsolva a SB, majd így telepítették a Linuxot is. A linuxosoknak egy másik, szintén jelentős tábora meg kikapcsolta, mert az ő disztrójukhoz nem volt olyan kulcs, amit a SB elfogatott volna, vagy nem akartak saját aláírással szórakozni.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

sok előnyt nem fogsz belőle látni egy tisztességes Linux rendszeren.

Itt írtam pár példát, én úgy érzem, hogy alap beállítás: https://hup.hu/comment/3202356#comment-3202356 - szerintem enélkül nem biztonságos egy gép. (jó kiegészítő védelem)

De az ellen minden porcikám tiltakozik, hogy a PC-ken a Microsoft a kapuőr. (Ismerjük, hogy minden a "Te érdekedben" van, nekik meg véletlen pont jól jön majd...) Te írtad:

kiváltanák egy olyan megoldással, amit az összes szereplő együtt szabványosít

Ez lenne szerintem is jó, meg ha valami külön szervezet/csoport intézné ezt.

Kis distrok: ahol nem írják alá alapból a komponenseket, ott szerintem legalább egy alapos leírás kellene, hogy hogyan kell kézzel megoldani (mert elvileg nem egy bonyolult dolog).

> Egy valóban szabályosan használt, ellenőrzött tárolókban, aláírt csomagokkal dolgozó, FLOSS megoldásokat telepítő disztrónál nem ad hozzá semmit

Ezt a JavaScript fejlesztők is a nehezebbik úton tanulták meg, hogy fasság.

A Linux se kevésbé sérülékeny, mint a Windows, csak máshogy kell azokat a sérülékenységeket kihasználni. De ugyanúgy vannak random internetről letöltött programok, amik károak lehetnek, ugyanúgy vannak sérülékenységek, a Linux semmivel se biztonságosabb, mint a Windows, legfeljebb kevesebben használják. ezért kevésbé target.

Mondom ezt úgy, hogy nálam sincs bekapcsolva a SecureBoot, mert volt már pár szívásom vele, ami nagyon sok időt elvitt tőlem, de nem ringatom magam abba a tévhitbe, hogy ez így jó. Tudom, hogy ezzel kockázatot vállalok, és arra fogadok egy TippMixben, hogy nem lesz semmi gond, mert SZERINTEM mindent megteszek ellene. De ettől NEM lesz az alattam levő oprendszer biztonságos vagy jó. Én se értek mindenhez, elsiklik a tekintetem dolgok felett-mellett, néha kipróbálok enyhén shady dolgokat is a gépemen. Mondjuk, eddig nem volt gond.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Szerintem: Nem tudod a fenyegetések számát, mert éppen az a lényege, hogy a még nem ismertek ellen is véd. Az amik meg ismertek most is, az éppen elég meggyőző.

Nélküle valószínűleg több ilyen lenne, és pont olyan részt véd (még az OS indulása előtt), ahol a teljes rendszer fölött lehet "uralmat" szerezni.

A szívás része szerintem meg inkább félreértésekből adódhat, vagy rossz támogatásból (kisebb distrók).

Ahol van támogatás, főleg ha minden automatikusan működik (Windows, vagy nagyobb distrók, Ubuntu, Debian, Suse, Arch, Fedora), tehát nincs vele plusz feladat, ott kifejezetten felesleges lenne szerintem kikapcsolni.

Nem, semmit sem véd.

A user hülyeségből bekövetkező fenyegetésből van messze a legtöbb. De tegyük fel, hogy az tudatos használattal kivédhető.

A következő akkor az, hogy rosszindulatú kód kerül a gépre. A secure boot ezt nem akadályozza meg, semmilyen módon. Hogy onnan ez a kód mit tesz, azt sem tudja a secure boot gátolni.

Talán a kernelbe olyan könnyen nem tudja magát beenni, de semmilyen exploit ellen nem fog védeni, nem fogja a rosszindulatú kód jogosultságszerzését megakadályozni.

 

szerk: minden tudás forrását megkérdezve:

❌ Secure Boot does NOT help:

Threat Secure Boot? Why not
Malware from phishing / malicious websites ❌ No Happens after OS boots
Credential theft (keyloggers, browser) ❌ No Happens in user space
Ransomware / spyware ❌ No Runs at app or kernel level
Privilege escalation (exploiting bugs) ❌ No Secure Boot doesn't harden OS or apps
Remote access trojans ❌ No Secure Boot doesn’t filter network activity
Attacks on browsers, Office, or drivers ❌ No Outside Secure Boot’s scope

❌ Secure Boot does NOT help:

Threat Secure Boot? Why not
Malware from phishing / malicious websites ❌ No Happens after OS boots
Credential theft (keyloggers, browser) ❌ No Happens in user space
Ransomware / spyware ❌ No Runs at app or kernel level
Privilege escalation (exploiting bugs) ❌ No Secure Boot doesn't harden OS or apps
Remote access trojans ❌ No Secure Boot doesn’t filter network activity
Attacks on browsers, Office, or drivers ❌ No Outside Secure Boot’s scope

Mert nem ezekre van. (nem kiabálás, csak én is kiemeltem. :))

Ez egy kiegészítő védelem, és ami ellen véd:

  • Megakadályozza a boot környezet megfertőződését: bootkit, rootkit - Bootloader szintű malware-t nem fog elindítani a géped, ha használod.
  • Biztosítja, hogy csak ellenőrzött, aláírt rendszerindító kód fut.
  • Persistent malware-ek ellen véd - amit semmilyen oprendszer újratelepítéssel nem szednél le, így egy átlag user főleg nem - nem is értené mi van.
  • Hasznos védelem kompromitált USB vagy recovery image-ek ellen is.

Pont ez a gond, hogy ez egy félreértett dolog, nem feladata mindent kivédeni, csak egy építőkocka, ez egy réteg a védelemben. Például érdemes a TPM-mel együtt használni. ami észreveszi ha valaki kikapcsolja a secure boot-ot, vagy nem ad ki kulcsokat, ha a boot image vagy a kernel megváltozik (ha jól van beállítva). 

Én örülök neki, hogy a gépem nem indít el akármit, szerintem ez fontos.

Erről beszéltem, hogy félreértések övezik, és ezért nem népszerű. Ráadásul senki "nem vette el" a kontrollt a gépeden, még ki is kapcsolhatod, de nem találkoztam olyan géppel, ami ha támogatja, akkor ez igazából bonyodalmat, vagy tényleges nehézséget okozott volna. Annyi, hogy

  • Alá van írva amit futtatni akarsz, pl kernel
  • Nincs aláírva, de tudod hogy mi az, és Te írod alá + a tanúsítványodat enroll-olod a bios/uefi-be. Tehát szerintem nem bonyolult.

Azzal érvelni, hogy a secure bootnak nincs értelme, mert nem véd meg a malicious website-ok ellen, az kb. olyan, mintha azt mondanád, hogy a számzáras széf semmit nem ér, mert attól még be fognak törni hozzád - miközben a széf célja nem az, hogy megvédje a házat, hanem hogy ne tudjanak könnyen belenyúlni a széfbe, és annak elvinni a tartalmát. 

-

Én nem vagyok egy microsoft párti, szerintem a világ minden pénze nem elég nekik. Az Ő megoldásuk és én is tartok attól, hogy valami ügyeskedésre használják majd. Ezt mondanám a secure boot legnagyobb hibájának. Jobban örülnék, ha valaki független szervezet kezében lennének ezek a kulcsok, de lehet hogy technikai oka van (pl a visszavonási listák gyorsabb kezelése), hogy a microsoft kezeli közvetlen. De eddig szerintem nem éltek vissza semmivel ami a secure boottal kapcsolatos, ezt senki nem mondhatja.

De eddig szerintem nem éltek vissza semmivel ami a secure boottal kapcsolatos, ezt senki nem mondhatja.

A "szerintem" nem túl valós érv, továbbá maga a secure boot bevezetése (az, ahogy bevezették) volt visszaélés, ugyanis a megjelenésekor és még egy ideig a secure boot nem volt kikapcsolható egy csomó gépen, így csak olyan oprendszer volt azokra a gépekre telepíthető, ami ismerte ezt a "módszert", és az bizony csak a Microsoft akkori oprendszere, a Windows 8 volt. Amikor megjelent ARM magos CPU-kra a Windows 8 RT, az azt futtató gépeken a secure boot nem volt kikapcsolható (a gyártók kötelezve voltak erre).

Oké, ezek azok a dolgok, amiket én utálok a microsoft-ban, hogy folyamatosan bepróbálkoznak.

De jelenleg kikapcsolható, ismeri a legtöbb oprendszer is, és nem nekem kell bizonyítani hogy visszaélnek vele, ha tudsz ilyen esetről jelenleg, akkor írd le. A szerintem azt jelentette, hogy én nem tudok ilyenről.

A microsoft meg zseniális abban, hogy csinál egy jó dolgot, amivel utána a "Te érdekedre hivatkozva" megpróbál mellesleg pénzt keresni, vagy további piacot, vagy hatalmat... ezt ismerjük.

De ettől még a secure boot jó dolog. (főleg így, hogy jelenleg bárki használhatja, és nem vagy lezárva sem, és tudomásom szerint ebben a felállásban nem élnek vissza vele). Valós dolgok ellen véd, valós problémát old meg.

De pont ezt próbálom hangsúlyozni: a gép nem indít el akármit. Persze, ez rendben.

Induláskor!

Gyakorlatilag megtaláltuk a boot-vírusok ellenszerét 30 évvel később, amikorra azok már rég irrelevánssá váltak, mert a támadónak nem szükséges a rendszerindító binárisokba belenyúlni, pont ugyanazt a hatást el tudja érni teljesen más módon (hogy az OS tölti be a nem kívánt binárist).

Hány olyan large scale támadást tudtok mondani az elmúlt 10 évből, ami nem érintette a secure boot bekapcsolt gépeket? Én egyetlen egyre sem emlékszem.

Nagyon nem ugyanúgy gondolkodunk:

Szerintem elbagatelizálod ezeket a bootkit-eket.

pont ugyanazt a hatást el tudja érni teljesen más módon (hogy az OS tölti be a nem kívánt binárist)

Nem ugyanazt a hatást éri el, a kettő hatása és veszélyességi szintje ég és föld. A bootkit-eket és firmware támadásokat egyrészt nem hasonlíthatod a 30 éves boot vírusokhoz, mert azoknál lényegesen kifinomultabb dologról van szó. Ezzel oldható meg például az, hogy egy malware a rendszer újrahúzása után is megmaradjon. Már önmagában emiatt van értelme a Secure Boot-nak. Egy malware számára a legfontosabb a perzisztencia, és a láthatatlanság.

Secure boot nélkül ennek a kivédésére tudsz amúgy egy másik megoldást mondani? (ha nem, akkor szerintem nincs értelme megkérdőjelezni a secure boot létjogosultságát)

Egyébként az, hogy nem tudsz bootkit-ekről, az nem azt jelenti, hogy nincsenek. Vannak, és ráadásul célzottabb és elég komoly támadásokról van szó (nem a korai bootvírusokat idézi):

Mint láthatod ezek pont a nagyágyúk, amik mélyen ülnek be az egyes gépekre, ezek ellen véd a Secure Boot. Nem feltétlen a középiskolások írják ezeket a malware-eket, és nem a youtube felhasználókat támadják.

A védelemre meg inkább úgy gondolj, mint egy hagyma héjaira, a secure boot a legelső réteg. Csak egy réteg, de igen fontos amit véd.

Az egy hibás következtetésnek tűnik nekem hogy "a kerítés felesleges, mert egy betörőt úgysem állít meg". Mint ahogy az is annak tűnik, hogy Te nem tudsz rá példát, ezért egy probléma nem számottevő. Vagy az, hogy később is el lehet indítani kártékony kódot, szerintem ez egy "irreleváns konklúzió".

Ezt a 8 éves procis gépre felmegy részhez tudnál linket adni? Mert a Secure Boot-nál is már kétkedtem, hogy igazad van, de ott elismertem, hogy én emlékezhetek rosszul, mert nem vagyok Windows guru, sok éve nem használom, de abban biztos vagyok, hogy a procikövetelményeken NEM lazítottak.

Valamit félreolvastál, vagy híreket félreértelmeztél. Valóban volt pár hónapja egy kínos égése a MS-nak, hogy a hivatalos blogba kitették azokat a már ismert, nem hivatalos terminál é registry hack-eket, hogy hogyan lehet felküzdeni nem támogatott gépekre a Win11-et, ami továbbra sem támogatott hivatalosan. Akkora botrány lett belőle, hogy végül ki is szedték a hivatalos blogból. Semmilyen hardverigényt nem gyengítettek.

Felesleges ebben reménykedni, hogy a MS megtörik, és elengedi a megemelt követelményeket. Csak három előrelépés van, ami enyhülésnek érződik, de nem amnesztia:
1) meghosszabították azt az időszakot, ami alatt a Win10 felhasználók ingyen frissíthetnek Win11-re, de a hardverkövetelményeken nem lazítottak
2) ha a Win10 felhasználó hajlandó az adatait online MS fiókkal farmoltatni, akkor megkapja az első évi ESU-t ingyen
3) a Windows 11 megjelenésekor volt a követelmény 4 éves proci. Ahhoz képest eltelt a 4 év, a mára 8 éves procik lementek árban, majd az 1 év ESU végére már 9 évesek lesznek, illetve a TPM képes gépek száma is nőtt, ez kicsit megkönnyíti a gépcserét, nem annyira durva, költséges most váltani, mint 4 éve, mikor még drágábbak, újabbak voltak ezek, és a covid lezárások miatt hiány, drágulás is volt akkoriban még, azóta normalizálódtak az árak.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Ezt a 8 éves procis gépre felmegy részhez tudnál linket adni?

Nem linket tudok adni, hanem akár videót is. Erre a laptopomra telepítettem csont nélkül:

https://hup.hu/treyblog/20160223/notebookcsere_projekt_lenovo_thinkpad_…

Bocs, hogy nem 8 éves, hanem 9! 

:D

Mert a Secure Boot-nál is már kétkedtem, hogy igazad van,

Bazmeg, nem tudom mi van ma, front vagy mi, de ma csak okostojásokkal találkoztam a HUP-on.  Valami van a levegőben! 

hogy a procikövetelményeken NEM lazítottak.

HAHAHA. Akkor biztos, hogy álmodtam! Akarsz képet vagy videót? 

Valamit félreolvastál, vagy híreket félreértelmeztél.

Sőt, félreálmodtam, nem? Amikor feltettem rá :D

Akkora botrány lett belőle, hogy végül ki is szedték a hivatalos blogból. Semmilyen hardverigényt nem gyengítettek.

Jól van! Raynes! :D 

trey @ gépház

Továbbra is nehezen hiszem, amit írsz. Az i5-5200U nem támogatott. Esetleg azt tudom elképzelni, hogy beleestél ezzel a géppel abba a furcsa szórásba, hogy néhány régi procit a MS elfelejtett feketelistára tenni. A telepítő ugyanis megnézi, hogy milyen procid van, de ezt nem a támogatott procik listájával veti össze, hanem a feketelistázottak listáján keresi, és néha nem találja, mert elfelejtették hozzáadni. Ezért volt, hogy a Win11 megjelenése idején emberek feltették PentiumD-s gépekre, mert az sem volt akkor feketelistázva.

Elismerem, hogy lusta vagyok, de a kedvedért nem fogok most régi gépet előtúrni, több gigás Win11 lemezképet lehúzni, csak azért, hogy megnézzük kinek van igaza. Azért írtam, hogy a Secure Boot hiányát, még ha nehezen is, de elhinném, de azt, hogy te nem támogatott procira simán, hack nélkül felraktad, az elég hihetetlennek tűnik.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Továbbra is nehezen hiszem, amit írsz. Az i5-5200U nem támogatott.

Semmi baj Rayni! Már renderelődik a videó, mindjárt kész! Győrben jársz, keress meg, együtt felhúzzuk rá, hozz egy pendrive-ot, az ISO-t grátisz megkapod, hazaviheted! :D

Esetleg azt tudom elképzelni, hogy beleestél ezzel a géppel abba a furcsa szórásba, hogy néhány régi procit a MS elfelejtett feketelistára tenni.

Már puhítja! :D

A telepítő ugyanis megnézi, hogy milyen procid van, de ezt nem a támogatott procik listájával veti össze, hanem a feketelistázottak listáján keresi, és néha nem találja, mert elfelejtették hozzáadni. Ezért volt, hogy a Win11 megjelenése idején emberek feltették PentiumD-s gépekre, mert az sem volt akkor feketelistázva.

Ühüm. :D

Elismerem, hogy lusta vagyok, de a kedvedért nem fogok most régi gépet előtúrni, több gigás Win11 lemezképet lehúzni, csak azért, hogy megnézzük kinek van igaza.

Báttya? Az én kedvemért? LOL. A te kedvedért kellene megnézned, mert nekem #worksforme.

Azért írtam, hogy a Secure Boot hiányát, még ha nehezen is, de elhinném, 

Nem a hiányáról beszéltünk, hanem a KIKAPCSOLT állapotáról. 

hogy te nem támogatott procira simán, hack nélkül felraktad, az elég hihetetlennek tűnik.

Ja, hogy most már van hack :D

trey @ gépház

Na, Raynes? Semmi? Pedig a videó két kérdésedre is válaszol:

  • felmegy-e a Win 11 egy 9 éves gépre (igen)
  • Secure Boot OFF mellett felmegy-e (igen)

Sőt, azt is megoszthatom, hogy egész jó sebességgel fut. Még úgy is, hogy ebben a gépben nem SSD, csak HDD van jelenleg. 🤷‍♂️

trey @ gépház

Hidd el, nem értetlenkedek, meg kötözködök, de ezt, amit ide beraktál, nem bizonyít semmit, én még azt se látom benne, hogy a secure boot ki van kapcsolva. Én sehol nem írtam, hogy nem lehet erre a gépre feltenni a Win11. Itt arról volt szó, hogy hivatalosan nem lehet, ha a gyári telepítőt a USB Media Creation Tool-lal írod ki, hivatalos formában, és úgy telepíted, akkor nem engedi. Ha
1) Rufus-szal írod ki a telepítőt, és a default bekapcsolja a hivatalos követelményeket kijátszó hack-eket már a telepítőben
2) vagy a telepítőben te üzemeled be a terminált és ott adod ki a registry-okosításokat, akkor felmegy, de még akkor is megfenyeget a telepítő az utolsó lépésben, hogy a hardvereden a Win11 nem támogatott, a jövőben nem lehetnek rá frissítések, ennek tudatában folytasd a telepítést. Tovább enged ilyenkor, a hack miatt, de érezteti veled, hogy bizonyos női felmenőidet ettől a ponttól fogva Redmondban nem tisztelik.

Nagyon az az érzésem, hogy a fut != támogatott kitételek között nem tudsz különbséget tenni. Igen, hack-ekkel bármelyik gépre fel lehet tenni, ahol a minimális utasításkészletek jelen vannak, bootol, fut. Ezt nem is írtam, hogy nem lehet. Végig arról beszélek, hogy HIVATALOSAN nem támogatott se i5-5200U, se a kikapcsolt Secure Boot, annak ellenére, hogy te meg ezt akarod itt mindenkivel elhitetni. Elbeszélünk egymás mellett.

Azt is elég nehezen hiszem, hogy HDD-ről egész jó sebességgel fut. Már a Win8, 8.1, 10 sem futott jól HDD-ről, ez a Win11 még bloatabb. Mindenképp szánj egy SSD-re, tényleg ma már a kisebbek pendrive meg SD kártya árában fagyipénzért elérhetők, ne szivasd magad HDD-vel. Még a Linux is meghálálja, annak ellenére, hogy az még adott esetben tényleg kulturáltabban elfut HDD-ről is. Főleg neked, anyagilag jó tartalékokkal rendelkező névjegykártyás-rolexes üzletembernek ne legyen már ennyi befektetés gond, ezt még én az én csóró hátteremmel is kigazdálkodom. Egyszerűen objektíve meghálálja magát sebességben, felhasználói élményben.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Milyen hekkelésről beszélsz?

Rufus-t nem használok. Azt nem tudom mit művel a telepítővel.

Ventoy-al indítva a hivatalos ISO-t tökéletesen működik.

A Microsoft oldaláról letöltött Media Creation Tool-lal is csináltam egy telepítőt. Azzal is simán feltelepítettem kikapcsolt Secure Boot mellett, egy 7200U-val szerelt régebbi HP laptopra.

Ez nem annyira kukaszökevény. Le akarták adni elektronikai hulladéknak: egy HP notebook, i5-7200U, 8GB RAM, 256 GB SSD. Simán feltelepítettem a Microsoft oldaláról letölthető ISO fájl segítségével a Windows 11-et.

Torrent és NFS szerver lesz a későbbiekben, egy Raspberry 2-t fog váltani.

Nagyon-nagyon szomorú az a világ, ahol a procinak valami azonosítószáma alapján döntünk el kompatibilitást, és nem mérjük fel mondjuk a képességét. 

Szerintem te beleesel abba a hibába, hogy ismersz 3 megoldást arra, hogy hogyan ismerj fel egy processzort, hogy jó vagy rossz, és eszedbe nem jut, hogy az MS-nél a programozók ismernek még 15-öt, és történetesen az a proci, amit Trey használt, átment a telepítő rostáján, mert az nem vagy nem kizárólag egy fekete-fehér lista alapján szűr, hanem megnézi az adott hardver képességeit is (nem olyan nehéz ám ez, ingyenes alkalmazások tudják ezt!) és dönt a telepítés lehetőségéről. Aztán az aktiválás egy másik kérdés, szintén egy érdekes példány, de másik kérdés.

Arról nem beszélve, hogy neked, a HUP önjelölt MS szakértőjének kellene a legjobban tudnod, hogy az, hogy valami nem támogatott, és az, hogy valami tiltott, az MS-nél két teljesen különböző dolog, ahogy minden  más szoftvergyártónál is az. Az, hogy nem támogatott, pusztán annyit jelent, hogy nem érvényesíthetsz rá supportot, garanciát, whatev, de ettől még lehet, hogy működik. Ha tiltott lenne, akkro nem lenne videó róla, hogy működik.

Mi lenne, ha esetleg elgondolkodnál azon a nehezen hihető szituáción, hogy nem értesz ehhez annyira, mint amennyire gondolod? Én 20 éve vagyok itt tag, 21-22 éve dolgozok a szakmában, és még mindig be tudom vallan, hogy nem értek dolgokhoz ha valaki ezt bebizonyítja nekem, és nem lettem kevesebb tőle, nem kaptam szívinfarktust, és nem esett le a karikagyűrű sem az ujjamról. Csak próbáld ki, ígérem, nem fáj. Csak írd le, hogy "ebben az esetben is tévedtem, bocsánat" - és kész. Lényegesen egyszerűbb, mint vádaskodni.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Bazmeg, nem tudom mi van ma, front vagy mi, de ma csak okostojásokkal találkoztam a HUP-on.  Valami van a levegőben! 

Mekkora arcod lett (igazából nem, mert kicsinek még soha nem mutattad, szóval mindig is jó nagynak látszott), hogy sikerült úgy megírnod a hozzászólásodat, hogy most nem néztél be semmit! :D :D :D

 

Amúgy meg ez nem új dolog, hogy a Windows 11 olyan gépre is telepíthető simán, trükkök nélkül, amire "elvileg" nem menne fel, mert nem teljesül minden olyan követelmény, amit a Microsoft előírt:

https://hup.hu/comment/3145517#comment-3145517

engem próbálsz felokosítani

Én nem próbállak felokosítani, az esélytelen, csak jelzem, ahogy te szoktad másoknak, hogy volt már erről szó.  :)

 

Üdv a szálban 10 nappal később, szakértő úr!

Üdvözöllek itt is, doktor úr, akinek minden mindig működik, és soha nem bénázik (csak időnként itt-ott, de azokra borítsunk fátylat). :D :D :D

Én nem próbállak felokosítani, az esélytelen, csak jelzem, ahogy te szoktad másoknak, hogy volt már erről szó.  :)

Nem tudom feltűnt-e - újra kérdezem -, hogy nem szorulok segítségre.

Üdvözöllek itt is, doktor úr, akinek minden mindig működik, és soha nem bénázik (csak időnként itt-ott, de azokra borítsunk fátylat). :D :D :D

Nagy elégtétel lehet neked, hogy 25 év és több százezer postból egyszer-egyszer hibázni vélsz látni :D :D :D 👏‍

trey @ gépház

( pepelopez | 2025. 07. 07., h – 14:19 )

Szerkesztve: 2025. 07. 07., h – 14:21

other os-re van állítva, meg kellett néznem :)

( szabolcs | 2025. 07. 07., h – 15:03 )

A hibernálás miatt kell (nekem) linux alatt a Secure Boot.

( Friczy v | 2025. 07. 07., h – 15:19 )

Az inteles gépeimen ki van kapcsolva, a Mac meg olyan, amilyen.

( x-daemon | 2025. 07. 07., h – 16:05 )

bekapcsolva elinditana az unsigned kernelt?

# uname -a
Linux [...] 6.12.32+bpo-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.32-1~bpo12+1 (2025-06-21) x86_64 GNU/Linux
 

# apt-show-versions | grep 6.12.32+bpo-amd64
linux-image-6.12.32+bpo-amd64-unsigned:amd64/bookworm-backports 6.12.32-1~bpo12+1 uptodate
 

neked aztan fura humorod van...

milyen hatranyai vannak?

A secure bootnak? Secure boot mellett csak aláírt kernel modulokat tudsz betölteni. Nem aláírt bootloadert sem tudsz használni.

Linux alatt frissítéskor szívás, hogy alá kell írni "kézzel" a kernel modulokat, olyan kulccsal, amiket a BIOS/UEFI-be kell enrollolnod.  Ezt frissítéskor automatikusan futó toolokkal segítik (pl mokutil). Pl suse alatt nagyon egyszerű és működik, arch linux alatt is (sbctl), fedora alatt többet szívtam vele (lehet, hogy én bénáztam).

De egy csomó előnye van, ami miatt szerintem érdemes használni.
Már a boot folyamat legelejétől biztosítja, hogy semmi ne legyen manipulálva.
A Secure Boot állapota például bekerül a TPM PCR regisztereibe is, így ez kulcsok védelmére is használható, pl csak akkor old fel egy LUKS titkosítást, ha be van kapcsolva a Secure Boot.
Egy pendrive-val sem lehet csak úgy „belebuzerálni” a rendszerbe, és ha valaki kikapcsolja a Secure Bootot, a kulcs nem lesz elérhető, tehát a lemezt sem tudja feloldani.

"Egy pendrive-val sem lehet csak úgy „belebuzerálni” a rendszerbe, és ha valaki kikapcsolja a Secure Bootot, a kulcs nem lesz elérhető, tehát a lemezt sem tudja feloldani."

Ebben biztos vagy? Ez inkább a bitlocker dolga. A secure boot nem titkosit semmit a lemezen. Simán bebootolhatsz pendrive-ról egy másik (megfelelő kulcssal aláirt) oprendszert és bármit szétbarmolhatsz a disk-en, ellenben, ha a boot folyamatban résztvevő bármelyik binárishoz hozzá érsz (sérül az aláirása), onnantól nem fog bootolni.

Secure boot attól véd, hogy ne lehessen lecserélni hackelt változatra a rendszerfileokat, azaz már az oprendszer indulásakor hátsó kapu nyiljon, amit esetleg az már nem is tud észlelni. (nyilván nem 100%-os védelem)

Secure boot attól véd, hogy ne lehessen lecserélni hackelt változatra a rendszerfileokat, azaz már az oprendszer indulásakor hátsó kapu nyiljon, amit esetleg az már nem is tud észlelni.

En is igy gondoltam. Mint anno amikor az io.sys, msdos.sys, command.com stb. checksumokat ellenoriztuk boot alatt.

Mellette a diszk nyilvan titkositva van, aztan ha valaki megtalalja a laptopomat akkor hajra.

( hunluki | 2025. 07. 07., h – 23:01 )

Egy darab ubuntus gépen használok secure boot-ot, igazából csak meg akartam tanulni hogy lehet megcsinálni linux alatt amikor telepítettem. De kb az egész rendszer visszaállítható nulláról nextcloudból és steamből szóval ha megdöglik akkor újrahúzom és hagyom hogy visszaprüntyögje az adatait, lefuttatok lementett apt install-t amiben a programok benne vannak, beállítom a háttérképet, thunderbirdöt és az élet megy tovább.

Ugyanakkor kivárásra játszok hogy meg tudja-e oldani az ubi, ha igen akkor boldogság, ha nem akkor kb fél óra meló, na bumm, megtanultam hogy többet nem szórakozunk secure boot-al.

Fedora-val, és OpenSuse-val is.

Arch linuxxal "kézzel" kellett aláírogatnom először a fájlokat, utána automatikus volt. Itt írtam le, hogy telepítettem: https://hup.hu/node/187474

Egyedül nekem az nvidia driver a plusz kérdés, mert azt frissítéskor mindig újra alá kell írni. Ez OpenSuse alatt is működik automatikusan, Arch Linux alatt is, sőt Fedora alatt is, viszont Fedora nem másolta bele az initramfs-be, kézzel kellett. (egyébként fagyott az a képernyő, ahol a lemez titkosítás jelszavát kérné). Ez még Fedora 40-41 volt.

Arch élményem nekem más volt, semmit nem kellett mókoljak, hogy menjen a Secure Boot, van fenn grub2 és Systemd-boot is (hehe, 2 db EFI partícióm van), sőt, ha jól emlékszem, ki sem kapcsoltam az Arch telepítéshez.

Ubuntu-t direkt kernel boot-al használom, így indul el a leggyorsabban, ritkán bootolok mást, arra meg az is bőven jó, hogy nyomok egy F12-t induláskor és kiválasztom mit akarok.

ki sem kapcsoltam az Arch telepítéshez.

Akkor ezt én bonyolítottam el, én úgy indítottam, hogy kikapcsoltam. Jó tudni, hogy így működik ez is. 

(de a Fedora alatt is van egy ilyen érzésem, hogy az initramfs-be másolásnak működnie kellene, valamit máshogy csinálhatok, mint ahogy kellene) :) 

Ubuntu-n ezt kellett csináljam, hogy menjen a direkt EFI boot ("gyári" megoldást nem találtam):

  • kell elég nagy EFI partíció, amire ráfér a kernel és az initramfs
  • 2 db postinst script, az egyik a kernel, a másik az initramfs update-kor, hogy a legújabb verziót másolja fix helyre fix névvel az EFI partícióra
  • efibootmgr-el létreozni a boot entry-t

Most már több hónapja faszán működik, a reboot-ok jó gyorsak :) (grub2 nagyon lassú, a systemd-boot pedig ocsmány, és ha már nem rugalmas, akkor mi a francnak egyáltalán)

Nagyon meglepődtem, mikor megcsináltam és kiderült, hogy tökéletesen jól működik így is minden :)

Te miért csináltad? Nekem azért kellett, mert lusta vagyok átpartíciónálni a háttértárat, a preinstalled Win10 még rajta van, és annak túl pici az EFI partíciója.

( dlaszlo | 2025. 07. 09., sze – 09:20 )

Szerkesztve: 2025. 07. 09., sze – 10:32

Szerintem jópár nyomós oka van arra, hogy bekapcsolja valaki a secure boot-ot (minden hibájával és kényelmetlenségével együtt).

Pár példa (és gondolom rengeteg van, amiről nem tudunk, és secure boot nélkül sokkal több lenne):

Black Lotus:

https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-…

Érdekesség, hogy ez a black lotus valami sérülékenységet kihasználva a secure boot mellett tudott működni. A Microsoft ezt javította, és a visszavonási listába tették a régebbi boot managereket.

Első ránézésre úgy tűnhet, hogy "mire jó ez az egész, ha így is megkerülhető", de Secure Boot nélkül sokkal mélyebbre tudott volna épülni a rendszerbe, és nehezebb lett volna kiszedni.

 

Lojax:

https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-foun…

"The discovery of the first in-the-wild UEFI rootkit"

 

FinFinisher:

https://www.welivesecurity.com/2021/10/05/uefi-threats-moving-esp-intro…

Állami megfigyelő eszköz: https://www.kaspersky.com/about/press-releases/finfisher-spyware-improv…

"It is capable of gathering various credentials, file listings and deleted files, as well as various documents, livestreaming or recording data and gaining access to a webcam and microphone."

 

HermeticWiper:

https://www.threatdown.com/glossary/what-is-hermeticwiper/

"HermeticWiper first appeared in late February 2022, targeting organizations in Ukraine. It falls under the category of “wiper” malware, meaning its primary function is to erase critical data and render systems inoperable."

 

MoonBounce:

https://en.wikipedia.org/wiki/MoonBounce

Due to its emplacement on SPI flash which is located on the motherboard instead of the hard disk, the implant is capable of persisting in the system across disk formatting or replacement 

 

Trickbot:

https://success.trendmicro.com/en-US/solution/KA-0009204
Ez is egy bios manipuláló malware. 

Pár példa volt, ezeket sikerült találnom. Secure boot nélkül minden probléma nélkül működhetnének ezek. Van itt olyan is pl, ami egy teljes oprendszer újrahúzást túlél. Minden ilyennek ki lenne téve az ember, secure boottal meg reménykedhet, hogy nincs valami sérülékenység, pl amit a black lotus is kihasznált (de még így is jól jött a secure boot a lehetőségeivel).

Én ezért kapcsoltam be / hagyom bekapcsolva, linux alatt is. Arról nem is beszélve, hogy alapból működik a nagyobb distrokkal (ubuntu, opensuse, fedora, arch, stb...), szóval plusz időt sem jelent.

( wladek1 | 2025. 07. 11., p – 21:46 )

Szerkesztve: 2025. 07. 13., v – 06:06

A céges gépet nem én telepitem, illetve telibe is szarom, van -e ilyesmi. A notit meg úgy telepítettem otthon, hogy addig buzgeraltam a BIOSt, amíg fel nem ment. Több, mint valószínű, hogy az alapértelmezett értéken be van kapcsolva.

Error: nmcli terminated by signal Félbeszakítás (2)