#77

Дата выхода: 05.10.2021
Актуальная версия: 23H2 (22621.5984) / 24H2 (26100.6725) / 25H2 (26200.6725)

КРАТКОЕ ВВЕДЕНИЕ | ЗАГРУЗКА ОБРАЗОВ | ТРЕБОВАНИЯ К СИСТЕМЕ

Windows 11 — операционная система следующего поколения для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT, является наследницей Windows 10.

Конкретно подпись 2023 загрузчика + svn патч, вместе с этими ключами -защищает от Black Lotus, и ещё целого ряда буткитов- это не означает что от всех, но защиту повышает.

что касается разной UEFI малвари и низкоуровневых руткитах и бэкдоров, это редкость на машинах обычных пользователей, и да же в случае компроментации, большинство можно заподозрить, проверив лог целостности загрузки TPM в ос - будет нарушена цепочка доверия - об этом обязательно напишет в логе TPM-WMI при проверке PCR.

вот тут цепочка в порядке, как минимум на первый взгляд.
{"Field":"TcgLogFound","Value":true,"DesiredValue":true}],"Expected":[{"Field":"PcrsMatchTcgLog","Value":true,"DesiredValue":true}]

В логе, это TPM-WMI cобытия 1041 и 1038

Это основная польза включенного TPM, под номером 1, защита целостности загрузки, а игрульки и античиты, дело десятое. Можно попробовать "засунуть" конечно что-то сложное в NVRAM, или в BootBlock до измерения PCR0 - и сделать(попытаться) лог в порядке и получить аттестацию, но это не рядовая малварь, и людей обладающих таким опытом и багажом, не много - вроде CodeRush. Это промышленные таргетированные атаки, и специалисты уровня спецслужб. Но учитывая сложность и аппаратные ограничения, не факт что получится.

Так же можно снять дамп и прогнав пакетом Chipsec прошивку, но повторюсь - это крайне редкое явление, и большинство сканеров KVRT/CUREIT достаточно - т.к они умеют читать UEFI. У Доктора вэба кстати один из лучших на рынке сканеров, в этом контексте.

Что касается очистки уже скомпрометированной системы, нужен софт программатор как минимум, с ключами очистки всех регионов - такие утилиты есть и тут на форуме и форумах мат плат некоторых производителей, софт программаторы AMI, на форуме MSI например. Обычными средствами плат, то же можно попробовать удалить, но лучше в этом случае прошивка с флешки и .rom в режиме recovery мп - с кнопки на мп, и откатом на старую или апдейтом, новую. Когда обычно затрагиваются при обновлении больше регионов чем Main(предпочтительнее откат в этом случае или апдейт - на прошу, где и TPM и Agesa frimware разные -т.е 4-5 версий разница, на всякий случай).

Но наилучше конечно аппаратный программатор или плату под замену. На Интеле с этим проще т.к есть Intel Boot Guard.

Но и в этом случае бывают проколы))

https://xakep.ru/2023/05/10/intel-boot-guard-keys/

Вот тут список потенциально уязвимых устройств, может кто найдёт свой ноут :

https://github.com/binarly-io/SupplyCha ... Devices.md

kiberman Жесть. Я как-то раньше вообще не задумывался об этом.
Хотя, как ты правильно заметил, "это редкость на машинах обычных пользователей".

И всё же, и всё же...

...мы все умрем....кааааак страшно жить...иииии, даааа, не забудьте про кактусы у монитора, про синюю изоленту на камерах и шапочки из фольги на головы....да.

Если ты сам не запускаешь всё подряд из недоверенного По, то и забивать этим голову не нужно, знать в общих чертах: полезно.
Для простого пользователя с десктоп Пк, гарантия простая, обновляй По своё, включая frimware на Пк, и Ос с драйверами и драйвером чипсета: держите актуальными. И не пренебрегать стандартными средствами что предлагает Ос: VBS,HCVI, Credential guard и т.д

Руткиты уровня Uefi - на рядовых Пк, крайне редкое явление, т.к для их реализации, требуется обычно привилегированный удалённый или физический доступ к Пк, и ещё ряд условий, которые могут быть "закрыты" в свежей прошивке -битами безопасности.

Не давно была залечена SMM Lock Bypass в Амдш-ных прошивках.

https://www.amd.com/en/resources/produc ... -7014.html

Если тематика интересная для вас, есть аудит безопасности Ос средствами ms

Для 25H2, можно применить Windows 11 v25H2 Security Baseline политики и настроить как себе надо, но расписывать как работать с этим я не буду. Книг и инфы, и офф документации: полно в сети, в том числе на русском языке.
https://www.microsoft.com/en-us/downloa ... x?id=55319

у Майкрософт есть полезная утилита в комплекте, Policy Analyzer, которой можно чекнуть настройки и сравнить с предустановленными темплейтами безопасности, и для себя что-то подправить при желании.

#77

kiberman Благодарю! Как буду переустанавливать, сделаю уже все по уму. Всякое ПО бывает, в тч рабочее из зеленого магазина.

И тут вдруг производители материнских плат, для всех пользователей пишут в мануалах и на офиц. сайтах: не обновляйте frimware, если у вас нет явных проблем!

kiberman Я уже год не обновлял. Скачал вот вчера, да всё лень (фоткать, потом ручками вбивать). Хотя за год там накопилась куча оптимизаций и исправлений.
Я только скачать вчера сподобился - это уже важный первый шаг, бгг.

А так да, это отписка, чтобы не лезли лишний раз. У людей недавно была проблема SB включить для Батлы, а тут целый БИОС обновлять. Это мы тут занимаемся всяким пердолингом, а большинство людей кроме кнопки вкл/выкл ничего не знают, даже драйверы поставить.

kiberman не вижу картинок, ибо imgbb заблокирован.


Это уже тот случай, когда возникла проблема. А ведь бывает, что память работала прекрасно, но обновление БИОС внезапно всё ломает, на Асроках не единожды сталкивался.
Или вот у Гигабайта в прошлом году вышло кривое обновление frimware контроллера ARGB подсветки, которое на некоторых моделях материнок убивало этот контроллер нафиг, так что требовалось сдавать платы в ремонт. Вот кто мог предугадать такой облом?

Если только свет рубанут (это самое тупое и обидное). Остальные риски - это сотые доли процента.

Добавлено спустя 15 минут 10 секунд:



Добавлено спустя 44 минуты 59 секунд:


Не только свет:

Об этом везде сказано в инструкции. Если не сбросил — сам дурак. Остальное не угадаешь.

И не факт что все настройки со старой версии заработают и все круги ада по новой: тесты ОЗУ, тесты пбо+со.
И всё ради чего?
Ради какой-то мифической безопасности?
Или свет отключат, потом возись с прищепкой...
Да, можно рискнуть, если есть какие-то реальные проблемы с железом, но ради какой-то безопасности.... ну не знаю.

если только врагам посоветовать... эта чудо-юдо утилита оставит от вашей вин11 некий скелет. ценители так называемой "частоты" может и заценят.

antiOVER, плюс/минус тот же скрипт, которые тут используют любители кромсать ос, не более.
Сам пока не проверял.

Есть же заводская кастрация в виде различных вариантов 11-й Винды вплоть до IoT LTSC. В чём смысл этих утилит, если по итогу получишь эти же кастраты? Только кастраты от Майкрософт будут рабочими, а после этих утилит получится очередная г-сборка ОС со всеми вытекающими.



И не нужно.

Ну почему же.
Мне нужно.
Я всегда проверяю подобные скрипты и софты что бы наперёд знать что натворила та или иная резалка когда ко мне обращаются с забагованными ос после применения таких приблуд.
Мне сейчас просто некогда, чуть позже поковыряю её.

ИБП в помощь, недорогой, б/у, до 300Вт. для обновить/прошить BIOS достаточно.

Не о чем. Gigabyte dual-bios проверено. На Z890 шется без проца.
Замечено, после обновы KB5068861 не работают прошивальщики BIOS от Gigabyte. FPT64 тоже.