🥇 Боргирии боэътимод аз ҷониби Шредингер. Intel Boot Guard

Мо пешниҳод менамоем, ки боз ба сатҳи паст афтем ва дар бораи амнияти нармафзор барои платформаҳои компютерии x86 мувофиқ сӯҳбат кунем. Ин дафъа, ҷузъи асосии тадқиқот Intel Boot Guard мебошад (бо Intel BIOS Guard омехта накунед!) - технологияи пурборкунандаи боэътимоди BIOS, ки аз ҷониби сахтафзор дастгирӣ мешавад, ки фурӯшандаи системаи компютерӣ метавонад дар марҳилаи истеҳсолот ба таври доимӣ фаъол ё ғайрифаъол кунад. Хуб, рецепти тадқиқот ба мо аллакай шинос аст: татбиқи ин технологияро бо истифода аз муҳандисии баръакс пора-пора кунед, меъмории онро тавсиф кунед, онро бо ҷузъиёти ҳуҷҷатнашуда пур кунед, онро бо векторҳои ҳамла барои бичашед ва омехта кунед. Биёед ба достони он сӯзишворӣ илова кунем, ки чӣ гуна хатое, ки дар тӯли солҳо дар истеҳсоли якчанд фурӯшандагон клон карда шудааст, ба ҳамлагари эҳтимолӣ имкон медиҳад, ки ин технологияро барои эҷоди руткити пинҳон дар система истифода барад, ки онро нест кардан ғайриимкон аст (ҳатто бо барномасоз).

Воқеан, мақола ба гузоришҳои "Дар бораи муҳофизати Rootkits: Intel BootGuard" аз конфронс асос ёфтааст. ZeroNights 2016 ва вохурии 29-ум DefCon Русия (ҳарду презентатсия дар ин ҷо).

Прошивка барои платформаи компютерӣ бо меъмории Intel 64

Аввалан, биёед ба савол ҷавоб диҳем: нармафзори платформаи компютерии муосир бо меъмории Intel 64 чист? Албатта, UEFI BIOS. Аммо чунин ҷавоб дуруст нахоҳад буд. Биёед расмеро бубинем, ки версияи мизи кории (ноутбук) ин меъмориро нишон медиҳад.

Асос ин истинод аст:

Протсессор (CPU, Воҳиди коркарди марказӣ), ки ба ғайр аз ядроҳои асосӣ, дорои ядрои графикии дарунсохт (на дар ҳама моделҳо) ва контроллери хотира (IMC, Integrated Memory Controller);
Чипсет (PCH, Platform Controller Hub), дорои контроллерҳои гуногун барои ҳамкорӣ бо дастгоҳҳои периферӣ ва идоракунии зерсистемаҳо. Дар байни онҳо маъруфи Intel Management Engine (ME) мебошад, ки он инчунин дорои нармафзори миёнаравӣ мебошад (programware Intel ME).

Ноутбукҳо, ба ғайр аз гуфтаҳои дар боло зикршуда, контролери дарунсохтро талаб мекунанд (ACPI EC, Advanced Control and Power Interface Embedded Controller), ки барои кори зерсистемаи барқ, touchpad, клавиатура, калидҳои Fn (равшании экран, ҳаҷми садо) масъул аст. , чароғи пушти клавиатура ва ғайра ) ва чизҳои дигар. Ва он инчунин нармафзори худро дорад.

Ҳамин тариқ, маҷмӯи нармафзори дар боло зикршуда нармафзори платформаи компютерӣ (прошивкаи системавӣ) мебошад, ки дар хотираи флеши умумии SPI нигоҳ дошта мешавад. Барои он ки корбарони ин хотира дар бораи куҷо будани он ошуфта нашаванд, мундариҷаи ин хотира ба минтақаҳои зерин тақсим карда мешавад (тавре ки дар расм нишон дода шудааст):

BIOS UEFI;
Барномаи нармафзори ACPI EC (минтақаи алоҳида бо микроархитектураи протсессори Skylake пайдо шуд (2015), аммо дар ваҳшӣ мо то ҳол намунаҳои истифодаи онро надидаем, аз ин рӯ, нармафзори протсессори контролери дарунсохт то ҳол дар UEFI BIOS дохил карда шудааст) ;
Нармафзори Intel ME;
конфигуратсияи (суроғаи MAC ва ғ.) адаптери шабакавии дарунсохт GbE (Gigabit Ethernet);
Дескрипторҳои Flash минтақаи асосии хотираи флешдор мебошанд, ки дорои нишонаҳо ба минтақаҳои дигар ва инчунин иҷозат барои дастрасӣ ба онҳо мебошанд.

Мастер автобуси SPI, контролери SPI, ки дар чипсет сохта шудааст, ки тавассути он ба ин хотира дастрасӣ дорад, барои маҳдуд кардани дастрасӣ ба минтақаҳо масъул аст (мувофиқи иҷозатҳои муайяншуда). Агар иҷозатҳо ба арзишҳои тавсияшудаи Intel (бо сабабҳои амниятӣ) муқаррар карда шаванд, он гоҳ ҳар як корбари Flash SPI танҳо ба минтақаи худ дастрасии пурра (хондан/навиштан) дорад. Ва боқимондаҳо танҳо барои хондан ё дастнорасанд. Як далели маълум: дар бисёр системаҳо, CPU дастрасии пурра ба UEFI BIOS ва GbE дорад, дастрасии хондан танҳо ба дескрипторҳои флешдор ва умуман дастрасӣ ба минтақаи Intel ME нест. Чаро дар бисёриҳо, на дар ҳама? Он чизе, ки тавсия дода мешавад, талаб карда намешавад. Мо ба шумо баъдтар дар мақола муфассалтар нақл мекунем.

Механизмҳои муҳофизати нармафзори платформаи компютерӣ аз тағирот

Аён аст, ки нармафзори платформаи компютерӣ бояд аз созиши эҳтимолӣ ҳифз карда шавад, ки ба ҳамлагари эҳтимолӣ имкон медиҳад, ки дар он ҷой пайдо кунад (навсозӣ/аз нав насб кардани ОС зинда монад), коди худро дар реҷаҳои имтиёзнок иҷро кунад ва ғайра. Ва маҳдуд кардани дастрасӣ ба минтақаҳои хотираи флеши SPI, албатта, кофӣ нест. Аз ин рӯ, барои муҳофизат кардани нармафзор аз тағирот, механизмҳои гуногуни ба ҳар як муҳити корӣ хос истифода мешаванд.

Ҳамин тариқ, нармафзори Intel ME барои назорати якпорчагӣ ва аслият имзо карда мешавад ва аз ҷониби контролери ME ҳар дафъае, ки он ба хотираи ME UMA бор карда мешавад, тафтиш карда мешавад. Ин раванди санҷиш аллакай аз ҷониби мо дар яке аз онҳо муҳокима карда шудааст мақолаҳо, ба зерсистемаи Intel ME бахшида шудааст.

Ва нармафзори ACPI EC, чун қоида, танҳо барои якпорчагӣ тафтиш карда мешавад. Бо вуҷуди ин, аз сабаби он, ки ин дуӣ ба UEFI BIOS дохил карда шудааст, он қариб ҳамеша ба ҳамон механизмҳои муҳофизатӣ, ки UEFI BIOS истифода мебарад, вобаста аст. Биёед дар бораи онҳо сӯҳбат кунем.

Ин механизмҳоро ба ду гурӯҳ тақсим кардан мумкин аст.

Муҳофизатро дар минтақаи UEFI BIOS нависед

Муҳофизати ҷисмонии мундариҷаи хотираи флеши SPI бо jumper муҳофизат аз навиштан;
Ҳифзи дурнамои минтақаи UEFI BIOS дар фазои суроғаи CPU бо истифода аз регистрҳои чипсетҳои PRx;
Маҳдуд кардани кӯшишҳои навиштан ба минтақаи UEFI BIOS тавассути тавлид ва коркарди қатъи мувофиқи SMI тавассути гузоштани битҳои BIOS_WE/BLE ва SMM_BWP дар регистрҳои чипсет;
Варианти пешрафтаи ин муҳофизат Intel BIOS Guard (PFAT) мебошад.

Илова ба ин механизмҳо, фурӯшандагон метавонанд чораҳои амниятии худро таҳия ва татбиқ кунанд (масалан, имзои капсулаҳо бо навсозиҳои UEFI BIOS).

Бояд қайд кард, ки дар як системаи мушаххас (вобаста ба фурӯшанда) на ҳама механизмҳои муҳофизати дар боло зикршуда метавонанд татбиқ карда шаванд, онҳо умуман татбиқ карда намешаванд ё онҳо метавонанд ба таври осебпазир татбиқ карда шаванд. Шумо метавонед дар бораи ин механизмҳо ва вазъи татбиқи онҳо бештар хонед ин мақола. Барои онҳое, ки таваҷҷӯҳ доранд, мо тавсия медиҳем, ки тамоми силсилаи мақолаҳоро дар бораи амнияти UEFI BIOS аз CodeRush.

Аутентификатсияи UEFI BIOS

Вақте ки мо дар бораи технологияҳои боэътимоди боркунӣ гап мезанем, аввалин чизе, ки ба хотир меояд, Secure Boot аст. Бо вуҷуди ин, аз ҷиҳати меъморӣ он барои тасдиқи аслӣ будани ҷузъҳои берунии UEFI BIOS (драйверҳо, боркунакҳо ва ғайра) пешбинӣ шудааст, на худи нармафзор.

Аз ин рӯ, Intel дар SoCs бо микроархитектураи Bay Trail (2012) як сахтафзори ғайрифаъол Secure Boot (Verified Boot) -ро татбиқ кард, ки бо технологияи Secure Boot дар боло зикршуда ягон умумият надорад. Баъдтар (2013), ин механизм такмил дода шуд ва бо номи Intel Boot Guard барои мизи корӣ бо микроархитектураи Haswell бароварда шуд.

Пеш аз тавсифи Intel Boot Guard, биёед ба муҳити иҷроиш дар меъмории Intel 64 назар андозем, ки дар якҷоягӣ решаҳои эътимод ба ин технологияи пурборкунандаи боэътимод мебошанд.

Intel CPU

Cap пешниҳод мекунад, ки протсессор муҳити асосии иҷроиш дар меъмории Intel 64 мебошад. Чаро он решаи эътимод аст? Маълум мешавад, ки он чизе, ки ӯро чунин мекунад, соҳиби унсурҳои зерин аст:

Microcode ROM хотираи идоранашаванда ва аз навнависнашаванда барои нигоҳ доштани микрокод мебошад. Гумон меравад, ки микрокод татбиқи системаи фармони протсессор бо истифода аз соддатарин дастурҳо мебошад. Дар микрокод низ рӯй медиҳад хатоҳо. Ҳамин тавр, дар BIOS шумо метавонед бинарҳоро бо навсозиҳои микрокод пайдо кунед (дар вақти боркунӣ дар бар мегирад, зеро ROM-ро дубора навиштан мумкин нест). Мундариҷаи ин бинарҳо рамзгузорӣ шудаанд, ки таҳлилро хеле душвор мегардонад (бинобар ин, мундариҷаи мушаххаси микрокод танҳо ба онҳое маълум аст, ки онро таҳия мекунанд) ва барои назорати якпорчагӣ ва аслӣ имзо карда мешаванд;
Калиди AES барои рамзкушоӣ кардани мундариҷаи навсозиҳои микрокод;
хэши калиди ҷамъиятии RSA, ки барои тафтиши имзои навсозиҳои микрокод истифода мешавад;
Хеши калиди ҷамъиятии RSA, ки имзои модулҳои коди ACM (Authenticated Code Module)-ро, ки аз ҷониби Intel таҳия шудааст, тафтиш мекунад, ки CPU метавонад пеш аз иҷрои BIOS (салом микрокод) ё ҳангоми кораш ҳангоми рух додани ҳодисаҳои муайян оғоз кунад.

Intel ME

Блоги мо ба ин зерсистема бахшида шуда буд две мақолаҳо. Ёдовар мешавем, ки ин муҳити иҷрошаванда ба микроконтроллере, ки дар чипсет сохта шудааст, асос ёфтааст ва дар система пинҳонтарин ва имтиёзнок аст.

Сарфи назар аз махфӣ буданаш, Intel ME низ як решаи эътимод аст, зеро он дорои:

ME ROM - хотираи идоранашаванда, аз навнависнашаванда (ягон усули навсозӣ пешбинӣ нашудааст), ки дорои рамзи оғоз, инчунин хэши SHA256 калиди ҷамъиятии RSA мебошад, ки имзои нармафзори Intel ME-ро тасдиқ мекунад;
Калиди AES барои нигоҳ доштани маълумоти махфӣ;
дастрасӣ ба маҷмӯи муҳофизаткунандаҳо (FPFs, Fuses Field Programmable Fuses), ки ба чипсет барои нигаҳдории доимии баъзе иттилоот, аз ҷумла он маълумоте, ки аз ҷониби фурӯшандаи системаи компютерӣ муайян карда шудааст, муттаҳид карда шудааст.

Intel Boot Guard 1.x

Радди хурд. Рақамҳои версияи технологияи Intel Boot Guard, ки мо дар ин мақола истифода мебарем, худсаронаанд ва шояд бо рақамгузории дар ҳуҷҷатҳои дохилии Intel истифодашуда ҳеҷ иртиботе надошта бошанд. Илова бар ин, маълумоти дар ин ҷо пешниҳодшуда дар бораи татбиқи ин технология ҳангоми муҳандисии баръакс ба даст оварда шудааст ва метавонад дар муқоиса бо мушаххасоти Intel Boot Guard, ки ба гумон аст, ҳеҷ гоҳ нашр нашавад, дар бар гирад.

Ҳамин тавр, Intel Boot Guard (BG) як технологияи тасдиқи аутентификатсияи UEFI BIOS-и сахтафзор мебошад. Мувофиқи тавсифи мухтасари он дар китоб [Технологияи бехатарии платформа ошкор карда шуд, боби пурборкунӣ бо беайбӣ ё не боркунӣ], он ҳамчун занҷири боэътимоди пурборкунӣ кор мекунад. Ва пайванди аввал дар он рамзи пурборкунӣ (микрокод) дар дохили CPU мебошад, ки аз ҷониби ҳодисаи RESET оғоз мешавад (бо вектори RESET дар BIOS омехта накунед!). CPU дар хотираи флеши SPI як модули кодеро, ки аз ҷониби Intel (Intel BG startup ACM) таҳия ва имзо шудааст, дар хотираи флеши SPI пайдо мекунад, онро ба кэши худ бор мекунад, тафтиш мекунад (дар боло қайд карда шуд, ки CPU дорои хэши калиди оммавӣ мебошад, ки ACM-ро тасдиқ мекунад. имзо) ва оғоз меёбад.

Ин модули рамзӣ барои тафтиши як қисми хурди ибтидоии UEFI BIOS - Initial Boot Block (IBB) масъул аст, ки дар навбати худ дорои функсияҳои санҷиши қисми асосии UEFI BIOS мебошад. Ҳамин тариқ, Intel BG ба шумо имкон медиҳад, ки асолати BIOS-ро пеш аз боркунии ОС тафтиш кунед (ки онро таҳти назорати технологияи Secure Boot иҷро кардан мумкин аст).

Технологияи Intel BG ду намуди кориро таъмин мекунад (ва яке ба дигараш халал намерасонад, яъне ҳарду режимро дар система фаъол кардан мумкин аст ё ҳардуро ғайрифаъол кардан мумкин аст).

Боркунии ченшуда

Дар режими Measured Boot (MB), ҳар як ҷузъи пурборкунанда (аз ROM-и пурборкунандаи CPU сар карда) ҷузъи навбатиро бо истифода аз имкониятҳои TPM (Модули Платформаи боэътимод) "чен мекунад". Барои онҳое, ки намедонанд, биёед шарҳ диҳам.

TPM дорои PCR-ҳо (Рӯйхатҳои конфигуратсияи платформа), ки ба онҳо натиҷаи амалиёти хэшинг мувофиқи формула навишта мешавад:

Онхое. арзиши ҷории PCR аз регистрҳои қаблӣ вобаста аст ва ин регистрҳо танҳо вақте аз нав барқарор карда мешаванд, ки система RESET мешавад.

Ҳамин тариқ, дар реҷаи МБ, дар як лаҳза, PCR идентификатори беназири (дар доираи имкониятҳои амалиёти хэшинг) код ё маълумоти "ченшуда"-ро инъикос мекунанд. Арзишҳои PCR метавонанд дар баъзе амалиёти рамзгузории додаҳо (TPM_Seal) истифода шаванд. Пас аз ин, рамзкушоии онҳо (TPM_Unseal) танҳо дар сурате имконпазир хоҳад буд, ки агар арзишҳои PCR дар натиҷаи боркунӣ тағир наёбанд (яъне ягон ҷузъи "ченшуда" тағир наёфта бошад).

Боркунии тасдиқшуда

Бадтарин чизе барои онҳое, ки мехоҳанд тағир додани UEFI BIOS-ро дӯст доранд, ин режими Verified Boot (VB) мебошад, ки дар он ҳар як ҷузъи пурборкунанда якпорчагӣ ва ҳаққонияти навбатиро ба таври криптографӣ тафтиш мекунад. Ва дар сурати хатогии тафтиш, (яке аз) рӯй медиҳад:

хомӯш кардани вақт аз 1 дақиқа то 30 дақиқа (то он ки корбар вақт дошта бошад, то бифаҳмад, ки чаро компютери ӯ бор намекунад ва агар имконпазир бошад, BIOS-ро барқарор кунад);
қатъи фаврӣ (то он ки корбар барои фаҳмидани чизе вақт надошта бошад, камтар кор кунад);
идома додани кор бо ифодаи ором (дар он ҳолат, вақте ки барои бехатарӣ вақт нест, зеро корҳои муҳимтаре ҳастанд).

Интихоби амал аз конфигуратсияи муайяншудаи Intel BG (яъне ба истилоҳ сиёсати иҷроиш) вобаста аст, ки онро фурӯшандаи платформаи компютерӣ дар нигаҳдории махсус тарҳрезишуда - фишурдаҳои чипсет (FPFs) ба таври доимӣ сабт мекунад. Мо баъдтар дар ин бора муфассалтар таваққуф хоҳем кард.

Илова ба конфигуратсия, фурӯшанда ду калиди RSA 2048 тавлид мекунад ва ду сохтори маълумотро эҷод мекунад (дар расм нишон дода шудааст):

Манифести калиди решаи фурӯшанда (KEYM, OEM манифести решавӣ), ки дорои SVN (рақами версияи амният)-и ин манифест, хэши SHA256 калиди оммавии манифести навбатӣ, калиди ҷамъиятии RSA (яъне қисми ҷамъиятии калиди решаи фурӯшанда) барои тасдиқи имзои ин манифест ва худи имзо;
Манифести IBB (IBBM, Initial Boot Block Manifest), ки SVN-и ин манифест, хэши SHA256-и IBB, калиди оммавӣ барои тасдиқи имзои ин манифест ва худи имзоро дар бар мегирад.

Хеши SHA256-и калиди ҷамъиятии OEM Root Key ба мисли конфигуратсияи Intel BG, ба таври доимӣ дар фишурдаҳои чипсет (FPFs) сабт карда мешавад. Агар конфигуратсияи Intel BG ворид кардани ин технологияро пешбинӣ кунад, пас аз ин ба баъд танҳо соҳиби қисми хусусии калиди решавӣ OEM метавонад BIOS-ро дар ин система навсозӣ кунад (яъне қодир ба ҳисоб кардани ин манифестҳо), яъне. фурӯшанда.

Ҳангоми дидан ба расм, шубҳаҳо дар бораи зарурати чунин занҷири дарози санҷиш ба миён меоянд - онҳо метавонистанд як манифестро истифода баранд. Чаро чизҳоро душвор мегардонед?

Дар асл, Intel ҳамин тавр ба фурӯшанда имкон медиҳад, ки калидҳои гуногуни IBB барои сатрҳои гуногуни маҳсулоти худ ва якеро ҳамчун калиди реша истифода баранд. Агар қисми хусусии калиди IBB (бо он манифести дуюм имзо карда мешавад) ихроҷ шавад, ҳодиса танҳо ба як хати маҳсулот таъсир мерасонад ва танҳо то он даме, ки фурӯшанда ҷуфти нав тавлид кунад ва манифестҳои аз нав ҳисобшударо дар навсозии навбатии BIOS дохил кунад.

Аммо агар калиди реша (бо он манифести аввал имзо шудааст) осеб дида бошад, иваз кардани он имконнопазир аст; тартиби бозхонди он пешбинӣ нашудааст. хэши қисми ҷамъиятии ин калид як бор ва барои ҳама ба FPF барномарезӣ карда мешавад.

Конфигуратсияи Intel Boot Guard

Акнун биёед ба конфигуратсияи Intel BG ва раванди эҷоди он муфассалтар назар андозем. Агар шумо ба ҷадвали мувофиқ дар GUI утилитаи Flash Image Tool аз маҷмӯаи Intel System Tool (STK) нигаред, шумо хоҳед дид, ки конфигуратсияи Intel BG як хэши қисми оммавии калиди решаи фурӯшандаро дар бар мегирад, якчанд арзишҳои норавшан ва ғайра. Профили Intel BG.

Сохтори ин профил:

typedef struct BG_PROFILE
{
	unsigned long Force_Boot_Guard_ACM : 1;
	unsigned long Verified_Boot : 1;
	unsigned long Measured_Boot : 1;
	unsigned long Protect_BIOS_Environment : 1;
	unsigned long Enforcement_Policy : 2; // 00b – do nothing
                                              // 01b – shutdown with timeout
                                              // 11b – immediate shutdown
	unsigned long : 26;
};

Умуман, конфигуратсияи Intel BG як сохтори хеле чандир аст. Масалан, парчами Force_Boot_Guard_ACM-ро баррасӣ кунед. Вақте ки он хориҷ карда мешавад, агар модули ACM-и BG дар флеши SPI ёфт нашавад, ҳеҷ гуна пурборкунии боэътимод рӯй намедиҳад. Вай беэътимод хоҳад буд.

Мо аллакай дар боло навишта будем, ки сиёсати иҷроиш барои ҳолати VB метавонад танзим карда шавад, то ки агар хатои санҷиш вуҷуд дошта бошад, зеркашии беэътимод рух медиҳад.

Чунин чизҳоро ба ихтиёри фурӯшандагон гузоред...

Утилитаи GUI профилҳои "тайёр"-и зеринро пешниҳод мекунад:

Рақам
Мода
Шарҳи

0
Не_FVME
Технологияи Intel BG хомӯш карда шудааст

1
VE
Ҳолати VB фаъол аст, бо вақти тамомшавӣ қатъ мешавад

2
VME
ҳарду шеваҳои фаъол (VB ва MB), хомӯш бо вақтхушӣ

3
VM
ҳарду шеваҳои фаъол, бе хомӯш кардани система

4
FVE
Ҳолати VB фаъол, қатъи фаврӣ

5
FVME
ҳарду шеваҳои фаъол, қатъи фаврӣ

Тавре ки аллакай зикр гардид, конфигуратсияи Intel BG бояд аз ҷониби фурӯшандаи система як бор ва барои ҳама ба фишурдаҳои чипсет (FPFs) навишта шавад - анбори сахтафзори хурд (тибқи маълумоти тасдиқнашуда, ҳамагӣ 256 байт) дар дохили чипсет, ки онро барномарезӣ кардан мумкин аст берун аз иншооти истеҳсолии Intel (барои ҳамин маҳз Майдони барномарезишаванда Сӯхторҳо).

Он барои нигоҳ доштани конфигуратсия бузург аст, зеро:

дорои майдони якдафъаинаи барномарезишаванда барои нигоҳдории маълумот (махз дар он ҷо конфигуратсияи Intel BG навишта шудааст);
Танҳо Intel ME метавонад онро хонад ва барномарезӣ кунад.

Ҳамин тавр, барои танзими конфигуратсияи технологияи Intel BG дар системаи мушаххас, фурӯшанда ҳангоми истеҳсол амалҳои зеринро иҷро мекунад:

Бо истифода аз утилитаи Flash Image Tool (аз Intel STK), он тасвири нармафзорро бо конфигуратсияи додашудаи Intel BG дар шакли тағирёбандаҳо дар дохили минтақаи Intel ME (ба истилоҳ оинаи муваққатӣ барои FPFs) эҷод мекунад;
Бо истифода аз утилитаи Flash Programming Tool (аз Intel STK), он ин тасвирро ба хотираи флеши SPI система менависад ва ба номро мепӯшонад. режими истеҳсолӣ (дар ин ҳолат, фармони мувофиқ ба Intel ME фиристода мешавад).

Дар натиҷаи ин амалҳо, Intel ME арзишҳои муайяншударо аз оинаи FPF-ҳои минтақаи ME ба FPF-ҳо мегузорад, қарорҳоро дар дескрипторҳои флеши SPI ба арзишҳои тавсиякардаи Intel муқаррар мекунад (дар ибтидои мақола) ва барқароркунии системаро иҷро кунед.

Таҳлили татбиқи Intel Boot Guard

Барои таҳлили татбиқи ин технология бо истифода аз як мисоли мушаххас, мо системаҳои зеринро барои пайгирии технологияи Intel BG тафтиш кардем:

система
эрод гирифтан

Гигабайт GA-H170-D3H
Skylake, дастгирӣ вуҷуд дорад

Гигабайт GA-Q170-D3H
Skylake, дастгирӣ вуҷуд дорад

Гигабайт GA-B150-HD3
Skylake, дастгирӣ вуҷуд дорад

MSI H170A Gaming Pro
Skylake, дастгирӣ нест

Lenovo ThinkPad 460
Skylake, дастгирӣ, технология фаъол

Lenovo Yoga 2 Pro
Haswell, дастгирӣ нест

Lenovo U330p
Haswell, дастгирӣ нест

Бо "дастгирӣ" мо мавҷудияти модули ACM оғозёбандаи Intel BG, манифестҳои дар боло зикршуда ва рамзи мувофиқ дар BIOS, яъне. татбиқ барои таҳлил.

Барои мисол онеро мегирем, ки аз идора бор карда шудааст. тасвири вебсайти фурӯшандаи хотираи флеши SPI барои Gigabyte GA-H170-D3H (версияи F4).

ROM-и пурборкунандаи Intel CPU

Пеш аз ҳама, биёед дар бораи амалҳои протсессор сӯҳбат кунем, агар технологияи Intel BG фаъол бошад.

Намунаҳои микрокоди рамзкушодашударо ёфтан ғайриимкон буд, аз ин рӯ чӣ гуна амалҳои дар зер тавсифшуда (дар микрокод ё сахтафзор) иҷро мешаванд, саволи кушода аст. Бо вуҷуди ин, далели он аст, ки протсессорҳои муосири Intel ин амалҳоро "метавонанд" иҷро кунанд.

Пас аз баромадан аз ҳолати RESET, протсессор (мӯҳтавои хотираи флеш аллакай дар фазои суроғаҳо ҷойгир карда шудааст) ҷадвали FIT (Firmware Interface Table) -ро пайдо мекунад. Инро ёфтан осон аст; нишондиҳандаи он дар суроғаи FFFF FFC0h навишта шудааст.

Дар мисоли мавриди назар, арзиши FFD6 9500h дар ин суроға ҷойгир аст. Бо дастрасӣ ба ин суроға протсессор ҷадвали FIT-ро мебинад, ки мундариҷаи он ба сабтҳо тақсим шудааст. Сабти аввал сарлавҳаи сохтори зерин аст:

typedef struct FIT_HEADER
{
	char           Tag[8];     // ‘_FIT_   ’
	unsigned long  NumEntries; // including FIT header entry
	unsigned short Version;    // 1.0
	unsigned char  EntryType;  // 0
	unsigned char  Checksum;
};

Бо баъзе сабабҳои номаълум, дар ин ҷадвалҳо маблағи назорат на ҳамеша ҳисоб карда мешавад (майдон сифр мондааст).

Вурудҳои боқимонда ба бинарҳои гуногун ишора мекунанд, ки бояд пеш аз иҷрои BIOS таҳлил карда шаванд / иҷро карда шаванд, яъне. пеш аз гузаштан ба вектори кӯҳнаи RESET (FFFF FFF0h). Сохтори ҳар як чунин вуруд чунин аст:

typedef struct FIT_ENTRY
{
	unsigned long  BaseAddress;
	unsigned long  : 32;
	unsigned long  Size;
	unsigned short Version;     // 1.0
	unsigned char  EntryType;
	unsigned char  Checksum;
};

Майдони EntryType ба шумо намуди блоки ин вурудро нишон медиҳад. Мо якчанд намудҳоро медонем:

enum FIT_ENTRY_TYPES
{
	FIT_HEADER = 0,
	MICROCODE_UPDATE,
	BG_ACM,
	BIOS_INIT = 7,
	TPM_POLICY,
	BIOS_POLICY,
	TXT_POLICY,
	BG_KEYM,
	BG_IBBM
};

Ҳоло маълум аст, ки яке аз вурудот ба ҷойгиршавии стартапи Intel BG ACM дуӣ ишора мекунад. Сохтори сарлавҳаи ин дуӣ барои модулҳои коди аз ҷониби Intel таҳияшуда хос аст (ACMs, навсозии микрокодҳо, қисмҳои коди Intel ME, ...).

typedef struct BG_ACM_HEADER
{
	unsigned short ModuleType;     // 2
	unsigned short ModuleSubType;  // 3
	unsigned long  HeaderLength;   // in dwords
	unsigned long  : 32;
	unsigned long  : 32;
	unsigned long  ModuleVendor;   // 8086h
	unsigned long  Date;           // in BCD format
	unsigned long  TotalSize;      // in dwords
	unsigned long  unknown1[6];
	unsigned long  EntryPoint;
	unsigned long  unknown2[16];
	unsigned long  RsaKeySize;     // in dwords
	unsigned long  ScratchSize;    // in dwords
	unsigned char  RsaPubMod[256];
	unsigned long  RsaPubExp;
	unsigned char  RsaSig[256];
};

Протсессор ин бинариро ба кэши худ бор мекунад, онро тафтиш мекунад ва онро иҷро мекунад.

Оғози Intel BG ACM

Дар натичаи тахлили кори ин АКМ маълум гардид, ки вай корхои зеринро ичро мекунад:

конфигуратсияи Intel BG-ро аз Intel ME, ки ба fuses chipset (FPFs) навишта шудааст, мегирад;
KEYM ва IBBM-ро пайдо мекунад ва онҳоро тафтиш мекунад.

Барои дарёфти ин манифестҳо, ACM инчунин ҷадвали FIT-ро истифода мебарад, ки барои нишон додани маълумоти сохтор ду намуди вуруд дорад (ниг. FIT_ENTRY_TYPES дар боло).

Биёед манифестҳоро бодиққат дида бароем. Дар сохтори манифести аввал, мо якчанд константаҳои норавшан мебинем, ки хэши калиди оммавӣ аз манифести дуюм ва калиди оммавии OEM решавӣ ҳамчун сохтори лона имзо шудааст:

typedef struct KEY_MANIFEST
{
	char           Tag[8];          // ‘__KEYM__’
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 0
	unsigned char  : 8;             // 1
	unsigned short : 16;            // 0Bh
	unsigned short : 16;            // 20h == hash size?
	unsigned char  IbbmKeyHash[32]; // SHA256 of an IBBM public key
	BG_RSA_ENTRY   OemRootKey;
};

typedef struct BG_RSA_ENTRY
{
	unsigned char  : 8;             // 10h
	unsigned short : 16;            // 1
	unsigned char  : 8;             // 10h
	unsigned short RsaPubKeySize;   // 800h
	unsigned long  RsaPubExp;
	unsigned char  RsaPubKey[256];
	unsigned short : 16;            // 14
	unsigned char  : 8;             // 10h
	unsigned short RsaSigSize;      // 800h
	unsigned short : 16;            // 0Bh
	unsigned char  RsaSig[256];
};

Барои тасдиқи калиди ҷамъиятии OEM Root Key, мо дар хотир дорем, ки мо хэши SHA256-ро истифода мебарем, ки дар ин лаҳза аз Intel ME гирифта шудааст.

Биёед ба манифести дуюм гузарем. Он аз се сохтор иборат аст:

typedef struct IBB_MANIFEST
{
	ACBP Acbp;         // Boot policies
	IBBS Ibbs;         // IBB description
	IBB_DESCRIPTORS[];
	PMSG Pmsg;         // IBBM signature
};

Якум дорои якчанд доимӣ мебошад:

typedef struct ACBP
{
	char           Tag[8];          // ‘__ACBP__’
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 1
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 0
	unsigned short : 16;            // x & F0h = 0
	unsigned short : 16;            // 0 < x <= 400h
};

Дуюм хэши SHA256-и IBB ва шумораи дескрипторҳоеро дар бар мегирад, ки мундариҷаи IBB-ро тавсиф мекунанд (яъне, хэш аз чӣ ҳисоб карда мешавад):

typedef struct IBBS
{
	char           Tag[8];            // ‘__IBBS__’
	unsigned char  : 8;               // 10h
	unsigned char  : 8;               // 0
	unsigned char  : 8;               // 0
	unsigned char  : 8;               // x <= 0Fh
	unsigned long  : 32;              // x & FFFFFFF8h = 0
	unsigned long  Unknown[20];
	unsigned short : 16;              // 0Bh
	unsigned short : 16;              // 20h == hash size ?
	unsigned char  IbbHash[32];       // SHA256 of an IBB
	unsigned char  NumIbbDescriptors;
};

Дескрипторҳои IBB ин сохторро пайгирӣ мекунанд. Мундариҷаи онҳо дорои формати зерин мебошанд:

typedef struct IBB_DESCRIPTOR
{
	unsigned long  : 32;
	unsigned long  BaseAddress;
	unsigned long  Size;
};

Ин оддӣ аст: ҳар як тавсифкунанда суроға/ҳаҷми порчаи IBB-ро дар бар мегирад. Ҳамин тариқ, пайвастагии блокҳои ба ин дескрипторҳо ишорашуда (бо тартиби худи дескрипторҳо) IBB мебошад. Ва, чун қоида, IBB маҷмӯи ҳамаи модулҳои марҳилаҳои SEC ва PEI мебошад.

Манифести дуюм бо сохторе анҷом дода мешавад, ки дорои калиди ҷамъиятии IBB (аз ҷониби хэш SHA256 аз манифести аввал тасдиқ карда шудааст) ва имзои ин манифест:

typedef struct PMSG
{
	char           Tag[8];            // ‘__PMSG__’
	unsigned char  : 8;               // 10h
	BG_RSA_ENTRY   IbbKey;
};

Ҳамин тавр, ҳатто пеш аз он ки UEFI BIOS ба кор шурӯъ кунад, протсессор ACM-ро оғоз мекунад, ки аслияти мундариҷаи бахшҳоро бо рамзи марҳилаи SEC ва PEI тафтиш мекунад. Баъдан, протсессор аз ACM мебарояд, вектори RESET-ро пайгирӣ мекунад ва ба иҷрои BIOS оғоз мекунад.

Қисмати тасдиқшудаи PEI бояд як модул дошта бошад, ки боқимондаи BIOS (рамзи DXE) -ро тафтиш кунад. Ин модул аллакай аз ҷониби IBV (Independent BIOS Vendor) ё худи фурӯшандаи система таҳия карда мешавад. Зеро Танҳо системаҳои Lenovo ва Gigabyte дар ихтиёри мо буданд ва дастгирии Intel BG доштанд; биёед ба рамзи истихроҷшуда аз ин системаҳо назар андозем.

Модули UEFI BIOS LenovoVerifiedBootPei

Дар мавриди Lenovo, он модули LenovoVerifiedBootPei буд {B9F2AC77-54C7-4075-B42E-C36325A9468D}, ки аз ҷониби Lenovo таҳия шудааст.

Вазифаи он ҷустуҷӯ кардан (аз ҷониби GUID) ҷадвали хэш барои DXE ва санҷиши DXE мебошад.

if (EFI_PEI_SERVICES->GetBootMode() != BOOT_ON_S3_RESUME)
{
	if (!FindHashTable())
		return EFI_NOT_FOUND;
	if (!VerifyDxe())
		return EFI_SECURITY_VIOLATION;
}

Хеш таблица {389CC6F2-1EA8-467B-AB8A-78E769AE2A15} имеет следующий формат:

typedef struct HASH_TABLE
{
	char          Tag[8];            // ‘$HASHTBL’
	unsigned long NumDxeDescriptors;
	DXE_DESCRIPTORS[];
};

typedef struct DXE_DESCRIPTOR
{
	unsigned char BlockHash[32];     // SHA256
	unsigned long Offset;
	unsigned long Size;
};

Модули UEFI BIOS BootGuardPei

Дар мавриди Gigabyte, он модули BootGuardPei {B41956E1-7CA2-42DB-9562-168389F0F066} буд, ки аз ҷониби AMI таҳия шудааст, аз ин рӯ, дар ҳама гуна AMI BIOS бо дастгирии Intel BG мавҷуд аст.

Алгоритми амалиётии он то андозае фарқ мекунад, аммо он ба як чиз бармегардад:

int bootMode = EFI_PEI_SERVICES->GetBootMode();

if (bootMode != BOOT_ON_S3_RESUME &&
    bootMode != BOOT_ON_FLASH_UPDATE &&
    bootMode != BOOT_IN_RECOVERY_MODE)
{
	HOB* h = CreateHob();
	if (!FindHashTable())
		return EFI_NOT_FOUND;
	WriteHob(&h, VerifyDxe());
	return h;
}

Ҷадвали хэш {389CC6F2-1EA8-467B-AB8A-78E769AE2A15}, ки онро ҷустуҷӯ мекунад, формати зерин дорад:

typedef HASH_TABLE DXE_DESCRIPTORS[];

typedef struct DXE_DESCRIPTOR
{
	unsigned char BlockHash[32];     // SHA256
	unsigned long BaseAddress;
	unsigned long Size;
};

Intel Boot Guard 2.x

Биёед мухтасар дар бораи татбиқи дигари Intel Boot Guard сӯҳбат кунем, ки он дар системаи навтар дар асоси Intel SoC бо микроархитектураи Apollo Lake - ASRock J4205-IT пайдо шудааст.

Гарчанде ки ин версия танҳо дар SoC-ҳо истифода мешавад (системаҳои нав бо микроархитектураи протсессори Kaby Lake Intel Boot Guard 1.x-ро идома медиҳанд), он ба омӯзиши варианти нави меъмории платформаҳои Intel SoC, ки тағйироти назаррасро мушоҳида кардаанд, таваҷҷӯҳи зиёд дорад. масалан:

минтақаҳои BIOS ва Intel ME (ё дурусттараш Intel TXE, мувофиқи истилоҳоти Intel SoC) ҳоло як минтақаи IFWI мебошанд;
гарчанде ки Intel BG дар платформа фаъол карда шуда буд, дар хотираи флешдор сохторҳо ба монанди FIT, KEYM, IBBM ёфт нашуданд;
ба ғайр аз ядроҳои TXE ва ISH (x86), як ядрои сеюм ба чипсет илова карда шуд (Бо ин роҳ, боз ARC) - PMC (Назоратчии идоракунии нерӯ), ки бо таъмини кори зерсистемаи барқ ва мониторинги иҷроиш алоқаманд аст.

Мундариҷаи минтақаи нави IFWI маҷмӯи модулҳои зерин аст:

Ғараз
ном
Шарҳи

0000 2000с
SMIP
конфигуратсияи муайяни платформа, ки аз ҷониби фурӯшанда имзо шудааст

0000 6000с
RBEP
Бахши рамзи нармафзори Intel TXE, x86, имзои Intel

0001 0000с
PMCP
Бахши рамзи нармафзори Intel PMC, ARC, Intel имзо шудааст

0002 0000с
FTPR
Бахши рамзи нармафзори Intel TXE, x86, имзои Intel

0007 B000h
UCOD
навсозиҳои микрокод барои CPU, ки аз ҷониби Intel имзо шудааст

0008 0000с
IBBP
UEFI BIOS, марҳилаҳои SEC/PEI, x86, ки аз ҷониби фурӯшанда имзо шудааст

0021 8000с
ISHC
Бахши рамзи нармафзори Intel ISH, x86, ки аз ҷониби фурӯшанда имзо шудааст

0025 8000с
NFTP
Бахши рамзи нармафзори Intel TXE, x86, имзои Intel

0036 1000с
IUNP
номаълум аст

0038 1000с
OBBP
UEFI BIOS, марҳилаи DXE, x86, имзонашуда

Ҳангоми таҳлили нармафзори TXE маълум шуд, ки пас аз RESET, TXE протсессорро то он даме, ки мундариҷаи асосии фазои суроғаро барои CPU омода накунад (FIT, ACM, вектори RESET ...) дар ин ҳолат нигоҳ медорад. Ғайр аз он, TXE ин маълумотро дар SRAM-и худ ҷойгир мекунад ва пас аз он муваққатан ба протсессор дастрасии он ҷо медиҳад ва онро аз RESET "озод мекунад".

Эҳтиёт аз руткитҳо

Хуб, акнун биёед ба чизҳои "гарм" мегузарем. Мо боре фаҳмидем, ки дар бисёр системаҳо дескрипторҳои флеши SPI дорои иҷозати дастрасӣ ба минтақаҳои хотираи флеши SPI мебошанд, то ҳамаи корбарони ин хотира битавонанд дилхоҳ минтақаро бинависанд ва бихонанд. Онхое. ҳеҷ роҳе.

Пас аз тафтиш бо утилитаи MEinfo (аз Intel STK), мо дидем, ки режими истеҳсолӣ дар ин системаҳо пӯшида нест, аз ин рӯ, фишурдаҳои чипсет (FPFs) дар ҳолати номуайян мондаанд. Бале, Intel BG дар чунин ҳолатҳо на фурӯзон ва на хомӯш карда мешавад.

Мо дар бораи системаҳои зерин сухан меронем (дар бораи Intel BG ва он чизе, ки баъдтар дар мақола тавсиф карда мешавад, мо дар бораи системаҳои микроархитектураи протсессори Haswell ва болотар гап мезанем):

ҳама маҳсулоти Gigabyte;
ҳама маҳсулоти MSI;
21 модели ноутбукҳои Lenovo ва 4 модели серверҳои Lenovo.

Албатта, мо дар бораи кашфиёт ба ин фурӯшандагон ва инчунин ба Intel хабар додем.

Як вокуниши кофӣ танҳо аз омад Lenovoки проблемаро эътироф намуда пачка бароварданд.

Gigabyte Чунин менамуданд, ки онҳо маълумотро дар бораи осебпазирӣ қабул карданд, аммо ба ҳеҷ ваҷҳ шарҳ надоданд.

Муошират бо MSI бо дархости мо барои фиристодани калиди ҷамъиятии PGP-и худ (барои фиристодани маслиҳати амниятӣ дар шакли рамзшуда) комилан қатъ шуд. Онҳо изҳор доштанд, ки онҳо "истеҳсолкунандаи сахтафзор ҳастанд ва калидҳои PGP истеҳсол намекунанд."

Аммо биёед ба асли масъала бирасем. Азбаски муҳофизаткунандаҳо дар ҳолати номуайян мондаанд, корбар (ё ҳамлакунанда) метавонад онҳоро мустақилона барномарезӣ кунад (аз ҳама мушкил ин аст. пайдо кардани Intel STK). Барои ин, шумо бояд қадамҳои зеринро иҷро кунед.

1. Ба Windows OS бор кунед (умум, амалҳои дар зер тавсифшуда метавонанд дар зери Linux низ анҷом дода шаванд, агар шумо аналоги Intel STK-ро барои OS-и дилхоҳ таҳия кунед). Бо истифода аз утилитаи MEinfo, боварӣ ҳосил кунед, ки муҳофизаткунандаҳо дар ин система барномарезӣ нашудаанд.

2. Мундариҷаи хотираи флешро бо воситаи Flash Programming Tool хонед.

3. Тасвири хондашударо бо истифода аз ягон абзори таҳрири UEFI BIOS кушоед, тағиротҳои заруриро ворид кунед (масалан, руткит ворид кунед), сохторҳои мавҷудаи KEYM ва IBBM-ро дар минтақаи ME эҷод/таҳрир кунед.

Тасвир қисми оммавии калиди RSA-ро таъкид мекунад, ки хэши он дар паҳлӯҳои чипсет дар якҷоягӣ бо конфигуратсияи боқимондаи Intel BG барномарезӣ карда мешавад.

4. Бо истифода аз Flash Image, як тасвири нармафзори нав созед (бо гузоштани конфигуратсияи Intel BG).

5. Бо истифода аз Flash Programming Tool ба хотираи флеш тасвири нав нависед ва бо истифода аз MEinfo тасдиқ кунед, ки минтақаи ME ҳоло конфигуратсияи Intel BG-ро дар бар мегирад.

6. Барои пӯшидани реҷаи истеҳсолӣ асбоби Flash Programming -ро истифода баред.

7. Система бозоғоз мешавад ва пас аз он шумо метавонед MEinfo-ро истифода баред, то боварӣ ҳосил кунед, ки FPFҳо ҳоло барномарезӣ шудаанд.

Ин амалхо то абад Intel BG-ро дар ин система фаъол созед. Амалро бекор кардан мумкин нест, яъне:

Танҳо соҳиби қисми хусусии калиди реша (яъне, шахсе, ки Intel BG-ро фаъол кардааст) метавонад UEFI BIOS-ро дар ин система навсозӣ кунад;
агар шумо нармафзори аслиро ба ин система баргардонед, масалан, бо истифода аз барномасоз, он ҳатто фаъол намешавад (оқибати сиёсати иҷроиш дар сурати хатогии санҷиш);
барои аз чунин UEFI BIOS халос шудан, ба шумо лозим аст, ки чипсетро бо FPF-ҳои барномарезишуда бо "тоза" иваз кунед (яъне, агар шумо ба истгоҳи кафшери инфрасурх дастрасӣ дошта бошед, чипсетро бо нархи мошин иваз кунед ё танҳо иваз кардани motherboard ).

Барои фаҳмидани он, ки чунин руткит чӣ кор карда метавонад, шумо бояд арзёбӣ кунед, ки чӣ гуна коди шуморо дар муҳити UEFI BIOS иҷро кардан мумкин аст. Фарз мекунем, ки дар реҷаи протсессори имтиёзноктарин - SMM. Чунин руткит метавонад дорои хосиятҳои зерин бошад:

дар баробари OS иҷро карда мешавад (шумо метавонед коркардро барои тавлиди қатъи SMI танзим кунед, ки он аз ҷониби таймер ба кор андохта мешавад);
дорои тамоми бартариҳои дар реҷаи SMM будан (дастрасии пурра ба мундариҷаи RAM ва захираҳои сахтафзор, махфӣ аз ОС);
Рамзи барномаи руткитро ҳангоми дар ҳолати SMM оғоз кардан мумкин аст рамзгузорӣ ва рамзкушоӣ кард. Ҳама гуна маълумоте, ки танҳо дар ҳолати SMM мавҷуд аст, метавонад ҳамчун калиди рамзгузорӣ истифода шавад. Масалан, хэш аз маҷмӯи суроғаҳо дар SMRAM. Барои гирифтани ин калид, шумо бояд ба SMM ворид шавед. Ва ин метавонад бо ду роҳ анҷом дода шавад. Дар рамзи SMM RCE-ро пайдо кунед ва онро истифода баред ё модули SMM-и худро ба BIOS илова кунед, ки ин имконнопазир аст, зеро мо Boot Guard-ро фаъол кардем.

Ҳамин тариқ, ин осебпазирӣ ба ҳамлагар имкон медиҳад:

эҷоди руткити пинҳон ва тозанашавандаи ҳадафи номаълум дар система;
рамзи худро дар яке аз ядроҳои чипсет дар дохили Intel SoC, яъне дар Intel ISH иҷро кунед (ба расм бодиққат нигоҳ кунед).

Гарчанде ки имкониятҳои зерсистемаи Intel ISH то ҳол омӯхта нашудаанд, он як вектори ҷолиби ҳамла барои Intel ME ба назар мерасад.

натиҷаҳои

Таҳқиқот имкон дод, ки тавсифи техникии кори технологияи Intel Boot Guard гирифта шавад. Минус якчанд асрор дар амнияти Intel тавассути модели норавшан.
Сенарияи ҳамла пешниҳод карда мешавад, ки ба шумо имкон медиҳад, ки дар система руткити насбнашаванда эҷод кунед.
Мо дидем, ки протсессори муосири Intel қодир аст, ки ҳатто пеш аз он ки BIOS ба кор шурӯъ кунад, бисёр кодҳои хусусиро иҷро кунад.
Платформаҳо бо меъмории Intel 64 барои иҷро кардани нармафзори озод торафт камтар мувофиқ мешаванд: санҷиши сахтафзор, шумораи афзояндаи технологияҳои хусусӣ ва зерсистемаҳо (се ядро дар чипсети SoC: x86 ME, x86 ISH ва ARC PMC).

Сабуккуниҳо

Фурӯшандагоне, ки қасдан режими истеҳсолиро боз мекунанд, бояд ҳатман онро пӯшанд. То ҳол танҳо чашмони онҳо пӯшидаанд ва системаҳои нави Лейк Каби инро нишон медиҳанд.

Истифодабарандагон метавонанд Intel BG-ро дар системаҳои худ (ки ба осебпазирии тавсифшуда осебпазиранд) тавассути иҷро кардани абзори барномасозии Flash бо параметри -closemnf хомӯш кунанд. Аввалан, шумо бояд боварӣ ҳосил кунед (бо истифода аз MEinfo) конфигуратсияи Intel BG дар минтақаи ME барои хомӯш кардани ин технология пас аз барномасозӣ дар FPFs пешбинӣ мекунад.

Манбаъ: will.com

Зеркашии боэътимоди Шредингер. Intel Boot Guard