Повечето хора вероятно не знаят за съществуването на Secure Boot, но тази функция за сигурност на Windows осигурява жизненоважна защита срещу зловреден софтуер – защита, която някои компютри току-що са загубили. И така, какво точно представлява Secure Boot и защо трябва да обръщате внимание на последните новини по темата? Ситуацията е по-сложна, отколкото може би предполагате. Тя изисква и малко ръчна работа от страна на всеки. Ето какво трябва да знаете.
Какво е Secure Boot?Функцията Secure Boot (Защитено зареждане) предотвратява стартирането на съмнителен софтуер, преди да стартирате Windows. Функцията е отговор на „bootkits“ – вид атака, която започна в средата на 2000-те години. Тогава хакерите вмъкваха злонамерен код в последователността на зареждането, което им позволяваше да модифицират Windows незабелязано и да избегнат откриването от антивирусния софтуер. С Windows 8, Microsoft внедри Secure Boot, за да блокира такъв зловреден софтуер. Въвеждането му беше значителен тласък за сигурността на персоналните компютри.
Как работи Secure Boot?Представете си Secure Boot като контролен пункт на строго охранявана сграда. Само хора от одобрен списък могат да влязат, а охранител проверява самоличността им, преди да допусне някого. Secure Boot извършва подобна проверка на вашия компютър. Той разчита на сертификати за сигурност, съдържащи криптографска информация, използвана за проверка на драйверите и другите елементи, необходими за стартирането на Windows. В тази аналогия Secure Boot е охранителят. Кодът, зареден по време на стартирането е човекът, който показва лична карта (цифров подпис), а сертификатите за сигурност са базата данни, съдържаща личните карти на одобрените лица.
Bootkit атакуват по време на стартирането, преди Windows да се зареди
Защо са ви необходими нови сертификати за Secure Boot?
Много компютри са доставяни с оригиналните версии на сертификатите, издадени през 2011 година. Единствено по-новите компютри се доставят със следващия набор от 2023 година. Сертификатите за Secure Boot от 2011 година са били предназначени да изтекат след 15 години, през 2026 година. Според собствените думи на Microsoft този план е бил въведен, „за да се гарантира, че устройствата с Windows продължават да проверяват надеждния софтуер за стартиране“. Към момента три от четирите сертификата вече са изтекли. Това се случи в края на юни, а четвъртият ще изтече през октомври.
Изтеклите сертификати означават отслабена защита за вашия компютър – Secure Boot няма да може да блокира по-нови атаки срещу процеса на стартиране. Актуализирането към сертификатите от 2023 година поддържа постоянна защита срещу bootkits и друг зловреден софтуер, насочен към процеса на стартиране.
Как да разберете дали сертификатите за Secure Boot на вашия компютър са остарели?Трябва ръчно да проверите в Windows дали сертификатите ви за Secure Boot са актуални – фактът, че можете да стартирате Windows, не е доказателство за това. Компютърът все още може да влезе в Windows с изтекли сертификати от 2011 година. В повечето случаи Windows ще ви уведоми за проблема – един от признаците е появата на икона със син щит в лентата със задачи, върху която има жълта или червена отметка.
В противен случай отворете приложението „Защита в Windows“ и изберете „Защита на устройството“. Зелената отметка означава, че разполагате със сертификатите за Secure Boot от 2023 година и че те са актуални. Жълтото или червеното предупреждение показва, че трябва да предприемете действия.
Нужна ли ви е наистина Secure Boot?
Можете да използвате компютъра си с изтекли сертификати за Secure Boot, точно както можете да продължите да карате колата си, когато светне лампичката за „чек“ на двигателя, но игнорирането на предупреждението може да доведе до сериозни главоболия по-късно. Премахването на зловреден софтуер, който засяга последователността на зареждането е изключително трудно, както по отношение на откриването, така и на премахването. Sеcure Boot осигурява защита, ако това някога се случи, защото няма да позволи на системата ви да се зарежда.
Как да получите актуализирани сертификати за Securе Boot?На повечето компютри с Windows вече са инсталирани сертификатите за Securе Boot за 2023 година. Ако видите зелена отметка, всичко е наред и не трябва да се притеснявате повече.
Ако имате жълто или червено предупреждение, ще трябва да се заемете по-сериозно с компютъра си – да проверите дали компютърът ви ще получи поддръжка от производителя, дали трябва да извършите ръчна актуализация на UEFI/BIOS и т.н. Можете да прочетете повече за това какво да направите (и как да го направите) в следното ръководство.
Какво ще стане, ако не можете да получите актуализирани сертификати за Sеcure Boot?Следващите ви стъпки зависят от това дали компютърът ви е получил жълто или червено предупреждение. Жълтото обикновено означава, че просто трябва да изчакате още малко (и да се уверите, че UEFI/BIOS е актуализиран).
Червеното може да означава, че компютърът ви няма да получи новите сертификати за Secure Boot. Някои производители са заявили, че поддръжката за определени продукти, чийто жизнен цикъл е приключил е прекратена. Това означава, че няма да получите актуализацията на UEFI/BIOS, необходима за по-новите сертификати от 2023 година. В такава неприятна ситуация имате три основни възможности: да продължите да използвате Windows незащитени, да си купите нов компютър или като алтернатива да свикнете с Linux – по-конкретно с дистрибуция, която може да преодолее тази пречка.