Что такое BIOS, DMI,Boot Guard,TPM,BitLocker

[STINGERcod]

BIOS (от англ. basic input/output system — «базовая система ввода-вывода)— набор микропрограмм, реализующих низкоуровневые API для работы с аппаратным обеспечением компьютера, а также создающих необходимую программную среду для запуска операционной системы у IBM PC-совместимых компьютеров. BIOS относится к системному программному обеспечению.

C начала XXI в. BIOS стал постепенно заменяться UEFI. Однако многие производители материнских плат компьютеров, учитывая инертность основной массы потребителей, используют объединённый термин UEFI/BIOS, неверный с технической точки зрения, но дающий возможность понять потребителям, что речь идёт о подсистеме, аналогичной BIOS. До сих пор, на страницах поддержки производителем материнских плат указаны для скачивания файлы BIOS, хоть они и давно уже являются микропрограммами UEFI.

Unified Extensible Firmware Interface (UEFI) - интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, его основное предназначение: корректно инициализировать оборудование при включении системы и передать управление загрузчику или непосредственно ядру операционной системы. Проще говоря, это мини-операционная система, которая работает между прошивкой материнской платы и операционной системой. UEFI работает намного быстрее, позволяет работать с дисками больше размера, использовать графический интерфейс, мышь, сетевое подключение для обновления и восстановления и пр.

Intel Management Engine Interface (IMEI или Intel ME) — Если не сильно углубляться в суть, то объяснить, что это такое можно так – это микропрограмма, которая используется для настройки и инициализации чипсета Intel, обрабатывается эта программа микропроцессором, который встроен в чипсет.
Точно, как он работает, информации не найти, это засекреченные данные, так как данная микропрограмма работает всегда, даже на выключенном ПК, позволяет администрировать, включать, выключать и всячески управлять настройками чипсета и устройства в целом. И для настройки Intel ME есть отдельный region(область) в прошивке UEFI.
Region – часть прошивки UEFI, отвечающая за определённую функцию.
Если разобрать образ UEFI, то мы увидим несколько таких Region'ов. Основные это BIOSRegion, собственно, сама прошивка для материнской платы, MERegion, отвечающая за Intel ME, EC Region отвечает за работу мультиконтроллера и т.д.

DMI (Desktop Management Interface) — это стандартный интерфейс управления настольными компьютерами и серверами. Он предоставляет информацию о системе, такую как серийный номер, производитель материнской платы, тип процессора и другие системные характеристики.

Intel Boot Guard — это технология безопасности, разработанная компанией Intel для защиты системы на этапе загрузки от вредоносных атак и программного обеспечения. Основная цель Boot Guard — обеспечить, чтобы процесс загрузки системы происходил без вмешательства вредоносного ПО, которое может попытаться изменить процесс загрузки.

Как работает Intel Boot Guard:
Проверка подлинности кода: Intel Boot Guard использует механизм проверки подлинности кода, который основан на криптографических ключах и сертификатах. При включении Boot Guard процессор проверяет, что первоначальная загрузочная прошивка (BIOS или UEFI) подписана изготовителем материнской платы или OEM-производителем. Это помогает гарантировать, что прошивка не была изменена или заражена вредоносным ПО.
Защита через аппаратные средства: Boot Guard использует специальный чип TPM (Trusted Platform Module) или аппаратные средства процессора для проверки и хранения криптографических ключей, что увеличивает уровень безопасности.
Режимы работы: Intel Boot Guard может работать в двух основных режимах:
Measured Boot: В этом режиме Boot Guard проверяет подлинность загрузочной прошивки и записывает параметры загрузки в TPM. Это позволяет в дальнейшем проверить, не были ли эти параметры изменены.
Verified Boot: В этом режиме, если обнаруживается, что загрузочная прошивка не соответствует ожиданиям, система не запустится или будет загружена альтернативная безопасная прошивка, если она предусмотрена.
Значение для безопасности:
Intel Boot Guard существенно повышает безопасность на этапе загрузки, препятствуя атакам на прошивку, которые могут привести к постоянному заражению системы вредоносным ПО

Trusted Platform Module (TPM) – это специализированный чип, который используется для обеспечения безопасности компьютерных систем путём безопасного хранения криптографических ключей, паролей и других конфиденциальных данных. TPM предоставляет аппаратные средства для защиты данных и помогает обеспечить целостность системы. Он может быть интегрирован в материнскую плату или реализован в виде отдельного микрочипа.

Основные функции и характеристики TPM:
Генерация и хранение ключей: TPM может генерировать криптографические ключи, которые могут использоваться для шифрования и дешифрования данных. Ключи хранятся внутри чипа и не могут быть извлечены из него в открытом виде, что повышает безопасность.
Поддержка шифрования: TPM поддерживает множество криптографических алгоритмов, включая RSA, SHA-1, SHA-256 и другие, которые используются для различных задач шифрования и подписи данных.
Защита от несанкционированного доступа: TPM помогает обеспечивать безопасность данных на устройствах, защищая их от несанкционированного доступа, включая атаки похищения данных и программного обеспечения.
Аттестация: TPM может проводить аттестацию компьютера, подтверждая, что загрузка системы была выполнена без изменений вредоносным ПО. Это достигается за счёт измерения и проверки целостности загрузочного процесса и операционной системы.
Remote Attestation: Эта функция позволяет удалённой стороне проверить, что система не была изменена. Это важно для корпоративной безопасности, когда необходимо подтвердить состояние системы перед началом удалённой работы.
Поддержка для BitLocker: В Windows, TPM часто используется вместе с BitLocker, функцией шифрования диска, которая использует ключи, хранимые в TPM для улучшения безопасности данных.

BitLocker - это технология шифрования диска, разработанная компанией Microsoft для операционных систем Windows. BitLocker обеспечивает защиту конфиденциальных данных путём шифрования всего содержимого диска и защиты от несанкционированного доступа.

Основные характеристики и функции BitLocker:
Шифрование диска: BitLocker шифрует содержимое диска с использованием аппаратных или программных средств шифрования. Это позволяет защитить данные от несанкционированного доступа, даже если диск украден или потерян.
Защита загрузочного раздела: BitLocker также защищает загрузочные разделы и системные файлы, что предотвращает атаки на загрузку системы.
Использование TPM (Trusted Platform Module): BitLocker может использовать TPM для хранения ключей шифрования и обеспечения дополнительного уровня безопасности. Это позволяет обнаружить изменения в загрузочном процессе или в системе и предотвратить запуск компьютера с изменённого носителя.
Поддержка вариантов аутентификации: BitLocker поддерживает различные методы аутентификации, включая ввод пароля при загрузке, использование USB-ключа или комбинацию TPM и PIN-кода.
Работа в корпоративной среде: BitLocker Enterprise позволяет администраторам управлять устройствами и ключами шифрования через службы домена и групповые политики.
Поддержка съёмных носителей: BitLocker может быть использован для шифрования как внутренних, так и внешних носителей данных, таких как USB-флешки и внешние жёсткие диски

Теперь, давайте рассмотрим основные ситуации, когда нужна прошивка, и что для этого нужно сделать.

1) При ручном обновлении BIOS ноутбук завис\перебои с электричеством\дети выключили и другие вмешательства, из-за которых ноутбук выключился аварийно и больше не включается.

В 99% процентах случаев прошивка будет испорчена, хоть и не полностью. И здесь есть несколько вариантов.
Самый простой – ищем и скачиваем дамп прошивки, снятый кем-нибудь с такого же ноутбука. Если такой нашелся, то можно работать с ним. Если мы просто зальём эту прошивку на ноутбук, то результат может быть непредсказуемым из-за настроек MERegion'a, из-за неправильной DMI-информации производителя и т.п. Ноутбук может просто не включиться, может включаться очень долго, выключаться после определенного времени, могут не видится устройства SATA, не работать звук, сетевая карта, выдавать множество ошибок при включении, всегда работать вентиляторами на полную мощность и множество других проблем.

Нужно взять прошивку с такого же ноутбука, открыть его в специальном инструментарии Flash Image Tool (ПО, созданное Intel для производителей материнских плат), и уже в нём извлечь «старый» сконфигурированный MERegion и заменить его на новый «чистый».

Теперь нам нужно перенести всю DMI область из старого дампа в новый.

В DMI области хранятся серийные номера, названия моделей, ключи Windows и прочее.
Это необходимо, потому что практически все линейки ноутбуков тоже не работают стабильно без этой информации, будут выдавать ошибки при включении, не будет активироваться система, проблемы могут быть с сетевым подключением и другие неприятные вещи.
Чаще всего, перенос информации делается в HEX-редакторах. Они позволяют увидеть и покопаться внутри кода прошивки.

И ситуация, самая сложная и неоднозначная в работе. Когда у нас нет изначального дампа, или он есть не целиком. Такое возможно, если флешка прошивки неисправна, не считывается, не считывается полностью, с ошибками, либо ноутбук пришёл из другого сервиса вообще без флешки, и так же негде скачать прошивку с такого же устройства.

В таком случае работа будет вестись с файлом обновления, доступный на сайте производителя, с прошивками с похожих устройств, и собираться по крупицам с помощью HEX-редактора. Сложность в том, что обновления имеют чаще всего нелинейную структуру, куски кода могут быть разбросаны так, как только придёт в голову разработчикам, и нужно будет вручную это всё анализировать. Не считая того, что придётся вручную искать и вбивать всю DMI-информацию, для чего нередко (например, на HP и DELL) приходится полностью разбирать ноутбук, так как вся информация находится на стикерах на корпусных частях внутри ноутбука.