Boot failure guard что это в биосе
Перейти к содержимому

Boot failure guard что это в биосе

  • автор:

Intel Boot Guard на пальцах

Предлагаю окунуться в дебри микроархитектуры компьютера и разобраться с тем, как работает одна из наиболее распространенных технологий обеспечения аппаратной целостности загрузки BIOS — Intel Boot Guard. В статье освещены предпосылки появления технологии, перечислены все режимы работы, а так же описан алгоритм каждого из них. Обо всем по порядку.

История и предпосылки создания

Процесс загрузки компьютера представляет собой цепочку событий, в которой управление исполнительной аппаратурой передается от звена к звену, начиная с нажатия пользователем кнопки включения и заканчивая работой приложения. Проблема заключается в том, что каждое из этих звеньев может быть взломано злоумышленником. Причем чем более ранний компонент подвергается атаке, тем большую свободу действий получает правонарушитель. Известны случаи атак, при которых злоумышленник заменял BIOS или Boot loader на собственные, уязвимые и, по сути, превращал компьютер в «кирпич» (именно поэтому такой тип атак называется Bricking). В попытках защитить процесс загрузки компьютера были созданы многие программные средства проверки целостностности. Однако любая программа может быть успешно заменена правонарушителем, поэтому на нее невозможно полагаться на сто процентов. Отсюда и возникла необходимость создания более надежной, аппаратной технологии обеспечения целостности загрузки.

В качестве своего варианта обеспечения аппаратной защиты загрузки компьютера Intel в 2013 году встроила в новую микроархитектуру Haswell технологию Boot Guard. В процесс загрузки был добавлен аппаратный модуль аутентифицированного кода (ACM, Authenticated code module), а производителям оборудования пришлось расширить BIOS, добавив в него начальный блок загрузки (IBB, Initial boot block). С тех пор цепочка загрузки компьютера включает в себя ACM, с помощью которого проверяется IBB, после чего управление передается BIOS и так далее.

Схема процесса загрузки компьютера с Intel Boot Guard

Схема процесса загрузки компьютера с Intel Boot Guard

Режимы работы

Важной составляющей технологии Boot Guard является настройка ее работы. Производитель оборудования должен выбрать, какой режим работы активирован и какие действия стоит предпринимать в случае ошибки в ACM или IBB. Вся эта информация содержится в политиках загрузки, которые «зашиты» в аппаратуре.

Режимы работы Boot Guard можно классифицировать по корню доверия:

Измеренная загрузка (Measured boot) полагается на дополнительное устройство, встраиваемое производителем оборудования. Одним из возможных вариантов устройства является TPM (Trusted platform module) — криптопроцессор, в который предустановлены генератор случайных чисел, генератор ключей RSA, устройство хеширования и устройство RSA.

Проверенная загрузка (Verified boot) полагается на программируемые предохранители, которые являются частью аппаратуры компьютера. По своей сущности программируемый предохранитель — это ячейка, которая может находиться в двух состояниях: сожжена или не сожжена. Будучи сожженной, ячейка не может вернуться в исходное состояние. Таким образом можно кодировать информацию.

Измеренная загрузка

В памяти криптопроцессора TPM хранится эталон хеша начального блока загрузки (IBB), с помощью которого и производится проверка подлинности IBB. Алгоритм работы Boot Guard в режиме измеренной загрузки следующий:

Начальный блок загрузки записывается в память криптопроцессора TPM

Устройство хеширования криптопроцессора загружает записанный в памяти IBB

Устройство хеширования вычисляет хеш IBB

Хеш IBB записывается в память криптопроцессора

Производится сравнение между текущим хешем IBB и его эталоном

В случае совпадения состема помечается как надежная, иначе — как ненадежная

Проверенная загрузка

Схема работы Boot Guard в режиме измеренной загрузки выглядит несколько сложнее, поскольку помимо начального блока загрузки (IBB) и программируемых предохранителей в нее входят две дополнительные структуры: манифест IBB (IBBM) и манифест ключа. Манифест IBB включает в себя номер версии безопасности, хеш IBB, открытый ключ RSA, подпись RSA номера версии и хеша IBB. Манифест ключа включает в себя номер версии безопасности, хеш открытого ключа RSA манифеста IBB, открытый ключ RSA производителя оборудования, подпись RSA номера версии и хеша открытого ключа RSA манифеста IBB. В программируемых предохранителях записаны хеш открытого ключа RSA производителя и номера версий безопасности манифестов. Все вычисления и сравнения выполняются с помощью модуля аутентифицированного кода (ACM). Алгоритм работы Boot Guard в режиме проверенной загрузки следующий:

В ACM загружаются хеш открытого ключа RSA производителя и номера версий безопасности манифестов из программируемых предохранителей.

Проверяются номера версий безопасности манифестов. Если хотя бы один из номеров оказался меньше, то проверка завершается в соответствии с политиками загрузки. Если хотя бы один из номеров оказался больше, то соответствующее значение будет обновлено в программируемых предохранителях в конце проверки.

Вычисляется хеш открытого ключа RSA производителя и производится сравнение с соответствующим значением из программируемых предохранителей. В случае несовпадения проверка завершается в соответствии с политиками загрузки.

Проверяется подпись RSA в манифесте ключа. В случае несоответствия проверка завершается в соответствии с политиками загрузки.

Вычисляется хеш открытого ключа RSA манифеста IBB и производится сравнение с соответствующим значением из манифеста ключа. В случае несовпадения проверка завершается в соответствии с политиками загрузки.

Проверяется подпись RSA в манифесте IBB. В случае несоответствия проверка завершается в соответствии с политиками загрузки.

Вычисляется хеш IBB и производится сравнение с соответствующим значением из IBBM. В случае несовпадения проверка завершается в соответствии с политиками загрузки.

В случае необходимости номера версий безопасности манифестов обновляются в программируемых предохранителях путем сжигания дополнительного числа предохранителей.

Начальный блок загрузки успешно проверен и ему передается управление.

Заключение

В заключение хотелось бы добавить, что несмотря на всю прелесть и надежность Boot Guard, важно понимать, что настройка этой технологии доверена производителю оборудования. В 2017 году были обнаружены шесть моделей материнских плат, в которых Boot Guard была настроена некорректно и позволяла обойти проверку целостности BIOS. Берегите свои компьютеры и выбирайте надежного производителя оборудования!

При написании статьи была использована литература:

Ruan X. Platform Embedded Security Technology Revealed — Apress, Berkeley, CA, 2014. — С. 263 — ISBN 978-1-4302-6572-6

Boot Failure Guard что это за пункт в биосе?

Эй хеллоу! Например вы решили разогнать свой комп. Похвально. Но если комп не хочет запускаться на повышенной частоте, то технология Boot Failure Guard (B.F.G) предложит вам безопасный запуск и выдаст экран настроек.

Технология есть на материнках AsRock, может и на других также присутствует. И вроде как технология включена по умолчанию для всех плат AsRock.

Я написал о технологии, скорее всего пункт в биосе имеет такое же значение.

Есть еще настройка Boot Failure Guard Count — позволяет задать количество попыток загрузиться после изменения настроек для разгона. Например можно указать значение 2 — это означает, что если материнка 2 раза пыталась загрузиться и ничего не получилось, то она сбивает настройки биоса и загружается уже с безопасными настройками. Как по мне — полезная функция.

На заметку. Boot Failure Guard Count переводится — подсчет очков сбоев при загрузке (дословно). Boot Failure Guard — защита от сбоев при загрузке

  • По умолчанию Boot Failure Guard Count может быть или отключен или указано 3 попытки.
  • Чтобы выключить совсем — выставите в Boot Failure Guard значение Disabled.
  • Опции обычно находятся в разделе Boot.

Мой вывод об использовании Boot Failure Guard:

  1. Boot Failure Guard стоит включать если вы занимаетесь разгоном. Если система не заведется после ваших настроек, то функция откроет биос с оптимальными настройками (либо выдаст запрос на их применение).
  2. Boot Failure Guard Count — лучше не ставить больше двух, чтобы не испытывать железо. Если система не заводится с первого раза — мое мнение что настройки небезопасны, то есть вряд ли с такими настройками железо будет работать стабильно. Синие экраны, зависания, BSOD — все это спокойно может быть. Не стоит ставить настройки так бы сказать на пределе.
  3. При увеличении частоты не забывайте что устройство будет работать выше нормы. Греться будет также выше нормы. Поэтому вопрос об охлаждении нужно заранее продумать.

При возникновении проблем, если что-то настроили и забыли что, если система сбоит, зависает и есть подозрение что все это из-за настроек биоса — сбросьте настройки при помощи Load Optimal Defaults. Пункт обычно находится в разделе Exit (выход).

On-Demand Clock Modulation что это?

On-Demand Clock Modulation (ODCM) — устаревшая технология модуляции тактовой частоты процессора по запросу. Простыми словами — снижение частоты при перегреве, то есть что-то вроде троттлинга. Если процессор перегревается, то снижение частоты приведет к снижению температуры.

  • Опция может быть расположена в разделе Advanced > CPU Configuration. Значения могут быть Auto, Enabled, Disabled, 12.5% On, 25.0% On, 37.5% On, 50.0% On, 62.5% On, 75.0% On и 87.5% On. По умолчанию должно стоять Auto.
  • Опция была актуальна во времена Pentium 4. Тогда была проблема с процессорами, когда производительность падала, и решение оказывалось в отключении On-Demand Clock Modulation.
  • Предположительно другое название функции — Clock Modulation.
  • При разгоне вроде как нужно отключать (впрочем советую отключать и энергосберегательные технологии).

Я нашел информацию в одном журнале. Толком что имеется ввиду — не знаю. Похоже на принудительный пропуск тактов. Но опять же — я не могу точно понять. А не могу, потому что инфа была на английском, я перевел на русский.. и вот перевод:

Еще из-за включенной функции могут быть ошибки в старых играх. Например есть какая-то ошибка 200 в игре Jazz Rabbit 1994 и причина именно в On-Demand Clock Modulation. Странно, но вроде бы это относится и к игре Dota 2 — могут быть глюки при включенной функции.

Технологией On-Demand Clock Modulation можно как-то управлять. Умеют это делать например программы OverSoft CPU Informer, RightMark CPU Clock Utility.

Опция в биосе и программы OverSoft CPU Informer и RightMark CPU Clock Utility

Intel SpeedStep что это?

Enhanced Intel SpeedStep Technology (EIST) — технология энергосбережения процессоров. Принцип работы — изменение частоты и напряжения. Изменять частоту, при включенной опции Intel SpeedStep, можно из под Windows — при помощи той или иной программы, или используя инструменты самой операционки (в дополнительных параметрах питания можно ограничить максимальную частоту).

Коротко о важном:

  1. Зачем нужно? Оптимизация работы процессора — в простое частота сбрасывается до минимума, при нагрузке — наоборот. В результате, если на компьютере ничего не делать — процессор мало греется и мало использует энергии (актуально для ноутов и может даже для планшетов на Windows).
  2. Включать или нет? Мой ответ — да. Intel SpeedStep помогает продлить срок службы процессора — меньше нагрев. В ноутбуках включать особенно нужно — больше батарея прослужит.
  3. При разгоне есть мнение, что Intel SpeedStep нужно отключать — так как мешает разгону. Но некоторые юзеры утверждают что можно и не отключать.
  4. Тоже самое касается и игр — некоторые утверждают что при включенной технологии есть едва заметная просадка FPS.

Intel SpeedStep это от Intel, не знаю когда появилась, но в Pentium 4 она уже была. У AMD есть тоже своя технология — Cool-n-Quiet (переводится как Прохлада и тишина), впервые появилась в Athlon 64.

А если не включать? Тогда.. в общем смотрите:

  1. Процессор даже в простое будет греться также как и при полной нагрузке. Мягко говоря не совсем логично.
  2. При автоматической регулировке оборотов вентилятора будет повышенный шум, так как для охлаждения при полной нагрузке нужны повышенные обороты кулера. Это касается как ПК, так и ноутбуков.
  3. В ноутбуке будет быстрее садиться батарея.
  4. Маловероятно, но все же — при длительной работе процессора без сброса частоты будут ухудшаться свойства термопасты на крышке процессора, как и термоинтерфейса между крышкой и кристалом (то есть уже внутри, то что заменить просто так не получится). Относится как к ПК, так и к ноутам.

При включенной технологии Intel SpeedStep ограничить частоту процессора в Windows можно этой настройкой:

Значения опции — Disabled (Отключено), Enabled (Включено) и Auto.

Intel SpeedStep в биосе

Фух, вот мы и разобрались с некоторыми опциями. Желаю вам удачи и не хулиганьте там в биосе)) До новых встреч!

Intel Boot Guard на пальцах

Предлагаю окунуться в дебри микроархитектуры компьютера и разобраться с тем, как работает одна из наиболее распространенных технологий обеспечения аппаратной целостности загрузки BIOS — Intel Boot Guard. В статье освещены предпосылки появления технологии, перечислены все режимы работы, а так же описан алгоритм каждого из них. Обо всем по порядку.

История и предпосылки создания

Процесс загрузки компьютера представляет собой цепочку событий, в которой управление исполнительной аппаратурой передается от звена к звену, начиная с нажатия пользователем кнопки включения и заканчивая работой приложения. Проблема заключается в том, что каждое из этих звеньев может быть взломано злоумышленником. Причем чем более раний компонент подвергается атаке, тем большую свободу действий получает правонарушитель. Известны случаи атак, при которых злоумышленник заменял BIOS или Boot loader на собственные, уязвимые и по сути превращал компьютер в «кирпич» (именно поэтому такой тип атак называется Bricking). В попытках защитить процесс загрузки компьютера были созданы многие программные средства проверки целостностности. Однако любая программа может быть успешно заменена правонарушителем, поэтому на нее невозможно полагаться на сто процентов. Отсюда и возникла необходимость создания более надежной, аппаратной технологии обеспечения целостности загрузки.

В качестве своего варианта обеспечения аппаратной защиты загрузки компьютера Intel в 2013 году встроила в новую микроархитектуру Haswell технологию Boot Guard. В процесс загрузки был добавлен аппаратный модуль аутентифицированного кода (ACM, Authenticated code module), а производителям оборудования пришлось расширить BIOS, добавив в него начальный блок загрузки (IBB, Initial boot block). С тех пор цепочка загрузки компьютера включает в себя ACM, с помощью которого проверяется IBB, после чего управление передается BIOS и так далее.

Схема процесса загрузки компьютера с Intel Boot Guard

Режимы работы

Важной составляющей технологии Boot Guard является настройка ее работы. Производитель оборудования должен выбрать, какой режим работы активирован и какие действия стоит предпринимать в случае ошибки в ACM или IBB. Вся этак информация содержится в политиках загрузки, которые «зашиты» в аппаратуре.

Режимы работы Boot Guard можно классифицировать по корню доверия:

Измеренная загрузка (Measured boot) полагается на дополнительное устройство, встраиваемое производителем оборудования. Одним из возможных вариантов устройства является TPM (Trusted platform module) — криптопроцессор, в который предустановлены генератор случайных чисел, генератор ключей RSA, устройство хеширования и устройство RSA.

Проверенная загрузка (Verified boot) полагается на программируемые предохранители, которые являются частью аппаратуры компьютера. По своей сути, программируемый предохранитель — это ячейка, которая может находиться в двух состояниях: сожжена или не сожжена. Будучи сожженной, ячейка не может вернуться в исходное состояние. Таким образом можно кодировать информацию.

Измеренная загрузка

В памяти криптопроцессора TPM хранится эталон хеша начального блока загрузки (IBB), с помощью которого и производится проверка подлинности IBB. Алгоритм работы Boot Guard в режиме измеренной загрузки следующий:

Начальный блок загрузки записывается в память криптопроцессора TPM

Устройство хеширования криптопроцессора загружает записанный в памяти IBB

Устройство хеширования вычисляет хеш IBB

Хеш IBB записывается в память криптопроцессора

Производится сравнение между текущим хешем IBB и его эталоном

В случае совпадения состема помечается как надежная, иначе — как ненадежная

Проверенная загрузка

Схема работы Boot Guard в режиме измеренной загрузки выглядит несколько сложнее, поскольку помимо начального блока загрузки (IBB) и программируемых предохранителей в нее входят две дополнительные структуры: манифест IBB (IBBM) и манифест ключа. Манифест IBB включает в себя номер версии безопасности, хеш IBB, открытый ключ RSA, подпись RSA номера версии и хеша IBB. Манифест ключа включает в себя номер версии безопасности, хеш открытого ключа RSA манифеста IBB, открытый ключ RSA производителя оборудования, подпись RSA номера версии и хеша открытого ключа RSA манифеста IBB. В программируемых предохранителях записаны хеш открытого ключа RSA производителя и номера версий безопасности манифестов. Все вычисления и сравнения выполняются с помощью модуля аутентифицированного кода (ACM). Алгоритм работы Boot Guard в режиме проверенной загрузки следующий:

В ACM загружаются хеш открытого ключа RSA производителя и номера версий безопасности манифестов из программируемых предохранителей.

Проверяются номера версий безопасности манифестов. Если хотя бы один из номеров оказался меньше, то проверка завершается в соответствии с политиками загрузки. Если хотя бы один из номеров оказался больше, то соответствующее значение будет обновлено в программируемых предохранителях в конце проверки.

Вычисляется хеш открытого ключа RSA производителя и производится сравнение с соответствующим значением из программируемых предохранителей. В случае несовпадения проверка завершается в соответствии с политиками загрузки.

Проверяется подпись RSA в манифесте ключа. В случае несоответствия проверка завершается в соответствии с политиками загрузки.

Вычисляется хеш открытого ключа RSA манифеста IBB и производится сравнение с соответствующим значением из манифеста ключа. В случае несовпадения проверка завершается в соответствии с политиками загрузки.

Проверяется подпись RSA в манифесте IBB. В случае несоответствия проверка завершается в соответствии с политиками загрузки.

Вычисляется хеш IBB и производится сравнение с соответствующим значением из IBBM. В случае несовпадения проверка завершается в соответствии с политиками загрузки.

В случае необходимости номера версий безопасности манифестов обновляются в программируемых предохранителях путем сжигания дополнительного числа предохранителей.

Начальный блок загрузки успешно проверен и ему передается управление.

Заключение

В заключение хотелось бы добавить, что не смотря на всю прелесть и надежность Boot Guard, важно понимать, что настройка этой технологии доверена производителю оборудования. В 2017 году были обнаружены шесть моделей материнских плат, в которых Boot Guard была настроена некорректно и позволяла обойти проверку целостности BIOS. Берегите свои компьютеры и выбирайте надежного производителя оборудования!

При написании статьи была использована литература:

Ruan X. Platform Embedded Security Technology Revealed — Apress, Berkeley, CA, 2014. — С. 263 — ISBN 978-1-4302-6572-6

BIOS AMI Advanced/CPU Configuration

На данной вкладке находятся различные настройки системы. Перечислять не буду, на скрине все хорошо видно. Рассмотрим меню CPU Configuration.

bios

Здесь находятся настройки центрального процессора. Сразу хочу заметить, что если не представляете что-где-и-как, лучше ничего не менять, пока не будете твердо уверены, что делаете.

Overclock Mode Здесь можно выставить различные профили разгона процессора, предоставленные производителем: [Auto], [CPU, PCIE, Sync.], [CPU, PCIE, Async.] , [Optimized].

CPU Frequency (MHz) частота процессора.

PCIE Frequency (MHz) рабочая частота шины PCI EXPRESS (там, где видюха). Особой производительности с увеличением частоты не прибавляется, зато могут быть сбои работы карт расширений. Поэтому лучше оставить как есть, тем более, что при разгоне стараются ее зафиксировать 100МГЦ.

Spread Spectrum Что-то, вроде, как электромагнитного излучения. Включив данную опцию, позволит снизить излучение за счет худшей формы сигналов. Однако это может привести к сбоям в работе высокоскоростных устройств.

Boot Failure Guard Это защитная функция. Если она включена, то при неправильном разгоне выставит безопасные настройки.

Cool ‘n’ Quiet энергосберегающая функция, при малой загруженности ПК процессор снижает частоту. [Auto], [Enabled], [Disabled].

Secure Virtual Machine КТРТСН).

Enhance Halt State снижает энергопотребление для современных процессоров в режиме простоя.

L3 Cache Allocation распределение кэша… КТРТСН.

Advanced Clock Calibration функция для более тонкого разгона за счет разблокировки ранее неактивных блоков. Немного не понятно, но позволяет разблокировать неактивные ядра. В спецификации от производителя значения конфигурации — по умолчанию значение [Disabled]. Варианты конфигурации: [Disabled], [Аuto], [All Cores] и [Per Core]. При выборе [All Cores] появится опция “Value (All Cores)”. Варианты конфигурации: [+12%] [-12%]. Если выбираем [Per Core], то будут доступны параметры “Value (Core 0)”, “Value (Core 1)”, “Value (Core 2)” и “Value (Core 3)”. Варианты конфигурации: [+12%] [-12%].

Processor Maximum Frequency максимальная частота процессора.

North Bridge Maximum Frequency максимальная частота северного моста.

Processor Maximum Voltage максимальное напряжение процессора.

Multiplier/Voltage Change Если доступна опция [manual] откроются дополнительные опции.

CPU Frequency Multiplier можно задать множитель процессора.

CPU Voltage несколько вариантов: можно задавать напряжение питания для процессора либо указать изменение от номинального значения.

NB Frequency Multiplier множитель для северного моста.

NB Voltage выставляется напряжение питания для контроллера северного моста, или (в другом варианте) изменение напряжения относительно номинального.

HT Bus Speed позволяет задать частоту для шины HyperTransport. Зависит от модели процессоров.

HT Bus Width задается ширина потока по шине HyperTransport. Варианты: [Auto], [8 Bit] и [16 Bit].

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *