Новости про Microsoft и UEFI

Microsoft Defender ATP теперь может сканировать UEFI

Компания Microsoft объявила о добавлении нового сканера для Unified Extensible Firmware Interface (UEFI) в инструмент безопасности Defender Advanced Threat Protection (Defender ATP), что позволит защитить пользователей Windows 10 от атак на уровне прошивки.

Microsoft Defender ATP — предупреждение об обнаружении подозрительного кода в прошивке

Система Windows Defender System Guard защищает от атак в прошивке, гарантируя безопасную загрузку посредством аппаратных решений в области безопасности, включая аттестацию на уровне гипервизора и технологии Secure Launch, известной как Dynamic Root of Trust (DRTM), которая включает безопасное ядро на ПК по умолчанию. Новый движок сканирования UEFI распространяется на эти защиты, делая сканирование прошивки более широкой практикой.

Microsoft Defender ATP — предупреждение о вероятном внедрении стороннего кода в файловую систему UEFI

Сканер UEFI является новым компонентов встроенного в Windows 10 антивируса. Он даёт Microsoft Defender ATP уникальную возможность сканирования файловой системы прошивки и выполнять обслуживание в области безопасности.

Microsoft анонсирует проект прошивки-как-сервиса

Считая успешной свою инициативу Windows as a Service (WaaS), компания Microsoft решила пойти дальше, анонсировав открытый проект Project Mu, который предполагает разработку прошивок устройств таким же образом, как и Windows.

Концепция получила название Firmware as a Service (FaaS). Она выпущена с открытым исходным кодом. Под прошивкой понимается UEFI, который отвечает за загрузку и обеспечивает базовый функционал для работы операционной системы. Система будет похожа на платформу TianoCore EDK II, которая также поддерживает разработку UEFI с открытым исходным кодом.

Microsoft

Изначально платформа FaaS применялась Microsoft на устройствах Surface. Но теперь компания поняла, что реализация TainoCore ей не подходит для множества различных продуктов и форм-факторов. Для решения проблемы был создан Project Mu, «демонстрирующий структуру кода и процесс разработки для эффективно построенной масштабируемой и обслуживаемой прошивки».

После нескольких циклов использования Project Mu, компания Microsoft заявляет, что платформа позволяет создать код и структуру, оптимизированные для Firmware as a Service; поддерживает экранную клавиатуру; поддерживает управление безопасностью в UEFI; улучшает безопасность за счёт отказа от ненужного наследного кода; обеспечивает высокоскоростную загрузку; предлагает современные примеры меню BIOS и различные средства проверки качества.

Скриншот Project Mu

Компания также отметила, что, во-первых, Project Mu не является чем-то сторонним, в нём применяется тот же код, что использует сама Microsoft. А во-вторых, компания хочет развивать совместную разработку, чтобы партнёры могли построить качественный продукт, сократив затраты.

Canonical будет использовать Intel efilinux для UEFI Secure Boot для Ubuntu

Разработчик операционной системы Linux, компания Canonical, приняла решение отказаться от загрузчика Grub 2 в пользу efilinux от Intel с целью совместимости с Microsoft UEFI Secure Boot.

Следом за проектом Fedora от Red Hat, которая также сделала подобный шаг, чтобы доказать, что их дистрибутив не конфликтует с UEFI Secure Boot, Canonical также разъяснила свои планы по работе с механизмом безопасности от Microsoft. Так, компания будет совместно с Grub 2 использовать модифицированный Intel efilinux, в который будет добавлено интерфейсное меню.

Ключ безопасности, необходимый для работы с UEFI, будет сохранён на серверах компании. Разработчики уверяют, что этот ключ будет использован для загрузочных образов их ОС.  На тех же машинах, которые будут продаваться с уже установленной Ubuntu, Canonical будет хранить ключ Ubuntu непосредственно в прошивке. Таким образом, для тех ПК, где ключ Ubuntu будет сохранён в базе сигнатур самого UEFI, компании придётся ввести логотип «Ubuntu certified».

Более того, на всех машинах с ключами Ubuntu по идее разработчика в обязательном порядке будет присутствовать ключ от Microsoft, таким образом, все желающие смогут установить на эти компьютеры не только Linux, но и Windows.

Хотя Canonical и Red Hat и являются крупнейшими разработчиками Linux, и они приняли решение о поддержке инициативы Microsoft UEFI 'secure boot', от третьего крупнейшего игрока рынка, Suse, а также от массы прочих мелких Linux-поставщиков пока нет никакой информации.