Deel 05.00.00 Het tabblad – Security.
Inleiding:
Geschreven door: Hiks Gerganov
1. Inleiding
Secure Boot maakt deel uit van de Unified Extensible Firmware Interface (UEFI)-specificatie voor een functie die voorkomt dat payloads en stuurprogramma’s zonder digitale handtekening opstarten of laden tijdens en na de eerste opstart van het systeem. De implementatie ervan in hedendaagse moederbord firmware vindt meestal plaats in de vorm van een veilige maar beperkte bootloader, die een specifieke payload verwacht. Als een functie van UEFI kan Secure Boot alleen worden in- en uitgeschakeld in de firmware-instellingen die beschikbaar zijn bij het opstarten van de machine.
In deze tutorial praten we over Secure Boot en manieren om dit op een Linux-systeem in te schakelen. Eerst geven we een kort overzicht van de Secure Boot-functie. Daarna gaan we over op een basismethode om de firmware-instellingen van de machine te bereiken. Ten slotte onderzoeken we complexere benaderingen om hetzelfde te doen, zodat we Secure Boot kunnen in- en uitschakelen.
We hebben de code in deze tutorial getest op Debian 12 (Bookworm) met GNU Bash 5.2.15. Tenzij anders aangegeven, zou het in de meeste POSIX-compatibele omgevingen moeten werken.
2. Veilig opstarten
Secure Boot is een protocol specificatie. Verder schrijft het protocol voor dat slechts enkele UEFI-stuurprogramma’s en OS-bootloaders tijdens het opstartproces kunnen worden geladen. In het bijzonder worden alleen objecten met een als veilig geachte digitale handtekening geaccepteerd.
Acceptabele sleutels variëren afhankelijk van de Secure Boot-bedieningsmodus:
Instelling: platform sleutel (PK)
Gebruiker: platform sleutel, elke PK-afhankelijke sleuteluitwisseling sleutel (KEK)
Aangepast: elke sleutel in het systeem
Verder genereert de Setup-modus de PK, een combinatie van een privé- en openbare sleutel.
Ondersteuning voor Secure Boot is momenteel beschikbaar op verschillende platforms:
Microsoft Windows 8 en hoger, Microsoft Windows Server 2012 en hoger, Fedora 18 en hoger, openSUSE 12.3 en hoger, RedHat Enterprise Linux 7 en hoger, CentOS 7 en hoger, Debian 10 en hoger, Ubuntu 12.04.2 en hoger en Mint 21.3 en hoger.
Ondanks de veiligheid oriëntatie ondersteunt FreeBSD nog steeds geen Secure Boot.
Omdat het een ROM-functie is, moeten we om Secure Boot in te schakelen de firmware-instellingen van de machine invoeren. Laten we kijken naar manieren om dat te doen.
3. Firmware-instellingen van het apparaat
Hoewel een universele lijst met stappen voor toggli Secure Boot of andere firmware functies op welk systeem dan ook niet haalbaar is, is er een algemene vereiste: we moeten de de lokale firmware-instellingen. Daarvoor moeten we dit laatste eerst invoeren tijdens een machine start.
Laten we het opstartproces kort bekijken:
machine wordt ingeschakeld
opstartscherm verschijnt tijdens de eerste instructies
bootmanager verschijnt of laadt het besturingssysteem direct
OS-initialisatie manager wordt geladen
Besturingssysteem wordt geladen
We kunnen proberen dit proces te onderscheppen en in verschillende fasen naar het scherm met firmware-instellingen te gaan.
3.1. Toetsenbord Toets tijdens opstarten (scherm)
Veel moederborden bieden de gebruiker een manier om de BIOS- of UEFI-configuratie te openen door op een specifieke toetsenbord toets te drukken aan het begin van het opstartproces:
Afb.Boot-Process.png
Boot-Process:
De onderkant van dit aangepaste startscherm geeft bijvoorbeeld aan dat de F2-functietoets ons naar de Setup zou moeten brengen.
De exacte sleutel varieert, maar is meestal een van de volgende: [Delete], [Esc], F2, F8 of F10.
Cruciaal is dat Fast Start, Quick Boot en soortgelijke functies ervoor kunnen zorgen dat dergelijke sneltoetsen niet werken of een zeer smal venster voor hun invoer bieden.
Soms komt dit door het gebruik van USB-toetsenborden. Omdat functies die de opstarttijd verkorten de initialisatie van de USB-poort kunnen uitschakelen voordat het besturingssysteem wordt geladen, kan een PS/2-toetsenbord de sneltoets detectie inschakelen. Een firmware functie kan er dus voor zorgen dat we een firmware functie, inclusief zichzelf, niet kunnen uitschakelen.
Zie: 04.05.00 Boot-Fast Boot-Disabled:
Dus als een PS/2-toetsenbord ons onvermogen niet oplost, moeten we ons misschien tot andere methoden wenden.
3.2. Opstartmanager
Zoals gewoonlijk kunnen wijzigingen in het opstartproces worden geïntroduceerd via de opstart manager of bootloader.
Hoewel dit niet altijd betekent dat we toegang hebben tot interfaces op laag niveau, zoals firmware-instellingen, zijn er bootmanagers die dat wel kunnen:
GRUB(2) ondersteunt een specifieke optie voor UEFI Firmware-instellingen om de setup te openen, niet standaard ingeschakeld
EFI biedt standaard een optie om de firmware-instellingen te openen
systemd-boot (gummiboot) biedt standaard een optie om de UEFI-firmware-instellingen te openen
Sommige bootloaders vereisen met name specifieke instellingen om zelfs te werken op machines waarop Secure Boot is in- of uitgeschakeld.
Verder missen sommige machines ondersteuning voor het sturen van de gebruiker naar de firmware-instellingen vanuit het bootloader-scherm. Dit beperkt onze mogelijkheden ernstig. Als we bijvoorbeeld de optie GRUB(2) UEFI Firmware-instellingen activeren en deze niet in het opstartmenu verschijnt, duidt dit meestal op een gebrek aan ondersteuning.
In feite betekent dit vaak dat de volgende methode mogelijk ook niet werkt.
3.3. Initialisatie Beheerder
Afhankelijk van de omgeving kunnen we een initialisatie manager hebben die meer afhandelt dan alleen het aanvankelijk laden van het besturingssysteem.
De systemd-initialisatie manager geeft bijvoorbeeld de vlag –firmware-setup van systemctl bij het opnieuw opstarten:
$ systemctl reboot –firmware-setup
Kopiëren
Indien gespecificeerd, activeert de switch de communicatie tussen het besturingssysteem en de firmware via verschillende variabelen. Hiermee synchroniseren ze ondersteunde en gevraagde functies om, indien mogelijk, aan het verzoek te voldoen.
Concreet kan het besturingssysteem de bit EFI_OS_INDICATIONS_BOOT_TO_FW_UI instellen in de speciale OsIndications-variabele om het opstartproces tijdens de volgende keer opstarten naar de firmware configuratie te leiden. Met name zou de firmware deze bit moeten wissen nadat aan het verzoek is voldaan om een oneindige lus te voorkomen.
Omdat de functie bovendien afhankelijk is van zowel de machine als het besturingssysteem, kunnen we ook de vergelijkbare functionaliteit proberen die Microsoft Windows biedt.
3.4. Forceer UEFI Boot door de hardware los te koppelen
Als een van de laatste redmiddelen kunnen we een andere aanpak proberen:
Zorg ervoor dat we een UEFI-machine hebben
koppel alle opslagapparaten los
ontkoppel alle niet-essentiële hardware
netwerkinterfaces loskoppelen
In wezen zouden we een machine moeten hebben waarop een voedingseenheid (PSU), centrale verwerkingseenheid, hoofdgeheugen, moederbord en een toetsenbord is aangesloten.
Op dit punt zou het systeem ofwel rechtstreeks moeten opstarten in de UEFI-installatie, ofwel een optie moeten bieden om dit te doen.
Als alternatief of als aanvulling kunnen we ook de CMOS-batterij verwijderen om eventuele overgebleven UEFI-instellingen te resetten.
3.5. Forceer UEFI Boot door de EFI-systeempartitie (ESP) te verwijderen
Een andere brute-force-aanpak omvat het verwijderen, wissen of verbergen van de EFI-systeempartitie (ESP).
Op deze manier zou de firmware de bootloader of ondersteunende bestanden niet kunnen vinden, waardoor het opstartproces wordt stopgezet en mogelijk de setup voor herconfiguratie wordt geopend.
Cruciaal is dat deze methode de partitie ongeldig kan maken, waardoor we gedwongen worden tools als Boot Repair, efi bootmgr of iets dergelijks te gebruiken om de EFI-opstartpartitie te herstellen.
Vanwege de gevaren van deze aanpak zullen we er niet in detail op ingaan.
4. Samenvatting
In dit artikel hebben we Secure Boot onderzocht en manieren om op te starten in de UEFI-firmware-instellingen om deze uit te schakelen.
Kortom, de Secure Boot-functie is configureerbaar, maar vereist mogelijk specifieke stappen om de juiste opstart schakeling binnen een bepaald systeem te bereiken.
Bronvermelding: Geschreven door: Hiks Gerganov
Vertaald door Google en door Me,Myself and I.
Een wel heel moeilijk verhaal over het feit dat Quiet Boot, Fast Boot en Secure boot tegenwoordig geen belemmering meer hoeven te zijn voor de recente OS’en, echter moet je systeem dit wel volledig ondersteunen, en met een modern USB toetsenbord en muiswat door Fast Boot buiten werking gezet wordt, zelfs als je de juiste instelling hebt in het BIOS om dit volledig te initialiseren, kan het toch voorkomen dat het soms niet goed geïnitialiseerd wordt en dus niet herkend wordt, waardoor inloggen in je systeem onmogelijk wordt.
Zoals ik zelf ondervind. Ik kan 10 keer achter elkaar mijn systeem opstarten zonder problemen en de 11de keer krijg een foutmelding tijdens het starten over USB huppeldepup port 75 en ja hoor zet hem maar weer uit en schakel Fast Boot maar dito uit want je kan weer niet inloggen.
PS2 Toetsenborden worden niet meer verkocht maar er zijn wel verloop stekkers te verkrijgen van PS2 naar USB. Wat dit probleem wellicht oplost.
Simpel gezegd is Secure Boot aan zich een goede zaak omdat het een extra beveiliging is die voorkomt dat rootkits bijvoorbeeld je systeem kunnen besmetten, het werkt met sleutels ( bit code ) voor verschillende hardware onderdelen welke in je NVRAM worden bewaard. Die als er iets wijzigt in jouw instellingen of hardware een ander sleutel generen dan degene die opgeslagen is en zo dus de beveiliging triggeren.
Afb.04.05.03.01 PS2 naar USB.png
04.05.03.01 PS2 naar USB:
DUS:
Legacy of zelfs oude UEFI Systemen:
Bij een Linux systeem met oudere hardware GEEN QUIET BOOT, FAST BOOT en TEVENS SECURE BOOT is mijn advies, zet het allemaal UIT op [Disabled].
Windows 10 geeft trouwens ook regelmatig opstart problemen als Fast Boot aan staat.
De bovenstaande stekkers gaan bij mijn ( Game en dus extra LED’s ) toetsenbord en muis echter ook niet werken aangezien de PS2 poort maar maximaal 100 mA kan leveren waar een USB poort al snel 500 mA en meer kan leveren wat aan de USB standaard 1.0, 2.0 of 3.0 en hoger ligt.
Modern Systeem: geluksvogel 😉
Proberen kan geen kwaad, dus probeer of jouw systeem wel werkt met QUIET BOOT, FAST BOOT en TEVENS SECURE BOOT allemaal AAN op [Enabled]. Werkt het niet weet je wat je uit moet zetten om het te laten werken, zeker nadat je gelezen hebt hoe je dit moet doen.
Laten we maar beginnen met:
Hoe werkt Veilig opstarten?
Met dit begrip van digitale handtekeningen bestaat de UEFI “Secure Boot” technologie uit een verzameling sleutels, als volgt gecategoriseerd:
Platform Sleutel (PK)
Uitwisseling sleutel (KEK)
Whitelist-database (DB)
Blacklist-database (DBX)
Op een systeem waarop Secure Boot is ingeschakeld en geconfigureerd, bevat elk van deze items de openbare delen van openbare/private sleutelparen. De sleutels worden gebruikt om verschillende componenten van de firmware en software te autoriseren.
De Platform Key (PK) brengt een vertrouwensrelatie tot stand tussen de platform eigenaar en de firmware (UEFI BIOS) door de toegang tot de KEK-database te controleren. Er is één PK per platform en het openbare gedeelte van de PK wordt in het systeem geïnstalleerd, meestal tijdens de productie bij de OEM. Het privégedeelte van de PK is nodig voor het wijzigen van de KEK-database.
De Key Exchange Key (KEK)-database brengt een vertrouwensrelatie tot stand tussen de firmware en het besturingssysteem. De KEK bestaat uit een lijst met openbare sleutels die kunnen worden gecontroleerd voor autorisatie om de whitelist-database (DB) of de blacklist-database (DBX) te wijzigen. Er kunnen meerdere KEK’s per platform zijn. Het privégedeelte van een KEK is nodig voor het wijzigen van de DB of DBX.
De whitelist-database (DB) is een lijst met openbare sleutels die worden gebruikt om de digitale handtekening van een bepaalde firmware of software te controleren. Laten we, om de database te bespreken, aannemen dat het systeem aan het opstarten is en op het punt staat de bootloader uit te voeren om een besturingssysteem te selecteren dat moet worden opgestart. Het systeem controleert de digitale handtekening van de bootloader met behulp van de openbare sleutels in de database, en als deze bootloader is ondertekend met een overeenkomstige privésleutel, mag de bootloader worden uitgevoerd. Anders wordt het geblokkeerd als ongeautoriseerd.
Omgekeerd is de zwarte lijst database (DBX) een lijst met openbare sleutels waarvan bekend is dat ze overeenkomen met kwaadaardige of ongeautoriseerde firmware of software. Alle software die met een overeenkomstige privésleutel uit deze database is ondertekend, wordt geblokkeerd.
Bronvermelding: by Trenton Systems
Afb.05.00.00 Security.png
05.00.00 Security:
Het hoofdvenster van het tabblad Security.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.01.00 Security-Explanation of the Administrator and User Password settings.png
05.01.00 Security-Explanation of the Administrator and User Password settings:
Als alleen het Administrator ( beheerders ) wachtwoord is ingesteld, beperkt dit alleen de toegang tot Setup en wordt er alleen om gevraagd bij het openen van Setup.
Als alleen het wachtwoord van de User ( gebruiker ) is ingesteld, is dit een opstartwachtwoord dat moet worden ingevoerd om op te starten of om Setup te openen. In Setup heeft de Gebruiker beheerdersrechten. De wachtwoordlengte moet binnen het volgende bereik liggen;
Minimale lengte 3
Maximale lengte 20.
Een berg zwarte tekst welke ik nu eens niet geel heb over getypt maar hierboven vertaald heb, over het Administrator Password waar we bij onze volgende stap toch bij uitkomen, dus snel naar onder naar Administrator Password:
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.02.00 Security-Administrator Password.png
05.02.00 Security-Administrator Password:
Administrator Password:
Als alleen het Administrator ( beheerders ) wachtwoord is ingesteld, beperkt dit alleen de toegang tot Setup en wordt er alleen om gevraagd bij het openen van Setup.
Als alleen het wachtwoord van de User ( gebruiker ) is ingesteld, is dit een opstartwachtwoord dat moet worden ingevoerd om op te starten of om Setup te openen. In Setup heeft de Gebruiker beheerdersrechten. De wachtwoordlengte moet binnen het volgende bereik liggen;
Minimale lengte 3
Maximale lengte 20.
Vul je niks in is er ook geen password ingesteld.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.03.00 Security-User Password.png
05.03.00 Security-User Password:
User Password:
Als alleen het Administrator ( beheerders ) wachtwoord is ingesteld, beperkt dit alleen de toegang tot Setup en wordt er alleen om gevraagd bij het openen van Setup.
Als alleen het wachtwoord van de User ( gebruiker ) is ingesteld, is dit een opstartwachtwoord dat moet worden ingevoerd om op te starten of om Setup te openen. In Setup heeft de Gebruiker beheerdersrechten. De wachtwoordlengte moet binnen het volgende bereik liggen;
Minimale lengte 3
Maximale lengte 20.
Vul je niks in is er ook geen password ingesteld.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.00 Security-Secure Boot menu.png
05.04.00 Security-Secure Boot menu:
Witte tekst met een dito pijltje ervoor geeft ons na een [Enter] toegang tot het Secure Boot menu.
Bij deze dus een [Enter].
Afb.05.04.01 Security-Secure Boot menu-System Mode.png
05.04.01 Security-Secure Boot menu-System Mode:
Gele tekst dus info over de System Mode welke door Setup of BIOS geregeld wordt.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.02 Security-Secure Boot menu-Secure Boot.png
05.04.02 Security-Secure Boot menu-Secure Boot:
Gele tekst dus info over de Secure Boot welke op Not Active, uitstaat.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.03 Security-Secure Boot menu-Secure Boot Support.png
05.04.03 Security-Secure Boot menu-Secure Boot Support:
Hier hebben we de keuze om het Secure Boot Support uit [Disabled] of aan [Enabled] te zetten.
Aangezien mijn instelling inderdaad [Disabled] is kom ik hier op terug als we het wel op [Enabled] zouden zetten.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.04 Security-Secure Boot menu-Secure Boot Mode.png
05.04.04 Security-Secure Boot menu-Secure Boot Mode:
Secure Boot Mode: Met de keuzes [Custom] om je eigen keuze te maken of [standard] standaard.
Het staat op [Standard] bij mij, met de standaard af fabriek ingestelde sleutels omdat ik Secure Boot uitgezet heb.
Je moet echter de instelling [Custom] kiezen als je zelf het Key Management menu wil openen en/of de sleutels wil wijzigen, vandaar dat ik voor de uitleg hierover het even op [Custom] gezet heb.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.00 Security-Secure Boot menu-Key Management.png
05.04.05.00 Security-Secure Boot menu-Key Management:
Wij geven een [Enter] op Key Management zodat het submenu met de sleutels zich opent.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.01 Security-Secure Boot menu-Key Management-Factory Default Key Provisioning.png
05.04.05.01 Security-Secure Boot menu-Key Management-Factory Default Key Provisioning:
Wil jij de standaard door de Fabrieks aangeleverde sleutels gebruiken, of je eigen sleutels van de eventueel gewijzigde hardware zoals bij een zelfbouw syteem gebeurt gebruiken?
Met de keuzes [Disabled] nee mijn eigen sleutels gebruiken, of [Enabled], ja de door de fabrieks instelling gegenereerde sleutels gebruiken.
Bij een zelfbouw systeem of gewijzigde hardware dien jij hiet dus voor [Disabled] te kiezen en je eigen sleutels te genereren.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.02 Security-Secure Boot menu-Key Management-Delete All Secure Boot Variables.png
05.04.05.02 Security-Secure Boot menu-Key Management-Delete All Secure Boot Variables:
Wil jij alle Secure Boot Variablen ( sleutels ) verwijderen? Met de keuze Yes Ja of No Nee.
Met Yes of Ja verwijder je alle sleutels, No of Nee behoud je de huidige sleutels.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables.png
05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Wil jij alle Secure Boot Variablen ( sleutels ) opslaan?
Met de keuze Select File from a File System.
Met een [Enter] sla je deze sleutels als een bestand in de root folder met de getoonde naam op.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.04 Security-Secure Boot menu-Key Management-Platform Key (PK) INSTALLED.png
05.04.05.04 Security-Secure Boot menu-Key Management-Platform Key (PK) INSTALLED:
Gele Tekst dus hieronder staan de geinstalleerde Platform (PK) Key.
Wat is de UEFI-platformsleutel?
De Platform key is de hoofdsleutel welke dient om alle andere sleutels de verifiëren.
Op UEFI-firmwareniveau wordt de Platform Key (PK) gebruikt om de Key Exchange Key (KEK) te valideren, die op zijn beurt wordt gebruikt om alle Database Keys (DB) en alle DBX Keys (DBX) te valideren. De DB-sleutels worden gebruikt met de DBX-sleutels om de sleutel te valideren die wordt gebruikt om het Shim-binaire ( bit code ) bestand te ondertekenen.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.05 Security-Secure Boot menu-Key Management-Delete PK.png
05.04.05.05 Security-Secure Boot menu-Key Management-Delete PK:
Delete PK verwijderdt de Platform Key na een bevestiging met Yes of Ja uit het NVRAM geheugen.
Non-volatile random-access memory (NVRAM) of niet-vluchtig willekeurig toegankelijk geheugen (NVRAM) is willekeurig toegankelijk geheugen dat gegevens vasthoudt zonder dat er stroom wordt toegepast.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.06 Security-Secure Boot menu-Key Management-Set new PK.png
05.04.05.06 Security-Secure Boot menu-Key Management-Set new PK:
Set new PK: Of genereer een nieuwe PK sleutel welke na een bevestiging met Yes of Ja de Standaard Fabrieks Sleutel in het NVRAM geheugen laad.
Of met een No of NEE je de sleutel welke je zelf gegenereerd en opgeslagen hebt in de root folder als het een bestand weer in te laden in het NVRAM.
ZIE: 05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.07 Security-Secure Boot menu-Key Exchange Key Database (KEK).png
05.04.05.07 Security-Secure Boot menu-Key Exchange Key Database (KEK):
Gele Tekst dus hieronder staan de geïnstalleerde Key Exchange Key Database (KEK) sleutels.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.08 Security-Secure Boot menu-Key Management-Delete KEK.png
05.04.05.08 Security-Secure Boot menu-Key Management-Delete KEK:
Delete KEK: verwijderd de Key Exchange Key Database (KEK) na een bevestiging met Yes of Ja uit het NVRAM geheugen.
Non-volatile random-access memory (NVRAM) of niet-vluchtig willekeurig toegankelijk geheugen (NVRAM) is willekeurig toegankelijk geheugen dat gegevens vasthoudt zonder dat er stroom wordt toegepast.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.09 Security-Secure Boot menu-Key Management-Set new KEK.png
05.04.05.09 Security-Secure Boot menu-Key Management-Set new KEK:
Set new KEK: Of genereer een nieuwe Key Exchange Key Database (KEK) welke na een bevestiging met Yes of Ja de Standaard Fabrieks Sleutel in het NVRAM geheugen laadt.
Of met een No of NEE je de sleutel die je zelf gegenereerd en opgeslagen hebt in de root folder als het een bestand weer in te laden in het NVRAM.
ZIE: 05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.10 Security-Secure Boot menu-Key Management-Append KEK.png
05.04.05.10 Security-Secure Boot menu-Key Management-Append KEK:
Append KEK: Of pas de nieuwe Key Exchange Key Database (KEK) welke na een bevestiging met Yes of Ja de Standaard Fabrieks Sleutel in het NVRAM geheugen laadt.
Of met een No of NEE je de sleutel die je zelf gegenereerd en opgeslagen hebt in de root folder als het een bestand weer in te laden in het NVRAM.
ZIE: 05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Delete = Verwijder de sleutel.
Set New = Yes / JA Laad de nieuwe, Fabrieks of standaard sleutel. OF No / Nee laadt de als een bestand opgeslagen sleutel in de root folder.
Append= Pas de Set New instelling toe door deze keus op te slaan.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.11 Security-Secure Boot menu-Key Management-Authorized Signature Database (DB).png
05.04.05.11 Security-Secure Boot menu-Key Management-Authorized Signature Database (DB):
Gele Tekst dus hieronder staan de geïnstalleerde Authorized Signature Database (DB) sleutels.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.12 Security-Secure Boot menu-Key Management-Delete DB.png
05.04.05.12 Security-Secure Boot menu-Key Management-Delete DB:
Delete DB: verwijderd de Authorized Signature Database (DB) na een bevestiging met Yes of Ja uit het NVRAM geheugen.
Non-volatile random-access memory (NVRAM) of niet-vluchtig willekeurig toegankelijk geheugen (NVRAM) is willekeurig toegankelijk geheugen dat gegevens vasthoudt zonder dat er stroom wordt toegepast.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.13 Security-Secure Boot menu-Key Management-Set new DB.png
05.04.05.13 Security-Secure Boot menu-Key Management-Set new DB:
Set new DB: Of genereer een nieuwe Authorized Signature Database (DB) welke na een bevestiging met Yes of Ja de Standaard Fabrieks Sleutel in het NVRAM geheugen laadt.
Of met een No of NEE je de sleutel die je zelf gegenereerd en opgeslagen hebt in de root folder als het een bestand weer in te laden in het NVRAM.
ZIE: 05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.14 Security-Secure Boot menu-Key Management-Append DB.png
05.04.05.14 Security-Secure Boot menu-Key Management-Append DB:
Append DB: Of pas de nieuwe Authorized Signature Database (DB) welke na een bevestiging met Yes of Ja de Standaard Fabrieks Sleutel in het NVRAM geheugen laat toe.
Of met een No of NEE je de sleutel die je zelf gegenereerd en opgeslagen hebt in de root folder als het een bestand weer in te laden in het NVRAM.
ZIE: 05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Delete = Verwijder de sleutel.
Set New = Yes / JA Laad de nieuwe, Fabrieks of standaard sleutel. OF No / Nee laadt de als een bestand opgeslagen sleutel in de root folder.
Append= Pas de Set New instelling toe door deze keus op te slaan.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.15 Security-Secure Boot menu-Key Management-Forbidden Signature Database (DBX).png
05.04.05.15 Security-Secure Boot menu-Key Management-Forbidden Signature Database (DBX):
Gele Tekst dus hieronder staan de geïnstalleerde Forbidden Signature Database (DBX) sleutels.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.16 Security-Secure Boot menu-Key Management-Delete DBX.png
05.04.05.16 Security-Secure Boot menu-Key Management-Delete DBX:
Delete DBX: verwijderd de Forbidden Signature Database (DBX) na een bevestiging met Yes of Ja uit het NVRAM geheugen.
Non-volatile random-access memory (NVRAM) of niet-vluchtig willekeurig toegankelijk geheugen (NVRAM) is willekeurig toegankelijk geheugen dat gegevens vasthoudt zonder dat er stroom wordt toegepast.
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.17 Security-Secure Boot menu-Key Management-Set new DBX.png
05.04.05.17 Security-Secure Boot menu-Key Management-Set new DBX:
Set New DBX: Of genereer een nieuwe Forbidden Signature Database (DBX) welke na een bevestiging met Yes of Ja de Standaard Fabrieks Sleutel in het NVRAM geheugen laadt.
Of met een No of NEE je de sleutel die je zelf gegenereerd en opgeslagen hebt in de root folder als het een bestand weer in te laden in het NVRAM.
ZIE: 05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Een stap omlaag met pijltjes toets naar onder▼geeft ons.
Afb.05.04.05.18 Security-Secure Boot menu-Key Management-Append DBX.png
05.04.05.18 Security-Secure Boot menu-Key Management-Append DBX:
Append DBX: Of pas de nieuwe Forbidden Signature Database (DBX) welke na een bevestiging met Yes of Ja de Standaard Fabrieks Sleutel in het NVRAM geheugen laadt.
Of met een No of NEE je de sleutel die je zelf gegenereerd en opgeslagen hebt in de root folder als het een bestand weer in te laden in het NVRAM.
ZIE: 05.04.05.03 Security-Secure Boot menu-Key Management-Save All Secure Boot Variables:
Delete = Verwijder de sleutel.
Set New = Yes / JA Laad de nieuwe, Fabrieks of standaard sleutel. OF No / Nee laadt de als een bestand opgeslagen sleutel in de root folder.
Append = Pas de Set New instelling toe door deze keus op te slaan.
Authorized = White list de toegestane sleutel database.
Forbidden = Black list de verboden sleutel database.
Waarbij we aan het eind zijn van deel 05.00.00 Het tabblad-Security-v1.
Voor U geschreven door Gerard Nouwen.
Bron vermelding: ACER, AMI BIOS, AOMEI tech.com, WD, WikipediA.
Met dank aan: Hiks Gerganov, Nate Young