Pending operation в биосе что это
Перейти к содержимому

Pending operation в биосе что это

Что такое модуль TPM? Как включить TPM модуль ?

В этой статье мы рассмотрим, как включить TMP модуль на вашем компьютере.

Содержание

Windows 11 получила много интересных нововведений, начиная от дизайна и заканчивая другими удобными функциями. В то же время, чтобы повысить уровень безопасности Windows 11 использует чип TMP 2.0.

Соответственно сразу же после презентации возник вопрос – как проверить наличие TPM и включить его. Несмотря на то, что в интернете все чаще можно встретить информацию, что TPM модуль вовсе не обязателен для использования и можно обойти это требование – какой смысл создавать себе проблемы и рисковать безопасностью конфиденциальных данных, если можно просто включить модуль TPM и сделать все как надо.

Что такое TPM модуль и для чего он используется?

TPM (Trusted Platform Module) – это специальный модуль, который встроен в материнскую плату компьютера и отвечает за криптографическое шифрование персональных данных. Каждый TPM чип имеет уникальный идентификатор, который является ключом шифрования и его нельзя подделать.

Модуль TPM 2.0

Тут может возникнуть вопрос – зачем нужен TPM модуль, если шифровать данные можно при помощи функции BitLocker?

Да, это так, однако в случае использования BitLocker все операции шифрования выполняет центральный процессор, в то время, как при использовании модуля TPM процессор не занят шифрованием и может выполнять другие задачи пользователя.

Помимо прочего, TPM модуль можно использовать в качестве идентификатора пользователя в сети, TPM модуль может служить подтверждением компьютера в разносторонних сервисах, предотвращать несанкционированные изменения конфигурации компьютера, а также защищать компьютер от некоторых видов вирусов, которые запускаются еще до загрузки операционной системы (bootkit и rootkit).

Фактически TPM модуль — это своеобразный паспорт вашего компьютера, который нереально подделать.

На сегодняшний день последней версией чипа безопасности является TPM 2.0.

Как проверить включен ли TPM модуль на вашем компьютере?

Иногда неопытные пользователи пытаются включить TMP модуль на компьютере, хотя на самом деле он уже включен. Чтобы проверить включен ли TPM модуль в вашем компьютере выполните:

Шаг 1: Щелкните правой кнопкой мышки по «Пуск» и выберите «Диспетчер устройств»

Шаг 2: Посмотрите есть ли в открывшемся окне раздел «Устройства безопасности». Если да – проверьте его содержимое. В нем будет отображаться надпись «Доверенный платформенный модуль». Это означает, что в вашем компьютере присутствует модуль TPM, и он включен.

То есть вам не нужно проводить никаких манипуляций, и вы можете сразу же приступать к обновлению до Windows 11.

Если же раздел «Устройства безопасности» отсутствует – значит либо TPM модуль не активирован, либо его вовсе нет в вашем компьютере.

Как включить TPM модуль в BIOS/UEFI?

Если после проверки оказалось, что TPM модуль выключен – вы можете включить его в настройках BIOS/UEFI. Чтобы это сделать выполните:

Шаг 1: Перезагрузите ваш компьютер.

Шаг 2: Сразу же после включения компьютера нажмите кнопку входа в BIOS. В зависимости от производителя материнской платы это может быть Del, F2, F1 или F12.

Чтобы узнать, какую именно кнопку нужно нажать обратите внимание на подсказку, при включении компьютера.

Шаг 3: После того, как вы зашли в BIOS/UEFI вам нужно найти пункт меню, в котором находятся настройки TPM модуля и включить его. Обычно для этого нужно использовать вкладки «Security» или «Advanced». Вот несколько конфигураций для различных производителей:

    Для материнских плат от ASUS используется вкладка «Advanced» —> «Trusted Computing», в которой нужно включить сразу два параметра: «TPM Support» и «TPM State»;

Если вашего устройства нет в списке – поищите настройки TPM самостоятельно. Раздел, отвечающий за настройки TPM может также называться TPM, PTT, Intel Platform Trust Technology, чип безопасности или fTPM, однако принцип включения примерно одинаковый у всех производителей.

Как узнать больше сведений об TPM модуле?

Если вы нашли и включили TPM модуль, однако обновиться до Windows 11 все равно не получается – вам нужно проверить какая версия чипа используется в вашем компьютере. Дело в ном, что для перехода на Windows 11 нужен именно TPM 2.0 и если у вас чип предыдущего поколения обновиться не получится.

Для того, чтобы проверить версию TPM модуля выполните:

Шаг 1: Откройте меню «Пуск» и нажмите «пробел» на клавиатуре. Перед вами откроется окно поиска (его также можно открыть нажав по иконке лупы, возле иконки «Пуск»).

В открывшемся окне, в поле поиска введите запрос «Безопасность Windows» и щелкните на соответствующем результате.

Запуск утилиты Безопасность Windows

Шаг 2: В правой части открывшегося окна щелкните по «Безопасность устройства»

Безопасность устройства

Перед вами откроется окно отвечающее за безопасность устройства. В поле «Спецификации» вы можете проверить версию TPM модуля, встроенного в ваше устройство. В нашем случае это версия TPM 2.0

Если вы увидели надпись «Стандартная безопасность оборудования не поддерживается» значит модуль TPM отсутствует, или он отключен в настройках BIOS.

Попробуйте его включить используя инструкцию из предыдущего пункта этой статьи.

Что делать если в компьютере нет TPM модуля?

Если в вашем компьютере отсутствует чип TPM, либо используется устаревшая его версия – у вас есть два варианта:

1) Установить чип TPM 2.0 в вашем компьютере. Тут все несколько неоднозначно и обусловлено особенностями именно вашего компьютера. Дело в том, что в настольном компьютере для установки TPM 2.0 используется специальный разъем на материнской плате. То есть вы просто покупаете чип и вставляете его в материнскую плату. Однако в ноутбуках, из-за малых размеров чип TPM впаян в материнскую плату. Соответственно установить его самостоятельно не получится. Даже если в вашем ноутбуке есть соответствующий разъем – вам придется обратится в сервисный центр.

Кроме того, многое зависит от того, когда именно была выпущена ваша материнская плата. Дело в том, что первый чип TPM появился в 2003 году и если ваш компьютер был выпущен раньше – установка модуля TPM не представляется возможной ввиду отсутствия разъёма для его установки. В такой ситуации стоит использовать следующий метод.

2) Отсутствие модуля TPM 2.0 еще не повод отказаться от использования Windows 11. Во-первых, совсем недавно появилась информация, что Microsoft представит специальную версию Windows 11, в которой наличие TPM 2.0 не будет обязательным. Во-вторых, если вы не хотите ждать, вы можете установить Windows 11 на компьютере без TPM 2.0. О том, как это сделать – вы можете прочесть в статье «Как исправить ошибку «Запуск Windows 11 на этом компьютере невозможен»?»

Ну а если вы не хотите проводить лишние манипуляции – тогда придется дождаться официальной версии Windows 11, которая не будет требовать TPM 2.0. Но сколько времени пройдёт до ее выхода пока не известно.

Что делать если были утеряны важные данные?

Часто попытки установить новую операционную систему могут закончится неудачей. Особенно когда речь заходит об обновлении системы на более свежую версию.

Дело в том, что конфигурация у каждого компьютера разная и предугадать как себя поведет та или иная машина физически невозможно. Компания Microsoft предоставляет официальный способ обновления Windows 10 до Windows 11, однако стопроцентной гарантии, что все пройдет успешно никто дать не может. Соответственно, перед тем, как проводить любые манипуляции делайте резервные копии важных файлов.

Если же вы по какой-то причине потеряли важные данные – немедленно воспользуйтесь программой RS Partition Recovery. На сегодняшний день это лучшее средство для восстановления утерянных данных.

RS Partition Recovery не требовательна к ресурсам компьютера, поддерживает ВСЕ современные файловые системы, а сам процесс восстановления данных происходит практически в несколько кликов. Никаких лишних манипуляций.

Помимо прочего, в RS Partition Recovery встроен режим глубокого сканирования, который позволяет восстанавливать файлы, утерянные даже несколько месяцев тому назад.

Чтобы восстановить важные данные выполните несколько простых шагов:

Шаг 1. Установите и запустите программу RS Partition Recovery.

Универсальное решение для восстановления данных

Шаг 2. Выберите носитель или раздел диска, с которого необходимо восстановить данные.

Шаг 3. Выберите тип анализа.

Быстрый анализ стоит использовать, если файлы были удалены недавно. Программа проведет анализ и отобразит данные доступные для восстановления.

Полный анализ позволяет найти утерянные данные после форматирования, перераспределения диска или повреждения файловой структуры (RAW).

Шаг 4. Просмотр и выбор файлов для восстановления.

Шаг 5. Добавление файлов для сохранения в «Список Восстановления» или выбор всего раздела для восстановления.

Стоит отметить, что в качестве места для записи восстановленного файла лучше всего выбрать другой диск или раздел чтобы избежать перезаписи файла.

Модули TPM: что нужно знать эксперту-криминалисту ⁠ ⁠

Исследование компьютера, системный накопитель которого зашифрован посредством BitLocker, может оказаться намного сложнее, если ключ шифрования основан не на установленном пользователем пароле, а на данных, которые защищены аппаратным модулем TPM. В этом исследовании рассказывается об особенностях защиты ключей в TPM и возможных способах обхода этой защиты.

Что такое TPM и как он мешает исследовать компьютер

Trusted Platform Module (TPM) — система хранения криптографических ключей в персональных компьютерах. Она может быть реализована как в виде отдельного чипа, установленного на материнской плате компьютера, так и являться частью центрального процессора (технология Intel PTT). Отдельный чип TPM чаще всего распаян на материнской плате, но для некоторых плат поставляется отдельным модулем.

Чипы TPM Infineon Optiga:

Модули TPM: что нужно знать эксперту-криминалисту Защита информации, Криптозащита, Получение доступа, Длиннопост

Отдельный модуль TPM для материнских плат Asus:

Модули TPM: что нужно знать эксперту-криминалисту Защита информации, Криптозащита, Получение доступа, Длиннопост

Система состоит из криптографического процессора и встроенной памяти. Официально устройства с TPM в Россию не поставляются, так как содержат несертифицированные средства шифрования. Однако, наши российские коллеги регулярно сталкиваются с компьютерами, на которых этот чип присутствует. TPM обеспечивает генерацию, хранение и ограничение использования криптографических ключей. Операционные системы предоставляют разработчикам интерфейсы для работы с TPM, а также используют TPM для работы с ключами шифрования.

В этой статье я расскажу про Windows Bitlocker, который используется для шифрования дисков, и который может для этих целей использовать TPM модуль.

При проектировании системы шифрования дисков разработчики Windows использовали модель угроз, предотвращающую следующие события:

— Логин в операционную систему в обход пароля пользователя

— Перенос диска на другой компьютер и его анализ

— Изменение конфигурации компьютера с целью анализа диска

— Запуск на компьютере других операционных систем для доступа к диску

Но при этом для пользователя использование системы не представляет никаких неудобств, и в большинстве случаев ему достаточно просто включить компьютер и ввести свой пароль. Защиту можно усилить, установив на Bitlocker пин-код или сохранив секретный элемент на USB накопителе.

Как устроена защита

BitLocker использует симметричное шифрование диска, как и остальные подобные приложения. Шифрованием диска занимается центральный процессор. Основным секретным элементом является мастер-ключ, который может быть получен следующими способами:

1. Расшифрован паролем на диск, если используется такая защита.

2. Расшифрован ключом восстановления (Recovery Key). Ключ восстановления генерируется при создании любого контейнера или диска BitLocker и сохраняется пользователем либо в файл, либо в облако Microsoft. При некоторых условиях ключ сохраняется в облако Microsoft автоматически, без уведомления пользователя.

3. Извлечен из TPM модуля при соблюдении определенных условий.

Работа Bitlocker с системой TPM:

Модули TPM: что нужно знать эксперту-криминалисту Защита информации, Криптозащита, Получение доступа, Длиннопост

Работа TPM модуля очень напоминает блокчейн. Строится «цепочка доверия», которая сохраняется в регистрах PCR (Platform Configuration Register).

Рассмотрим работу TPM модуля по шагам:

1. Включаем компьютер. Управление передается первому «доверенному» модулю, который имеет название SRTM (Static root of trust for measures). Обычно этот модуль находится в ПЗУ материнской платы и не может быть изменен. Уязвимость в этом модуле может поставить под угрозу всю систему безопасности. Эффект подобной уязвимости можно наблюдать в эксплоите checkm8 для платформы Apple iOS. SRTM делает первую запись в цепочке: считает хеш от программного кода BIOS и записывает его в регистр PCR

2. Управление передается UEFI BIOS-у, который формирует дальнейшие компоненты цепочки. Анализируется конфигурация компьютера, разбивка жесткого диска, загрузчик (boot loader), загрузочные секторы диска (Master Boot Record) и множество других параметров. При этом в хешировании полученных данных участвует и предыдущий регистр PCR. Таким образом, все компоненты цепочки связаны между собой и любое нарушение приведет к изменению содержимого PCR регистров.

3. Заполнив несколько PCR регистров, BIOS передает управление загрузчику, который запускает код из MBR жесткого диска. Еще несколько записей в цепочке загрузки.

4. Наконец, запускается ядро операционной системы, которое тоже записывает в цепочку свои параметры.

Таким образом, при загруженной операционной системе мы получаем уникальный набор контрольных сумм, хранящихся в PCR регистрах модуля TPM. Модуль TPM не позволяет произвольным образом изменить содержимое PCR регистров; можно лишь добавить очередной компонент цепочки.

Загрузка компьютера с TPM модулем:

Модули TPM: что нужно знать эксперту-криминалисту Защита информации, Криптозащита, Получение доступа, Длиннопост

Шифрование BitLocker

Итак, пользователь включил шифрование жесткого диска BitLocker. По случайному закону генерируется мастер-ключ, а также ключ восстановления. Мастер-ключ записывается в модуль TPM, а также шифруется при помощи ключа восстановления и в таком виде сохраняется в заголовке диска. При перезапуске компьютера происходит следующее:

1. Все PCR регистры обнуляются.

2. Происходит инициализация, запуск BIOS, bootloader, MBR, ядра операционной системы.

3. Операционная система пытается получить ключ шифрования диска из TPM. При запросе TPM чип анализирует содержимое цепочки, хранящейся в регистрах PCR. Если цепочка повреждена, ключ шифрования не выдается, при этом выдается сообщение о необходимости ввода ключа восстановления.

Таким образом, при выключенном компьютере мы можем получить ключ шифрования диска только в случае запуска оригинальной системы. Изменение любого компонента системы приведет к необходимости ввода Recovery ключа.

Как работать с защитой TPM

Чаще всего к нам в руки попадает выключенный компьютер, о конфигурации которого ничего неизвестно. Самый первый шаг, который необходимо сделать в этой ситуации – снять побайтовый образ диска. Это можно сделать, например, при помощи утилиты Elcomsoft System Recovery. Перед снятием образа мы увидим список разделов диска, а также способ их шифрования, если он присутствует. Если мы имеем дело с защитой диска при помощи TPM, программа сообщит, что диск зашифрован BitLocker-ом, но хеш пароля извлечь невозможно. Для расшифровки диска понадобится найти либо ключ восстановления, либо мастер-ключ, хранящийся в TPM модуле. В этой статье я не буду останавливаться подробно на механизмах получения ключа восстановления. Отмечу лишь, что он может быть сохранен пользователем в файл на другом диске, в Active Directory, а также в облако Microsoft. В следующих разделах мы рассмотрим различные способы получения мастер-ключа из модуля TPM.

Получение мастер-ключа из памяти компьютера

После снятия образа диска можно попробовать включить компьютер и загрузиться с основного диска, защищенного BitLocker-ом. Если пользователь не установил пароль на вход в операционную систему, либо этот пароль известен, диск расшифруется полученным из TPM ключом. Исключение составляет ситуация, когда доступ к модулю TPM защищен дополнительным PIN-кодом. При нескольких попытках неправильного ввода такого кода модуль TPM блокирует доступ к мастер-ключу и доступ к диску становится возможным только при вводе Recovery ключа. Если у нас получилось загрузить ОС и залогиниться, мастер-ключ BitLocker-а находится в памяти компьютера. Его можно найти, используя портативную версию Elcomsoft Forensic Disk Decryptor. Этой же программой можно подключить снятый образ диска для анализа.

Конечно же, в этом случае возможен и анализ загруженной системы с активной пользовательской сессией. Но получение мастер-ключа и работа с образом более надежна; помимо прочего, мы получаем абсолютно точный образ системы, которая была изъята, без изменений, произошедших при старте ОС. Наши иностранные коллеги называют такой подход “forensically sound”.

Атаки методами холодной загрузки и через порты FireWire/Thunderbolt

Если загрузка ОС произошла успешно, но невозможно войти в систему, так как неизвестен пароль пользователя, можно попробовать прочитать содержимое памяти компьютера. Существует два известных способа: прямой доступ к памяти через шину PCI и метод «холодной загрузки» (cold boot).

Интерфейсы FireWire, Thunderbolt и PC Card имеют прямой доступ к шине PCI, которая, в свою очередь, имеет прямой доступ к памяти компьютера (obN1sjfxP Memory Access или DMA). Компьютеры с ОС Windows довольно редко оснащены такими интерфейсами, но нам может повезти, если, например, пользователь установил Windows на Мак с помощью драйверов Bootcamp. Для дампа памяти компьютера через шину PCI можно воспользоваться бесплатной утилитой inception, установив ее на любой компьютер с Linux.

К сожалению, такой способ работает только для Windows 7 и 8. В более старших версиях Windows доступ DMA через Thunderbolt уже закрыт. Дамп памяти, сделанный в inception, можно загрузить в Elcomsoft Forensic Disk Decryptor и, как уже было описано выше, найти мастер-ключ, с помощью которого можно либо полностью расшифровать образ диска, либо подключить его к системе для анализа.

Еще один вид атаки основан на том, что содержимое оперативной памяти компьютера обнуляется не мгновенно, а лишь спустя несколько секунд после выключения питания. Многие модули памяти способны сохранять свое состояние в течение нескольких минут и иногда даже часов, если их охладить до отрицательной температуры. На этом их свойстве и основана атака методом «холодной загрузки» (cold boot). Для атаки нам потребуется любой баллончик с хладагентом, например, предназначенный для тестирования термонестабильных электронных компонентов.

Включаем исследуемый компьютер, замораживаем память при помощи баллончика, сразу отключаем питание (ни в коем случае нельзя делать штатный shutdown средствами операционной системы), перезагружаемся с USB накопителя с Linux, на котором установлено расширение ядра LiME.

Далее создаём дамп оперативной памяти. Признаюсь честно, в нашей лаборатории мы ни разу не делали этот тип атаки. Но некоторые наши партнеры рассказывали, что у них получалось воспроизвести такую атаку и получить дамп памяти. Если других способов не осталось, вполне можно попробовать!

Заморозка памяти ноутбука:

Модули TPM: что нужно знать эксперту-криминалисту Защита информации, Криптозащита, Получение доступа, Длиннопост

Атака на TPM модуль через Sleep Mode

В любых системах обеспечения безопасности встречаются уязвимости. Не избежали этой участи и модули TPM. В 2018 году корейские исследователи Seunghun Han, Wook Shin, Jun-Hyeok Park и HyoungChun Kim из National Security Research Institute представили на конференции Usenix научную работу под названием «Страшный сон».

Когда компьютер уходит в «спящий режим», TPM сохраняет свое состояние в NVRAM, а при выходе из этого режима восстанавливает его. И вот в этот момент некоторые модели модулей TPM позволяют подменить содержимое PCR регистров. Модуль TPM также ведет свой внутренний журнал, что позволяет узнать всю «цепочку доверия» в тот момент, когда в штатном режиме загружалась Windows, и модуль отдавал мастер-ключ шифрования диска. Исследователи тут же поставили в известность крупнейших производителей материнских плат: Intel, Lenovo, Gigabyte, Dell, hp. Уязвимость была закрыта в обновлениях BIOS. Однако очень немногие пользователи устанавливают обновления BIOS, так что в мире ещё много компьютеров, уязвимых к этой атаке.

Seunghun Han написал две утилиты:

Имеет смысл запустить сначала его; это утилита для проверки TPM модуля на предмет наличия уязвимости «страшных снов». На странице есть ссылка на скачивание образа Live CD; достаточно записать его на USB накопитель (я для этих целей обычно пользуюсь отличной отечественной программой Rufus) и загрузить с нее исследуемый компьютер. К сожалению, все компьютеры в нашей тестовой лаборатории оказались неуязвимыми к этой атаке.

К сожалению, ее нет в виде Live CD, поэтому придется повозиться сначала с установкой Ubuntu на USB накопитель или внешний диск, а потом собрать и установить Bitleaker согласно инструкции. Для загрузки этой системы нужно либо отключить Secure Boot, либо подписать модифицированные загрузчик и ядро своей подписью и внести публичный ключ в BIOS компьютера. Подробную инструкцию можно найти, например, здесь.

Учтите, что добавление нового доверенного сертификата тоже изменяет содержимое регистров PCR, поэтому я бы советовал просто отключить Secure Boot при загрузке.

Атака на TPM путем анализа сигналов

Модуль TPM «общается» с компьютером через шину данных LPC (Low Pin Count). Эта шина используется для передачи данных от «медленных» устройств, к примеру, последовательных портов COM, и имеет частоту всего 33 МГц. Передаваемые по шине данные никак не зашифрованы, поэтому у нас есть возможность перехватить передаваемый мастер-ключ путем анализа сигналов. Denis Andzakovic показывает нам, как у него это получилось для TPM версий 1.2 и 2.0.

Для версии 1.2 он использует логический анализатор DSLogic Plus (цена в России около 10 тыс рублей), имеющий интерфейс USB и позволяющий анализировать до 16 каналов одновременно. Впрочем, этот анализатор автор не советует использовать, так как пришлось решать проблемы с синхронизацией и даже патчить его прошивку. Но, тем не менее, результат получен и мастер-ключ успешно извлечен из модуля.

Для версии 2.0 использовалось еще более дешевое устройство — Lattice ICEStick. Это FPGA модуль с интерфейсом USB, в который можно залить прошивку, предназначенную специально для сниффинга TPM модулей.

Осталось лишь аккуратно припаять проводки к нужным ножкам TPM чипа (для материнских плат, в которых модуль TPM вставляется в специальный разъём, достаточно просто подключиться между разъёмом и модулем), включить сниффер и получить мастер-ключ.

Конечно же, если BitLocker защищен еще и пин-кодом, такой способ не сработает. Очевидно, что этот способ не работает и для Intel PTT, так как мы не имеем физического доступа к интерфейсу модуля.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *