UEFI Security Boot. Reparacion y Mantenimiento de PC con Herramientas Libres Laboratorio Gugler



Documentos relacionados
TRABAJO PRÁCTICO Reparación y Mantenimiento de PC con herramientas libres Nivel 1

CEFIRE de Valencia Curso Iniciación a Edubuntu Código: 07VA66EA036

aplicaciones CEFIRE de Valencia Curso Iniciación a LliureX Código: 07VA47IN435

aplicaciones CEFIRE de Godella Enseña: Manejo de LliureX Código: 08GO47IN415

Cuello de Botella en una Computadora

Breve resumen de cómo compartir un recurso de linux con windows, utilizando samba.

con R y R Commander (Versión Febrero 2008) Autores: A. J. Arriaza Gómez M. A. López Sánchez S. Pérez Plaza A. Sánchez Navas

Notas de la versión del shell y las utilidades del sistema HP UEFI

Secuencia de arranque de un computador. Estructura lógica del disco duro de una PC

Procedimientos para el Montaje de Equipos Microinformáticos.

Laboratorio 7.3.2: Demostración de la instalación de Windows XP

Reparación de la fuente de alimentación

Anexo G MAPING DE ENCUESTAS

Cómo Instalar Ubuntu LTS

Trabajo Final de Investigación

CEFIRE de Valencia Curso Iniciación a LliureX Código: 07VA47IN435. Sesión 2: GNU/Linux

Notas de la versión del Shell y las utilidades del sistema de HP UEFI para servidores HP ProLiant DL580 Gen8

Sesión 5: Wine. Proyecto de formación en centros CEIP Benimamet Valencia

Ubuntu LTS. Documentación de Instalación 21/03/2013. Ing. Timotea Guadalupe Menjivar. Investigación, Desarrollo e Innovación (I + D + i)

Anexo E ENCUESTA TESIS - TECNOLOGÍAS DE INTELIGENCIA DE NEGOCIOS

Sistema de arranque UEFI: la seguridad, la adecuada instalación y la libertad de elección.

El RAID 5 requiere al menos tres unidades de disco para ser implementado. El fallo de un segundo disco provoca la pérdida completa de los datos.

TRABAJO PRACTICO FINAL FORMATEO A BAJO NIVEL DE UNIDADES DE ALMACENAMIENTO

Taller de Tecnología BIOS

SISTEMAS DE ARCHIVOS. Conrado Perea

Instalación de un SERVIDOR Debian:

Curso de Mantenimiento y Reparación de PC

ESCUELA NACIONAL AUXILIARES DE ENFERMERÍA Manizales TECNOLOGÍA E INFORMÁTICA

EVALUACIÓN DE DESEMPEÑO Y PRODUCTO

CEFIRE de Valencia Curso Iniciación a Edubuntu Código: 07VA66EA036

Manual de Descarga e Instalación Drivers de tokens y Winrar para Windows 7

Práctica de laboratorio: Instalación de Windows 8

Administración de Infraestructuras

Instituto Nacional de San Rafael

Instituto Politécnico Superior. Departamento Electrotecnia. Técnico Universitario en Sistemas Electrónicos

Notas de la versión del Shell y las utilidades del sistema de HP UEFI para servidores HP ProLiant Gen9

MANUAL MÓDULO WIFI DE MOWAY

Creación de un pendrive USB de instalación de SO

Matemáticas Discretas, Lógica: Predicados y Cuantificadores

Menú de Arranque en Windows VISTA

MANUAL RÁPIDO TOKEN USO DE TOKEN FÍSICO Marca: Bit4Id Modelo: key4 V2 15/02/2018

PLANEACIÓN DE UNA INSTALACIÓN

Guía Para Actualizar BIOS. Soporte Técnico

Tema: Instalación de Linux.

Estructura del tema. Introducción Arranque de un PC. BIOS Procedimiento de arranque Configuración y actualización de la BIOS

RAID 1 en Debian 6.0. Rocío Alt. Abreu Ortiz

INSTALACIÓN DE WINDOWS 7

Ya conocemos qué es la BIOS, de modo que simplemente vamos a ver cómo entrar en ella y las configuraciones útiles para la reparación de un equipo.

Rawel E. Luciano B Sistema Operativo III. 4- Compartir datos en una red Linux usando NFS. José Doñe

Instalación de VirtualBox. Prácticas adicionales

Esta unidad describe cómo se almacena la información en los dispositivos magnéticos.

Consideraciones previas a la instalación de sistemas operativos libres y propietarios

Sesión 5: Instalación de aplicaciones

Ejercicios resueltos de tecnología electrónica.

Estimado Cliente, Antes de recuperar / Deshacer. Option I:

MANUAL DE USUARIO. USB3.0 to 3.5 SATA Caja externa HDD LL-35621

Redes y su configuración

Unidad 4 - PARTICIONES -

ANDRES LEONEL CESPEDES SISTEMA OPERATIVO II

Posteriormente se abrirá una ventana con varias pestañas que nos darán algunas características de nuestra maquina de nuestro pc

BIOS: Basic Input Output System

Profesor Santiago Roberto Zunino. Página 1

Propósito de la Unidad de Aprendizaje: Tarea integradora. de CD-ROM. sistemas de archivos. Linux (HETEROEVALUACIÓN)

Atutor: una alternativa accesible, usable y abierta para el e-learning y la educación a distancia

INSTALACION DE WINDOWS 98

INFORMATICAFACIL BIOS AMI. configuración. ekocop H T T P : / / I N F O R M A T I C A F A C I L. W O R D P R E S S. C O M

Capítulo 2: Instalación del Sistema Operativo Introducción

Capítulo 2 INSTALACIÓN DE DEBIAN

El sistema de archivos o sistema de ficheros es el componente del sistema operativo encargado de administrar y facilitar el uso de las memorias perifé

Juan Jesús Farfán Ramón M. Gómez Carmelo Cabezuelo Miguel A. de Vega

Sistemas Operativos y Software Computacional Sistemas operativos y software computacional

ACADEMIA CISCO UCV- MARACAY CURSO CCNA IT ESSENTIALS

CARLOS GARCÍA PARDILLOS

Sede electrónica. Requisitos para la firma electrónica en este Ministerio con la solución Miniapplet / Autofirma

Práctica de laboratorio: Búsqueda de archivos de BIOS

Unidad 1: Introducción al entorno

Introducción. Aparición en los 50, se facilita la comunicación entre el usuario y el ordenador Cualquier persona puede utilizar un ordenador.

UDS Enterprise Preparando Plantillas Windows 7 + RDP + Actor UDS

Cómo instalar varios Sistemas Operativos en un disco duro

TAKASHI SUGASAWA. LINUX Básico B. (1. Introducción n a LINUX) 1

Cómo configurar RAID 5 en Ubuntu Server

ASI LO HICE... Instalar Puppy Linux y GRUB compartiendo con una partición de Windows XP

Servicio de Instalación y Puesta en Operación de Servidores HP

Dpto. de Electrónica 2º GM - EMTT. Tema 7 El SETUP

Manual de Instalación de Xandros Server

CONDUCTORES HABITUALES. Configuración y uso de la aplicación en diferentes navegadores

Actividad 1.1 Instalación típica de Windows 2000 Server

1. WINDOWS 98 SE (Segunda Edición)

Guía de la Utilidad de Configuración de la Computadora (F10) Series dx2390 y dx2400 Microtorre Business Desktop HP Compaq

Rawel E. Luciano B Sistema Operativo III 17- CUP. José Doñe

SISTEMA OPERATIVO MOLINUX. Una alternativa para las aulas en Castilla La Mancha. Justificación y guía de instalación.

FIRMA DIGITAL DNIe. OBTENCIÓN DEL CERTIFICADO DE FIRMA DIGITAL

PROCESO DE INSTALACIÓN DE UN SO EN UN HD

Transcripción:

UEFI Security Boot Reparacion y Mantenimiento de PC con Herramientas Libres Laboratorio Gugler Autores: Alvarez Joel Zapata Luciano Año: 2015 Bibliografía: Experiencias personales e Investigación propia (Papers). Pagina web: www.howtogeek.com www.taringa.net www.hp.com

Copyright 2015 Zapata Luciano, Alvarez Joel; A copy of the license is included in the section entitled "GNU Free Documentation License".Author Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no FrontCover Texts, and no Back-Cover Texts. 2

INDICE: Portada...1 Copyright...2 Índice...3 Sistema de arranque UEFI...4 Introducción...4 UEFI y la relación con el Sistema Operativo de Microsoft...4 Secure Boot...5 Casos prácticos...6 A tener en cuenta...7 Añadir Key al Firmware de la UEFI...7 Atención...8 Conclusión...9 3

Sistema de arranque UEFI Introducción: Cuando se enciende una computadora se realiza una serie de pasos antes de que arranque el sistema operativo. Cuando eso ocurre se lanza un software de bajo nivel que se halla en la motherboard conocido como BIOS y se ejecuta una rutina llamada POST (Power On Self Test) que incluye un conjunto de instrucciones de comprobación de hardware. Luego se lee el primer sector del disco duro o sector de inicio del mismo, (en caso de seleccionar un HDD como dispositivo primario de booteo) llamado MBR (Master Boot Record), donde se encuentra un pequeño programa denominado gestor de arranque. Este permite al usuario seleccionar el sistema operativo que quiere utilizar si es que en la computadora existe mas de uno o distintas versiones del/los mismos. El BIOS se utiliza en computadoras desde la década de los 80's, con pocas modificaciones desde entonces, manteniendo siempre retro-compatibilidad, esto provoca limitaciones de direcciones de memoria de 20 bits y limita el tamaño del gestor de arranque a 440 bytes. Estas limitaciones no son aceptables en la actualidad considerando que los gestores de arranque modernos leen múltiples sistemas de archivo, muchas veces tienen interfaces gráficas con imágenes de fondo, teniendo que cargar en memoria múltiples kernels de distintos formatos, los cuales ocupan mucho más que 440 bytes. Esto hace que en la actualidad los gestores funcionen en múltiples etapas haciendo que el proceso de arranque sea mas complejo que lo que debería ser, estos problemas son solucionados con UEFI. UEFI nace a partir de UEFI Forum que es una alianza entre varias compañías líderes en tecnología, entre ellas Intel y Microsoft, con el objetivo de modernizar el proceso de arranque. UEFI es la evolución de EFI (Extensible Firmware Interface) que es una especificación desarrollada por Intel, un anexo entre el SO y el firmware, lo cual puede verse como una alternativa de reemplazo de la BIOS presentando mejoras tales como la cantidad de particiones y capacidad máxima del dispositivo particionado utilizando el sistema GPT. UEFI aporta criptografía, autenticación por red, seguridad a nivel hardware e interfaz gráfica entre otras cosas. Algunas diferencias que podemos destacar entre UEFI, EFI y una BIOS es que entre las primeras es que EFI es una especificación de Intel como alternativa a la BIOS, que no posee interfaz gráfica, y utiliza el sistema GPT que soluciona el problema de limitación de particiones del MBR. La misma, luego paso a llamarse UEFI en referencia a Unified EFI, al momento en que se unificaron otras empresas tales como AMD, HP, American Megatrends, Apple, Dell, etc. UEFI aporta a EFI criptografía, autentificaron por red y una interfaz gráfica. EFI / UEFI se diferencian de una BIOS común, mas allá de que anteriormente aclaramos que UEFI es una aplicación que suplanta a la BIOS trabajando como una interfaz de la misma, siendo mas amigable y comprensible para el usuario; superando ciertas limitaciones del anterior sistema relacionadas a la seguridad, compatibilidad y administración de recursos. UEFI y la relación con el SO de Microsoft Una de las cuestiones mas planteadas es la relación costo beneficio que se presenta respecto a las desventajas en cuanto a incompatibilidad por parte de los 4

Sistemas Operativos que no pertenecen a la empresa Microsoft, y que tanto se benefician los usuarios de Windows al utilizar el SO creado por la misma empresa miembro de la alianza UEFI Forum y a su ves dueño de UEFI. Dicha limitación puede darse a travez de una capacidad que incluye UEFI en sus ultimas versiones que es el estándar Secure Boot. Recordemos que la especificación EFI es propia de Intel, y la especificación UEFI es propiedad de UEFI Forum. Secure Boot Secure Boot propone mecanismos para tener un proceso de arranque seguro y libre de código malicioso. De ser bien implementados, estos mecanismos pueden ser aprovechados por cualquier SO libre o privativo para garantizar un arranque donde no sea posible la ejecución de código malicioso. Sin embargo si este mecanismo no es implementado de forma completa o correcta puede ser restrictivo impidiendo la instalación de sistemas operativos que no sean de Microsoft, lo que afecta la libertad de optar por otros sistemas operativos. Esta especificación propone utilizar un par de claves asimétricas, una publica y la otra privada, la primera se guarda en el firmware y cada ejecutable UEFI estará firmado con una clave privada por el proveedor autorizado; fallando la autorización si, esta esta vencida, no es confiable o no corresponde con el ejecutable analizado porque fue alterado. -Los equipos que cumplan con la especificación UEFI de Secure Boot deben contar con dos modos: Modo Setup: En este modo el Firmware no verifica el gestor de arranque ni que los drivers estén firmados por clave confiables. Modo usuario: En este modo solamente es posible cargar drivers y aplicaciones UEFI firmados con claves confiables. Sera fallido cualquier intento de cargar un gestor de arranque sin firmar. -Se utilizan dos clases distintas de pares de claves asimétricas: Key Exchange Keys (KEKs): Se utiliza para establecer una relación de confianza entre el sistema operativo y el firmware de la plataforma. Platatform Key (PK): su función es establecer una relación de confianza entre el dueño de la plataforma y el firmware. Además de la PK y la base de datos KEKs, el firmware debe almacenar una base de datos de firmas aceptadas (DB) y no aceptadas (DBX) de manera que al arrancar el sistema se verifica que cada aplicación o driver UEFI tenga su firma registrada en DB y no en DBX, si esto se cumple el driver o aplicación se ejecuta, pero de no ser asi, no lo hará. Para modificar las bases DB y DBX hay que contar con la parte privada de la clave PK o de alguna KEK. Hasta que no se registre la PK, la plataforma opera en modo Setup. En este modo el firmware no debe requerir autenticación para modificar la PK o la base de datos KEK. Como se dijo anteriormente Secure Boot propone un mecanismo para tener un proceso de arranque seguro pero su mala utilización (intencional o no) puede ser muy restrictivo no dejando instalar Sistemas Operativos que no sean de Microsoft, esto es el caso de la certificación de Microsoft Windows que exige que los equipos tengan Secure Boot habilitado por defecto y plantea que la clave PK es controlada por el fabricante y no por el dueño del equipo que es lo que propone el estándar UEFI. Esta es una 5

diferencia fundamental entre el estándar y la certificación de Windows que tiene que ver con la libertad de elección del software a instalar. Para resumir, podríamos decir que desde un punto de vista general, la implementación del Secure Boot presente en UEFI, nos brinda seguridad a un nivel mas profundo, mas presenta el inconveniente de volverse privativo en potencia, al restringir o dificultar de cierta forma la instalación de otros Sistemas Operativos tales como las múltiples versiones y/o distribuciones de GNU/Linux. Adentrándonos ahora en casos prácticos, veremos de que manera actúa UEFI a la hora de instalar un nuevo sistema operativo en una PC. Ya sea perteneciente a Microsoft o sea de libre distribución. CASO 1: Como deberíamos proceder en caso de querer instalar Ubuntu (Derivado de Debian) en una PC que ya poseía instalado Windows 7 u 8 (Microsoft)? Teniendo preparados los elementos necesarios para la instalación (Imagen del SO montada en alguna memoria flash, disco extraíble; y la PC en la que instalaremos el nuevo sistema) Paso 1: Preparar nuestro sistema para la instalación. -Nos dirigimos a: >>Configuración de nuestro sistema>>cambiar configuración del PC>>Uso general. Hacemos clic en Inicio avanzado y luego en Reiniciar ahora. (Imagen extraida de: http://www.taringa.net/post/info/16700378/desactivar-secureboot-windows-8.html ) 6

-Al reiniciar seleccionamos la opción Solución de problemas, Opciones avanzadas, Configuración UEFI (UEFI Firmware Settings, en la imagen)y por ultimo Reiniciar. (Imagen extraida de: http://h30434.www3.hp.com/t5/desktop-operating-systems-software- Recovery/Accessing-UEFI-BIOS-in-Windows-8/td-p/2415097 ) -Cuando inicie nuevamente vamos a la pestaña Boot y desactivamos la opción Fast Boot. También nos dirigiremos a la pestaña Security y desactivamos la opción Secure Boot Control. (Imagen extraida de: http://www.taringa.net/post/info/16700378/desactivar-secureboot-windows-8.html ) 7

-Guardamos cambios y reiniciamos. -Repetimos el paso 1 Paso 2: Instalar el nuevo sistema operativo. -Al reiniciar, esta vez seleccionaremos la opción Usar un dispositivo. -Cuando inicie nuevamente seleccionaremos la unidad en la que tenemos la imagen del nuevo sistema operativo, y a partir de ahí, seguiremos los pasos habituales para la instalación de nuestro sistema operativo Ubuntu. CASO 2: Como deberíamos proceder en caso de querer instalar Fedora (Derivado de Red Hat) en una PC que ya poseía instalado Windows 7 u 8 (Microsoft)? En este caso debemos proceder de la misma manera que en el CASO 1. La única diferencia radica en la forma de instalar el nuevo sistema, los pasos serán diferentes, pero la preparación de el equipo para su instalación es la misma. Cita: Añadir una clave de inicio al firmware de la UEFI: -Puede que algunas distribuciones de linux firmen sus boot loaders con una clave propia, la cual puede ser añadida al firmware de tu propia UEFI. Mas esto no parece ser algo muy común por el momento. (Extraido de http://www.howtogeek.com/175641/how-to-boot-and-installlinux-on-a-uefi-pc-with-secure-boot/) ATENCION: Que pasaría si intentamos bootear desde una unidad deferente a la cual teníamos instalado nuestro SO predeterminado? (Imagen extraida de: http://www.howtogeek.com/175641/how-to-boot-and-install-linuxon-a-uefi-pc-with-secure-boot/) Este mensaje de error aparecerá al intentar violar el Secure Boot. 8

Conclusión: Dependiendo de la persona, la finalidad que busque, y la actividad que desea realizar, la UEFI y su security boot podrían presentar diversas ventajas y desventajas. Para el usuario común, el funcionamiento de su PC no cambiaría prácticamente en nada, por lo que un análisis desde su punto de vista es casi innecesario. Para un reparador de PC, o aquella persona que desee modificar el funcionamiento de su sistema, ya sea por la actualización del mismo, o por el cambio de su SO, se encontraría con barreras que antes no conocía, ya que de su procedimiento habitual, que comúnmente le llevaría unos cuantos minutos, ha pasado a una tarea que requiere su atención por al menos 1 hora. Mas debemos tener en cuenta el hecho de que esta característica nos proporciona una ventaja en cuanto a seguridad, la incapacidad de robar nuestra unidad de almacenamiento para ser usada en otro equipo y así lucrar de esta manera, o robar la información del usuario. 9

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback