abonneren

UEFI secure boot Windows 10: Onderschep malware

UEFI secure boot Windows 10
Heel wat aanvallen gebeuren tegenwoordig voor of tijdens het bootproces en dat maakt het lastig voor antimalware-oplossingen die vanuit een OS opereren, omdat die op dat moment nog niet actief zijn. Daar komt UEFI secure boot in Windows 10 om de hoek kijken.

Windows 10 tracht dergelijke aanvallen alsnog tegen te gaan door een combinatie van een aantal beveiligingsfuncties, waaronder uefi met secure boot. Net zoals bij het oudere bios start uefi de apparaten op en stuurt het bootproces aan.

Een ingeschakelde secure boot zorgt ervoor dat alleen vertrouwde firmware in option roms, uefi-apps en OS-bootloaders uitgevoerd kan worden. Omdat in principe alleen de fabrikant van de pc toegang heeft tot het digitale certificaat dat vereist is voor een geldige firmwarehandtekening, blokkeert secure boot de toegang tot allerlei pre-boot-aanvallen, zoals bootkits. Computers die verkocht worden met het officiële Windows 10-logo zijn standaard voorzien van uefi met ingeschakelde secure boot.

Wil je snel nagaan of secure boot op je systeem is geactiveerd, druk dan op Windows-knop+R en voer msinfo32 uit. In de rubriek Systeemoverzicht tref je Status beveiligd opstarten aan: Ingeschakeld, Uitgeschakeld of Niet ondersteund.

In dit laatste geval biedt je systeem dus geen ondersteuning aan voor secure boot. Of je hebt Windows geïnstalleerd in de oudere bios-modus; bij Bios Modus staat dan de optie Verouderd, in plaats van UEFI.

UEFI secure boot Windows 10

Secure boot uitschakelen

Vanzelfsprekend raadt Microsoft aan Windows in uefi-modus met ingeschakelde secure boot te installeren en die functie altijd ingeschakeld te laten. Dat is zinvol advies, maar het kan gebeuren dat bepaalde hardware (zoals grafische kaarten) of alternatieve OS’en, zoals minder bekende Linux-distributies die je bijvoorbeeld in dual boot wilt installeren, weigeren te functioneren met ingeschakelde secure boot. Je zult dan wellicht een afweging moeten maken.

Wil je toch het risico lopen secure boot uit te zetten, dan kan dat normaliter vanuit het uefi/bios-setupmenu. Druk hiervoor op een speciale toets tijdens het opstarten, zoals Esc, Del, F1, F2 of F12. Maar het kan ook vanuit Windows. Ga naar Instellingen en kies Bijwerken en beveiliging / Systeemherstel / Nu opnieuw opstarten. Na de herstart kies je Problemen oplossen / Geavanceerde opties / Instellingen voor UEFI-firmware / Opnieuw opstarten. In het setupvenster vind je vast een schakeloptie voor secure boot terug.

In het ergste geval kan het ook nodig zijn de uefi-modus in het setupvenster om te schakelen naar bios-mode of csm (legacy). Maar let op: had je Windows in uefi-modus geïnstalleerd, dan zal het in dit geval weigeren nog door te starten. Mogelijk moet je de harde schijf dan in mbr-formaat (in plaats van gpt) herformatteren en Windows opnieuw installeren.

UEFI secure boot Windows 10

Drivers verifiëren

Wie secure boot heeft geactiveerd, krijgt nog met een andere beveiligingsfunctie te maken: de verplichte digitale ondertekening door Microsoft van alle kernel-mode drivers (driver signature enforcement). Ook die moet voorkomen dat malafide drivers je systeem in gevaar brengen. Een zinvolle functie uiteraard, maar het kan gebeuren dat een driver van een (wat oudere) hardwarecomponent op die blokkade botst.

Ben je zeker dat het om een bonafide driver gaat, dan is het mogelijk de beveiliging uit te zetten. Dat kan op een min of meer permanente basis. Ga als administrator naar de Opdrachtprompt, voer het commando

bcdedit /set testsigning on

uit en herstart je pc; onderaan rechts van je bureaublad verschijnt nu de melding ‘Testmodus’. Met

bcdedit /set testsigning off

kan je deze modus wel weer uitschakelen. Het kan ook tijdelijk: houd de Shift-toets ingedrukt, terwijl je in het startmenu op het symbooltje Aan/Uit en vervolgens op Opnieuw opstarten klikt. Klik achtereenvolgens op Problemen oplossen / Geavanceerde opties / Opstartinstellingen / Opnieuw opstarten. Na de herstart druk je op de 7- of F7-toets voor de optie Afdwingen van stuurprogrammahandtekening uitschakelen.

De volgende keer dat Windows start, wordt de beveiliging automatisch weer actief, maar dat geeft je dus wel de gelegenheid de gewraakte driver te installeren.

Drivers controleren

Overigens kun je zelf op diverse manieren op zoek gaan naar niet-gesigneerde drivers. Druk op Windows-knop+R en voer dxdiag uit. Zorg dat er een vinkje staat bij Controleren op digitale handtekeningen van WHQL (Windows Hardware Quality Labs) en loop een voor een de tabbladen van de drivers door: ga na of overal wel WHQL Logo’d: Ja staat.

Of, grondiger nog, druk op Windows-knop+R en voer sigverif uit. Klik op Starten; vindt de tool niet-gesigneerde drivers, dan krijg je die na afloop opgesomd (of je klikt op Geavanceerd / Logboek weergeven). Of ga als administrator naar de opdrachtprompt, voer Verifier uit en druk op Volgende (2x). Stuit je inderdaad op niet-gesigneerde drivers, ga dan na of er intussen geen ondertekende driver beschikbaar is.

Geschreven door: Toon van Daele op

Category: Workshop, Security

Tags: Systeembeheer, Security, Malware