Super UEFIinSecureBoot Disk

يعد Super UEFIinSecureBoot Disk بمثابة إثبات للمفهوم (لم تتم صيانته أو تحسينه بشكل نشط) مع صورة قابلة للتمهيد باستخدام أداة تحميل التشغيل GRUB2 المصممة لاستخدامها كقاعدة لمحركات أقراص USB المحمولة للاسترداد.

الميزة الرئيسية: القرص يعمل بكامل طاقته مع تنشيط وضع التمهيد الآمن UEFI. يمكنه تشغيل أي نظام تشغيل أو ملف .efi، حتى مع وجود توقيع غير موثوق به أو غير صالح أو مفقود.

• محمل الإقلاع GRUB2
• دعم 32 بت (ia32) / 64 بت (x86_64) UEFI (+ التمهيد الآمن)
• دعم BIOS / UEFI CSM
• قم بتشغيل أي نظام تشغيل
• قم بتشغيل أي ملف .efi قابل للتنفيذ من GRUB2
• قم بتشغيل أي ملف .efi قابل للتنفيذ من تطبيق .efi آخر
• قم بتحميل أي برامج تشغيل UEFI

• شريحة Red Hat (الإصدار 15-8)، من Fedora، موقعة بمفتاح Microsoft، للتشغيل الأولي
• تم تعديل برنامج Linux Foundation PreLoader المسبق لتثبيت سياسة أمان UEFI التي تتحايل
• GRUB2 مع تصحيحات تجاوز الأمان لـ chainloader وlinux/linuxefi وshim

يعد Secure Boot إحدى ميزات البرامج الثابتة UEFI المصممة لتأمين عملية التمهيد عن طريق منع تحميل برامج التشغيل أو أدوات تحميل نظام التشغيل غير الموقعة بتوقيع رقمي مقبول.

تأتي معظم أجهزة الكمبيوتر الحديثة مزودة بميزة Secure Boot (التمهيد الآمن) افتراضيًا، وهو أحد متطلبات عملية الحصول على شهادة Windows 10. على الرغم من إمكانية تعطيله على جميع اللوحات الأم النموذجية في قائمة إعداد UEFI، إلا أنه في بعض الأحيان لا يكون ذلك ممكنًا بسهولة، على سبيل المثال بسبب كلمة مرور إعداد UEFI في كمبيوتر محمول خاص بالشركة والتي لا يعرفها المستخدم.

يقوم هذا القرص، بعد تثبيته على محرك أقراص USB محمول والتمهيد منه، بتعطيل ميزات حماية التمهيد الآمن بشكل فعال ويسمح مؤقتًا بتنفيذ جميع الإجراءات تقريبًا على جهاز الكمبيوتر كما لو تم تعطيل Secure Boot. قد يكون هذا مفيدًا لاستعادة البيانات، أو إعادة تثبيت نظام التشغيل، أو فقط للتشغيل من USB دون التفكير في خطوات إضافية.

قم بتحميل ملف الصورة من صفحة الإصدارات وكتابتها على فلاشة USB باستخدام أحد البرامج التالية:

• روزا إيماجوريتر (لنظامي التشغيل Windows وLinux)
• Etcher (لأنظمة التشغيل Windows وLinux وmacOS)

تحذير: سيتم حذف جميع بيانات فلاش USB الخاصة بك.

تحتوي الصورة على قسم FAT32 واحد بسعة 500 ميجابايت. استخدم أداة gparted أو أداة مشابهة لتغيير حجمها للحصول على مساحة كاملة على محرك أقراص USB.

سيُظهر التمهيد الأول على جهاز كمبيوتر مزود بالتمهيد الآمن مربع رسالة انتهاك الوصول. اضغط على "موافق" واختر خيار القائمة "تسجيل الشهادة من الملف". حدد ENROLL_THIS_KEY_IN_MOKMANAGER.cer وأكد تسجيل الشهادة.

سيتم تشغيل أجهزة الكمبيوتر التي لا تحتوي على Secure Boot (التمهيد الآمن) إلى GRUB دون تدخل يدوي.

• هل يعمل هذا القرص في Secure Boot؟
  نعم، إنه كذلك. يقوم بتحميل أي ملف أو برنامج تشغيل Linux kernel أو .efi غير موقع أو غير موثوق به، بعد تسجيل مفتاح التشغيل اليدوي الأول باستخدام برنامج MokManager. لا تحتاج إلى تعطيل Secure Boot (التمهيد الآمن) لإجراء تسجيل مفتاح التمهيد بقبضة اليد.

• هل يعمل هذا القرص على أجهزة الكمبيوتر المستندة إلى UEFI بدون Secure Boot (التمهيد الآمن)، أو مع تعطيل Secure Boot (التمهيد الآمن)؟
  نعم، فإنه سيعمل مثل الأسهم GRUB2.

• هل يعمل هذا القرص على أجهزة الكمبيوتر القديمة التي تعمل بنظام BIOS؟
  نعم، إنه يعمل تمامًا مثل أي أداة تحميل تشغيل GRUB2 أخرى.

• هل يمكن استخدام هذا القرص لتجاوز Secure Boot في فيروس/مجموعة تمهيد UEFI؟
  لا، ليس حقا. يتطلب هذا القرص تدخلاً يدويًا من المستخدم الفعلي عند التمهيد الأول، مما يلغي غرض مجموعة أدوات التشغيل المتمثلة في التخفي.

• هل يمكنني استبدال GRUB بمحمل إقلاع EFI آخر (rEFInd، syslinux، systemd-boot)؟
  نعم، استبدل grubx64_real.efi / grubia32_real.efi بملفاتك. لا يتطلب برنامج تحميل التشغيل التوقيع ويجب عليه أيضًا تشغيل أي ملفات .efi بفضل سياسة الأمان المثبتة بواسطة grubx64.efi / grubia32.efi (PreLoader)، تمامًا كما تم تضمين GRUB2 في القرص.

يتم تنفيذ عملية تمهيد UEFI لهذا القرص على ثلاث مراحل.

bootx64.efi (shim) → grubx64.efi (preloader) → grubx64_real.efi (grub2) → EFI file/OS

المرحلة 1 : تقوم اللوحة الأم بتحميل الرقائق. Shim عبارة عن أداة تحميل خاصة تقوم فقط بتحميل الملف القابل للتنفيذ التالي، grubx64.efi (أداة التحميل المسبق) في حالتنا. تم توقيع Shim باستخدام مفتاح Microsoft، مما يسمح بتشغيله في وضع التمهيد الآمن على جميع اللوحات الأم لأجهزة الكمبيوتر الشخصية.
يحتوي Shim على شهادة Fedora مضمنة (لأنها مستخرجة من مستودع Fedora). في حالة تمكين Secure Boot (التمهيد الآمن)، نظرًا لعدم توقيع grubx64.efi بشهادة Fedora المضمنة، يقوم shim بتشغيل ملف تنفيذي آخر، وهو MokManager.efi، وهو برنامج خاص لإدارة مفاتيح الرقائق. يطلب MokManager من المستخدم متابعة عملية تسجيل المفتاح أو التجزئة.
تعمل الإصدارات الأحدث من الرقائق على تثبيت خطافات لوظائف UEFI LoadImage وStartImage وExitBootServices وExit إلى "التشدد ضد أدوات تحميل التشغيل غير المشاركة"، والتي يجب تجاوزها في حالة استخدام القرص هذه. لا تقوم أداة Fedora's shim بتثبيت سياسات أمان UEFI مخصصة، ولهذا السبب لا يمكن تحميل ملفات efi موقعة ذاتيًا من أداة تحميل التشغيل للمرحلة الثانية، حتى إذا قمت بإضافة تجزئاتها أو شهاداتها باستخدام MokManager.

المرحلة 2 : برنامج التحميل المسبق هو برنامج مشابه لبرنامج shim. كما يقوم أيضًا بإجراء التحقق القابل للتنفيذ وتحميل ملف efi التالي. أداة التحميل المسبق المضمنة في هذا القرص هي نسخة مجردة تؤدي وظيفة واحدة فقط: تثبيت سياسة أمان UEFI المسموح بها للجميع. يسمح هذا بتحميل ملفات تنفيذية عشوائية من efi باستخدام وظائف LoadImage/StartImage UEFI حتى خارج GRUB (على سبيل المثال، في UEFI Shell)، ويتجاوز تصلب الرقائق.

المرحلة 3 : GRUB2 هو أداة تحميل إقلاع عالمية معروفة. لقد تم تصحيحه لتحميل Linux kernel دون التحقق الإضافي (أوامر Linux/linuxefi)، وتحميل ثنائيات .efi في الذاكرة والانتقال إلى نقطة الإدخال الخاصة بها (أمر chainloader)، ولتقليد "أداة تحميل التشغيل المشاركة" للرقائق.

اقرأ مقالتي حول هذا الموضوع: استغلال أدوات تحميل التشغيل الموقعة للتحايل على التمهيد الآمن لـ UEFI (متوفر أيضًا باللغة الروسية)

يقوم Super UEFIinSecureBoot Disk GRUB2 بتعيين suisbd=1 متغير. يمكن استخدامه لاكتشاف GRUB2 المصحح للقرص في grub.conf المشترك بين أدوات تحميل التشغيل المتعددة.

منذ الإصدار 3، يستخدم GRUB مُحمل ملفات UEFI .efi، نظرًا لوجود بعض المشكلات في تنفيذ المُحمل الداخلي. لاستخدام المحمل الداخلي، قم بإضافة set efi_internal_loader=1 إلى ملف تكوين GRUB. يمكن لكلتا الطريقتين تحميل ملفات .efi غير الموثوق بها.