Forum > Microsoft Windows

MS vuole aggiornare le key del secureboot, possibili errori futuri di boot

(1/1)

Singolarity:
MS lo aveva già indicato dall'anno scorso che per motivi di key del secureboot ormai vecchie e usate anche da alcuni virus rootkit boot vorrebbe procedere ad un aggiornamento di queste. Inizialmente si parlava di inizio 2024, poi si diceva luglio 2024 e infine data certa ottobre 2024.
Però tale aggiornamento potrebbe causare problematiche di esecuzione essendo un fix di portata molto invasiva in ogni sistema già funzionante, in particolare in vecchi pc non più aggiornati nel bios uefi potrebbe bloccarli e non concedere più il boot a nessun Win10/11 aggiornato dopo tali date dette. Nei più recenti ovviamente basterebbe un update uefi dalle rispettive ditte produttrici aggiornando proprio quella parte delle key del secureboot.
Ovviamente per pc datati che non vedrebbero più update bios uefi per nuove key purtroppo andrebbe disattivato il secureboot reinstallando poi da zero il Win10/11, ma non tutti i pc datati permettono la disabilitazione secureboot in modo indipendente alcuni per farlo vanno impostati addirittura in modalità CSM/Bios Legacy ossia senza UEFI e questo crea un nuovo problema, senza la possibilità di usare il GPT negli hdd non è possibile montare versioni superiori ai 2Tb.
Per altro le nuove key secureboot eliminerebbero quelle vecchie considerate "violate" e quindi anche la possibilità di eseguire il boot da determinati os alternativi come varie distro linux e anche da usb boot uefi se create nel momento delle vecchie key o con vecchi tools antecedenti....e non è detto che si trovi subito un possibile riparo, tipo la stessa MS in origine quando propose il secureboot fin dall'uscita di Win10, concesse con molta difficoltà la possibilità di avere key secureboot usabili per il mondo open o in altre situazione di tools free e come si è visto l'uso ne ha anche provocato l'abuso sfruttati in malware che ora MS vuole blindare.
Altro problema ulteriore potrebbe avvenire in presenza del bitlocker attivato (di norma in alcuni windows preinstallati lo è, soprattutto edizioni Pro, di rado nelle home, e nei recenti Win11 MS tende ad abilitarlo anche senza richiesta, esiste una funzione da registro per vietarne l'abilitazione arbitraria), le nuove key del secureboot non verrebbero riconosciute e di conseguenza al boot di windows entrerebbe in modalità ripristino della key bitlocker per bootare di nuovo (senza non boota e occorre un riformat perdendo i dati crittografati se prima non avete fatto un backup esterno)....ovviamente tale key bitlocker andrebbe saputa e quindi andrebbe backuppata in anticipo proprio per dargliela in tali situazioni. In presenza di uso di account MS per il login di norma tale backup viene automaticamente salvato con tale account online e quindi recuperabile facilmente tramite un altro pc andando su https://account.microsoft.com/devices/recoverykey  ,ma in qualsiasi caso meglio fare le procedure per averla sottomano in modo fisico.

Allora prima di tutto come verificare se abbiano attivato il secureboot (se avete Win11 lo è di certo, si può montare senza solo usando i bypass e quindi dovreste saperlo se avete montato un Win11 casomai su pc datati).
Avviamo msinfo32.exe da esegui e una volta lanciato proprio nella pagina iniziale di "Risorse di sistema" cerchiamo la dicitura "modalità Bios" che dovrebbe essere UEFI, se è Legacy avete tutto disabilitato come nei vecchi bios ed infine cerchiamo anche "Stato di avvio protetto" se dice Attivato allora il secureboot è attivo.

Poi verifichiamo se bitlocker è attivo per i nostri hdd, basta andare in Pannello di Controllo (quello vecchio, non le Impostazioni) - Sistema e sicurezza - Gestione crittografia Bitlocker .....appena ci cliccate vi dice immediatamente se è attivo e in quale unità, potrebbe essere attivo solo in C: oppure in tutte le unità (speriamo di no) oppure ancora meglio in nessun unità. Ecco se è tutto disattivato vi fermate qui perché non ci saranno problemi di bitlocker da recuperare. Se invece è attivo proseguiamo e vediamo come fare per avere la key di ripristino.
Un'altro sistema se non trovate il vecchio Pannello di Controllo in Win11 è quella di andarci attraverso le nuove Impostazioni e poi su Privacy e Sicurezza infine cliccate su Sicurezza di Windows e appunto vi apre il Defender qui cliccate su Sicurezza dispositivi e troverete poi Crittografia Dati e sotto Gestione crittografia bitlocker e da qui vedrete se è attivo o meno.
Infine ancora più veloce basta andare da prompt dei comandi eseguendolo come admin e digitare:
--- Codice: ---manage-bde -status
--- Termina codice ---
se trovate la dicitura "stato di protezione: protezione disattivata" è tutto ok.
Se invece dovesse essere attiva e lo volete disattivare di fianco ad ogni unità in cui dice che è protetta da bitlocker dovrebbe esserci la scritta "Disattiva bitlocker" e dopo un tot di tempo per decriptare tale unità ecco che bitlocker dovrebbe essere disattivato e le vostre unità libere. E' anche possibile disattivare bitlocker dal prompt dei comandi in sessione amministratore lanciate:

--- Codice: ---manage-bde.exe -off C:
--- Termina codice ---
Ovviamente da ripetere anche per le altre unità se sono protette, vi ci vorrà qualche minuto.

Recuperare la key di ripristino bitlocker:
Allora se usiamo un account MS come vi ho già scritto basta andare in https://account.microsoft.com/devices/recoverykey da un altro pc e la vedrete...ovviamente vi chiederà il login e password del vostro account MS prima di tutto. Da premettere le funzionalità di recupero in modalità grafica sono possibili solo nelle edizioni Pro ed Enterprise, nella medesima finestra di Gestione bitlocker dovrebbe esserci un link con su scritto "Esegui backup chiave di ripristino" per ogni unità crittografata, ma nelle edizioni Home non c'è, in queste ultime MS consiglia l'uso appunto dell'account MS anche per tale recupero ma è possibile farlo via prompt dei comandi in modalità amministratore, lanciando:

--- Codice: ---manage-bde.exe -protectors -get C:
--- Termina codice ---
Al posto di C: possiamo dopo mettere anche le altre unità se sono anche quelle protette da bitlocker.
Vi compariranno una serie di info, tra le varie dovreste riconoscere la dicitura di chiave di ripristino (RecoveryKey) si tratta di una sequenza di numeri a gruppi ed è quella che vi serve da copiare per intero....potete scrivervela oppure fotografarla oppure semplice copia incolla e la mettete in un file, ovviamente non del medesimo pc!!!! eheheh  :D :D

Aggiungo anche un codice in Powershell per avere subito tutte le recovery key bitlocker:

--- Codice: ---$BitlockerVolumers = Get-BitLockerVolume
$BitlockerVolumers |
    ForEach-Object {
        $MountPoint = $_.MountPoint
        $RecoveryKey = [string]($_.KeyProtector).RecoveryPassword       
        if ($RecoveryKey.Length -gt 5) {
            Write-Output ("Il drive $MountPoint ha come recovery key $RecoveryKey")
        }
    }

--- Termina codice ---

Bene incrociamo le dita e speriamo che non succeda nulla di quello che molti stanno già profetizzando e correndo ai ripari, purtroppo piuttosto che una protezione ulteriore contro i rootkit sembra più un ennesimo tentativo di MS di blindare di nuovo l'hardware cercando di ottenere quello che sia Google che Apple già fanno con i loro dispositivi legati a doppio filo con solo i loro OS. Qualcuno però dovrebbe consigliare ad MS di farlo solo su hardware proprio e non su quello che uno si compra e si monta da solo. Di nuovo sta succedendo quello che appunto era già capitato alla nascita di Win10 (nonostante le prime versioni secureboot risalgono a Win8) ossia una imposizione di MS nel decidere a priori cosa eseguire e cosa non eseguire come sistema operativo e anche allora fu una rivolta di molte comunità open che alla fine costrinsero MS appunto a rilasciare in modo gratuito alcune key....vedremo cosa succederà....intanto dateci un occhio soprattutto se avete un portatile con windows preinstallato, recuperate tutto il possibile per non farvi cogliere da sorprese poco piacevoli dopo un patch day mensile di MS.

Fonti:
https://www.ilsoftware.it/perche-entro-ottobre-2024-tanti-sistemi-potrebbero-non-avviarsi-piu-colpevole-secure-boot/
https://learn.microsoft.com/it-it/windows/security/operating-system-security/data-protection/bitlocker/operations-guide?tabs=powershell

Navigazione

[0] Indice dei post

Vai alla versione completa