Off-topic. Proč bys vypínal SB?...
Kolik widli adminujes? je to tak 2 roky +- ... kdy po aktualizacich pestaly bootovat vsechny widli virtualy na vmware (se zapnutym SB) a soudruzi se pak 3 mesice dohadovali, kdo za to muze.
Aktualne pak v tom ma MS takovej bordel, ze co tyden zverejnuje jinou informaci na tema expirace certifikatu. Takze mas dost velkou sanci ze nekdy po vanocich ti ten stroj jednoduse nenabootuje.
U mě ani nejde o celkové množství stanic/serverů, spíš o variaci různých konfigurací. Řekněme že od toho roku 2012, kdy MS přišel se SB ve Win 8 a Server 2012, mi za cca 3-4 generace počítačů mohlo projít rukama řekněme vyšší desítky kombinací různých HW konfigurací a verzí Windows (od práce, přes individuální servery a stanice v systémech jinde, video střižny až po nějaké rodinné notebooky).
Možná jsem měl kliku, ale opravdu jsem nikdy nemusel vypínat SB kvůli nějaké aktualizaci Windows nebo chybě, téměř ve všech případech to zůstávalo zapnuté (výchozí stav).
Pokud už jsem to vypínal, tak kvůli nějakému specifickému setupu (mutliboot s Linuxem bez podepsaného SHIMu, Hackintosh) nebo dalšímu hardwaru, který měl např. starý nepodepsaný UEFI firmware (starší FC, 10GbE karty - většinou vyřešil vendor updatem) příp. tam třeba v té přechodové době byly nějaké špatně podepsané ovladače třetích stran (jenom přebalený driver do W7/WS2008, což opět vyřešil vendor).
Ten problém s VMWare a Server 2022 jsem zaregistroval před 2r., ale naštěstí se mě to vyhnulo. Pár virtuálů ve správě mám, ale ty měly Server 2016 a 2019. I když možná toho víc řešil kolega, co primárně spravuje stovky virtuálů s Windows, kdežto já spíš řeším ty Linuxové. Ale i tak, kdyby to nastalo, tak pravděpodbně udělám jen revert snapshotu před updatem. Mám vcelku striktně rozdělené disky ve virtuálech pro systém, aplikační data a databáze (už jsem si párkrát s aktualizací v daném časovém okně nabil hubu
.
Taky jsem registroval že byly někdy vloni potíže s aktualizací DBX (blacklisty v UEFI) z updatu Windows, kdy to nedoběhlo, a pak to vyžadovalo zadání BL recovery kódu, ale opět - u strojů, které spravuju, to prošlo vše v pohodě.
Vazne nevim, proc bych mel resit problem, kterej neexistuje. Pokud se nekdo dostane k libovolnymu stroji fyzicky, nabootuje si na nem co chce. A pokud se dostane do beziciho systemu, mas mnohem vetsi problem nez nejakej bootloader.
Tak protože u mě prostě vzhledem k tomu, jak relativně málo bylo za ty roky problémů přímo souvisejících se SB, tak nenastala situace, abych prostě en-bloc vyřadil jednu bezpečnostní fíčuru nebo rovnou bez znalosti situace radil, aby první co udělali na stroji s Windows, je vypnutí SB.
Není to jen o tom, že si někdo s fyzickým přísutpem z flešky nabootuje, co chce. Jakmile zapneš SB, tak se kontrolují podpisy u všech UEFI firmwarů před startem systému, bootloader, a stejným klíčem musí být podepsané i drivery, co startují rovnou po bootu (start=0). Je pak výrazně složitější tam nasadit nějaký rootkit, případně driver, který pak následně vyřadí třeba nějaký další (EDRko, antivir, které typicky také startují po bootu..) atp.
Samozřejmě pro určité situace většinou ve firemním prostředí pak dává smysl zároveň zaheslovat BIOS a použít šifrování na disku.
A sifrovani ... lol ... jako vazne povazujes za relevantni sifrovani, ktery si uklada klice k MS? A navic zas skoncis se strojem, kterej nenastaruje (coz se stalo nejspis milionum useru) a dozaduje se aby ses (nekde jinde) prihlasil k tomu ms uctu ... a stahnul si zalozni klic? (uz vidim jak to dela bfu ...)
Hele, jo. Myslím, že je daleko menší pravděpodobnost, že se někdo dostane k recovery klíči u MS a zároveň k počítači, než že bude nějaký jouda, co třeba ukradl pani notebook z auta, číst její nešifrovaná data z disku.
Vis jak vypada BFU kterej se nechal dotlacit k tomu, ze bude pouzivat ms ucet? Prijdes k nemu, chces po nem email ... "jakej?" ... tak heslo "jaky?" ... "vzdyt to rikalo ze pin staci" ... takze je v riti a k tomu ms uctu se uz nikdy nedostane.
vím. Jako bys se mnou chodil na rodinné návštěvy.
Ale přece nebudu nastavovat nějaké výchozí technické řešení podle nejslabších uživatelů.
Když je to ve firmě, tak máš pod kontrolou účty a v případě BL i ty kódy pro obnovení, dají se uložit do AD.
U jednotlivců to chce opravdu dobře popsat, a přesně říct, co mají dělat.. (pokud to neudělají, není to dál můj problém).
U rodiny a kamarádů jsem mnohem trpělivější, komplet to s nimi projdu včetně těch záložních cest, mailů pro obnovu.
Netýká se to zdaleka jen počítačů s Windows. Snažím se jim vštěpovat, že jejich on-line účet (MS, Apple, Google, nebo třeba Seznam s mailem) je mnohem cennější a důležitější než kterékoliv fyzické zařízení, co mají.
Většinou to zabírá, píšeme/tiskneme hesla na papír, přidávám 2FA, když to dává smysl.. atp.
Poslední příspěvky
ale kouknul bych na OpenOTP, ten má nějakou formu LDAP bridge - 