Přemejšlím, jestli by něčemu pomohly Windows "embedded" (10 IoT Enterprise) a zakázat aktualizace. Což může jednak znamenat bezpečnostní problém, jednak je možné, že čerstvá instalačka by si to bootovací sekvenci možná upravila při každém bootu i při vypnutých aktualizacích... (Předpokládejme, že by "embedded" edice z hlediska licence / oblasti nasazení byla přípustná...) Nebo je to možné celé falešná stopa - nedělá to BIOS o své vůli?
Ohledně "secure bootu"... něco jsem k tomu našel:
https://www.linuxjournal.com/content/take-control-your-pc-uefi-secure-boota je mi jasné, že si můžu přidat svůj certifikát / klíče a podepsat si svůj bootloader, ale není mi jasné, jestli lze odebrat z UEFI certifikát Microsoftu :-) a jestli lze chain-loadnout grubem mikrosoftí UEFI bootloader apod. Když seberu původní fabrické certifikáty/klíče, nepřijdu taky o platnost podpisu všech modulů uvnitř UEFI image v ROMce? (je jich několik desítek nebo možná stovek). Nepřijdu o možnost, aby se Windows bavily se službami UEFI? Tzn. můžu si zapnout secure boot, můžu si podepsat svůj bootloader, ale tím ještě nevykostím originál MS Bootloader a nezabráním BIOSu nebo snad Windows v překopání boot sequence... Popravdě zatím co jsem viděl, tak výrobci motherboardů/počítačů vkládají do chování BIOS boot sequence všelijaké čínské inovace - ani bych se nedivil, kdyby původně popsané chování (Windows first!) bylo iniciativou výrobce počítače, spíše než Windows :-(
Škoda že zrovna boot sequence (zejm. pokud se jedná o několik UEFI bootloaderů v rámci jednoho disku) je dost dynamická věc, která se nedá předem poštelovat pomocí "BIOS defaults" (jako že by si člověk nepatrně upravil BIOS a flashnul ho zpátky.)
Mimochodem pryč je doba, kdy NVRAM byla skutečně (jenom) ta 128B CMOS NVRAM. Dneska je dost věcí (pokud ne všecky) uložených v NOR Flash jako součást image BIOSu - třeba různé opšny v SETUP menu, plus spousta "nevizuálních" věcí. Chcete-li se dozvědět víc, googlete
UEFI NVAR, případně si stáhněte UEFITOOL (+ třeba FLASHROM) a zkuste si vylistovat obsah svého BIOSu... Zdá se, že image BIOSu obsahuje několik "partitions" s primitivním filesystémem... celé je to složité jak autobus. Výhoda uložení konfiguračních voleb ve flashce je zřejmá - když se vybije baterka, přijdete nanejvýš o přesný čas, a kromě toho ve flashce je mnohem víc místa než 128 B. Potažmo ale "clear CMOS" je dneska spíš jenom jumper připojený na GPIO, který si při startu BIOS přečte a pokud tento příznak najde, zkopíruje do všech NVARů "factory default" hodnoty. Což dává prostor k softwarovým bugům, lze teoretizovat o konfiguraci, která zabrání dosažení "bodu NVRAM RESET" apod.
Moje oblíbená příhoda z natáčení: v ROMce je uložena i konfigurace displeje, a některé platformy mají z interní grafiky výstupní porty, které nejsou ani vyvedené ven: nějaké to LVDS nebo eDP pro zabudovaný displej, který v "embedded" sestavách nemusí být přítomen. A dá se dostat do situace, kdy si uřízenete displej. A to nastavení je uloženo v ROMce, a nefunguje na něj NVRAM RESET - ani jumperem, ani odebráním baterky. Takže pokud je počítač jinak živý, tak se dá vlézt do setupu poslepu a podle manuálu nebo nácvikem na jiném kusu projít menu zpaměti a ten displej si znovu zapnout. Nebo flashnout čistý image BIOSu externě programátorem.
Dále z toho plyne, že pokud porovnáte image BIOSu ze dvou různých kompů, kam jste předtím flashnuli tentýž BIOS (programátorem, s ověřením, byte po bajtu 1:1 identický obsah ROMky) tak po úpravě konfigurace BIOSu už ty dva image nikdy nebudou stejné. Takže se např. nedá snadno checksumem BIOS Flash ROM potvrdit/vyvrátit, že dva stroje mají identický BIOS (pokud hledáte důvod nějakého divného chování, a nehledě na obsah SMBUS/DMI tabulek kde je třeba sériové číslo motherboardu).