BIOS

----

Boot Sequence

UEFI nebo Leagacy?

Co je Legacy Boot. Jedn� se o star�� bootov�n�, kter� vyu��v� firmware BIOSu k

zji��ov�n� a kontrole hardwarov�ch za��zen� a k jejich konfiguraci.

UEFI tak� poskytuje rychlej�� zav�d�n� modern�ch opera�n�ch syst�m� ve srovn�n� s

Legacy. Rozd�l v rychlosti je v�ak relativn� mal� - maxim�ln� 2-3 sekundy. UEFI lze
nav�c podle pot�eby velmi snadno upgradovat.

Ob�as budete pot�ebovat du�ln� spu�t�n� opera�n�ch syst�m�. V�choz� firmware UEFI
tomu zabr�n�, pokud firmware odpov�daj�c�m zp�sobem nenakonfigurujete.

...

Advanced Boot Options

Povolen� mo�nosti Enable Legacy Option ROMs v re�imu zav�d�n� UEFI umo�n� na��tat
star�� verze OPROM. Tato mo�nost je ve v�choz�m nastaven� zak�z�na.
POZN�MKA Bez t�to mo�nosti by bylo mo�n� na��tat pouze OPROM s podporou
UEFI. Tato mo�nost je po�adov�na pro zav�d�n� v re�imu Legacy. Tato mo�nost nen�
povolena v re�imu Secure Boot.

� Pole Enable Legacy Option ROMs (Povolit star�� verze OPROM)

OPROM, rozepsan�j��m n�zvem anglicky option ROM, je ozna�en� pro firmware ulo�en� v
po��ta�ov� periferii, kter� je b�hem bootov�n� osobn�ho po��ta�e nahr�n a spu�t�n
BIOSem.

Zkratka ROM odkazuje k pam�ti ROM, v kter� byl historicky BIOS i firmwary periferi�
ulo�eny, a slovo option (doslova �esky zhruba voliteln� / alternativn�) k tomu, �e
na rozd�l od BIOSu, kter� byl k b�hu po��ta�e pot�eba, se jednalo o dodate�n�
firmware pot�ebn� pouze pro dan� za��zen� nebo dokonce jen pro lep�� v�kon dan�ho
za��zen�. Jin� ozna�en� je BIOS extension ROM (tj. �ROM roz�i�uj�c� BIOS�). V
pozd�j��ch za��zen�m za�aly b�t OPROMy stejn� jako BIOS s�m ve skute�nosti ukl�d�ny
m�sto do pam�t� typu ROM do pam�t� typu NVRAM, ale jm�no odvozen� od pam�t� ROM jim
z�st�v�.

Typick�m obsahem OPROMu je n�zko�rov�ovn� ovlada� dan�ho za��zen�, kter� umo��uje

u� b�hem startu po��ta�e BIOSu dan� za��zen� pln� vyu��vat. Jedn�m z nejb�n�j��ch
p��klad� OPROM tak je Video BIOS obsahuj�c� ovlada� dan� grafick� karty, pomoc�
kter�ho m�e BIOS b�hem bootov�n� vyu��vat v�pis na monitor, ani� by s�m o sob�
obsahoval ovlada� pro danou grafickou kartu. Jin�mi typick�mi vyu�it�mi jsou
ovlada�e s�ov�ch karet, kter� BIOSu umo��uj� prov�st s�ov� start (viz tak� PXE), a
ovlada�e pokro�ilej�� metody p�ipojen� pevn�ch disk� (nap�. SCSI), kter� umo��uj�
na��st opera�n� syst�m i z takov�ch za��zen�.

...
Parallel Port

Umo��uje definovat a nastavit chov�n� paraleln�ho portu na dokovac� stanici.

Paraleln� port m�ete
nastavit takto:
� Disabled (Neaktivn�)
� AT (V�choz� nastaven�)
� PS2
� ECP

...

OROM Keyboard Access

Option ROM pro platformu PC (tj. IBM PC a odvozen� n�stupnick� po��ta�ov� syst�my)
je ��st firmwaru , kter� se nach�z� v pam�ti ROM na roz�i�uj�c� kart� (nebo je
ulo�ena spolu s hlavn�m syst�mem BIOS ), kter� se spust� za ��elem inicializace
za��zen� a (voliteln�) p�idejte podporu pro za��zen� do syst�mu BIOS. P�i obvykl�m
pou�it� se v podstat� jedn� o ovlada� , kter� tvo�� rozhran� mezi BIOS API a
hardwarem. Technicky je voliteln� ROM firmware, kter� je spu�t�n BIOSem po
POST(testov�n� a inicializace z�kladn�ho hardwaru syst�mu) a p�ed procesem
bootov�n� BIOSu, z�sk�n� �pln� kontroly nad syst�mem a obecn� neomezen� v tom, co
m�e d�lat. BIOS spol�h� na to, �e ka�d� voliteln� ROM vr�t� ��zen� do BIOSu, tak�e
m�e bu� zavolat dal�� volitelnou ROM, nebo zah�jit proces spou�t�n�. Z tohoto
d�vodu je mo�n� (ale nen� to obvykl�), aby si voliteln� ROM zachovala kontrolu a
zabr�nila procesu spou�t�n�

Voliteln� pam�ti ROM jsou nezbytn� pro umo�n�n� spou�t�n� perifern�ch za��zen� bez
Plug and Play a pro roz���en� syst�mu BIOS tak, aby poskytoval podporu pro v�echna
perifern� za��zen� bez Plug and Play stejn�m zp�sobem, jak�m jsou podporov�na
standardn� periferie a periferie integrovan� na z�kladn� desce.

...

CPU XD Support

Oznacuje to casti pameti, kde se muze nebo nemuze vyskytovat spustitelny kod. Pokud
je program spatne napsany, muze ho utocnik prinutit, aby zacal provadet kod i v
jinych castech pameti, nez by mel. Pokud je ale tato cast pameti oznacena Execute
Disable bitem, tak system nedovoli, aby se ten kod vykonal.

nen� to jen marketingov� trik, ale super v�c. Zna�n� ��st �tok� p�es s� vyu��v�
chybu v softwaru, d�ky kter� lze donutit syst�m aby p�i p�ete�nen� bufferu spustil
"data" ulo�en� za konec bufferu. Je-li toto zapnuto, tak CPU hardwarov� hl�d� zda
spou�t� k�d ozna�en� jako k�d a ne data. Dle m�ho je to super v�c !
Nav�c to po��ta� nijak nezpomaluje.

Nav�c lze opera�n�mu syst�mu sd�lit, kter� aplikace to nem� hl�dat, tak�e lze i
nad�le vyu��vat aplikace, kter� obsahuj� chyby v k�du.

J� to m�m zapnut� jak pro opera�n� syst�m, tak pro ve�ker� spou�t�n� aplikace, a
jsem s t�m spokojen.
Podm�nkou je bu� Win XP s SP2 nebo jin� OS, kter� tuto vlastnost procesoru um�
vyu��t. Pro po��ta�e s ve�ejnou IP adresou, kter� ka�d� den �el� pokus�m o �tok je
to super vlastnost.

NX bit (anglicky Non eXecute bit) je technologie pro CPU slou��c� k odd�len� pam�ti
pro instrukce procesoru (strojov�ho k�du) a pam�ti pro data. Podobn� vlastnost se
nach�z� u Harvardsk� architektury procesoru (tam je ale �e�ena fyzick�m odd�len�
pam�ti programu a dat). Av�ak NX bit se st�le v�ce pou��v� v tradi�n� Von
Neumannov� architektu�e procesor� z bezpe�nostn�ch d�vod�. Opera�n� syst�m s
podporou NX bitu m�e ozna�it ur�it� oblasti pam�ti jako nespustiteln�. Procesor
pot� odm�tne spou�t�t jak�koli k�d um�st�n� v t�chto ��st� pam�ti. V�eobecn�
techniky, zn�m� jako executable space protection, jsou pou��v�ny k zabr�n�n�
ur�it�m typ�m �kodliv�ho softwaru k p�evzet� vl�dy nad po��ta�em vlo�en�m jejich
k�du do �lo�i�t� dat jin�ho programu a spu�t�n�m jejich vlastn�ho k�du v t�to
oblasti. Toto je zn�mo jako p�ete�en� na z�sobn�ku nebo p�ete�en� bufferu. Intel
ozna�il tuto funkci jako XD bit (anglicky eXecute Disable). AMD pou��v� n�zev
Enhanced Virus Protection (vylep�en� ochrana proti vir�m). Pro ARM architekturu se
pou��v� funkce XN (anglicky eXecute Never). Tato funkce byla p�edstavena v ARM v6.[

...

Computrace

program Computrace, kter� je mo�no integrovat do notebooku a� na �rove� BIOSu a s

jeho pomoc� potom v p��pad� kr�de�e notebook nal�zt nebo vymazat data na n�m
obsa�en�

Takov�to sledovac� program lze vyu��t i jinak - dal�� kapitolou jsou ur�it� �spory�
mezi veden�m organizace nebo IT odd�len�m a u�ivateli o to, co v�echno na po��ta�i
sm� a nesm� b�t nainstalov�no � a� u� kv�li efektivit� pr�ce nebo pr�vn�m a
licen�n�m probl�m�m s neleg�ln�m software.

...

TPM Security

Trusted Platform Module (zkratka TPM) je ve v�po�etn� technice n�zev specifikace,

kter� popisuje zabezpe�en� kryptoprocesor (�ifrovac� procesor), na kter� lze
ukl�dat �ifrovac� kl��e, kter� chr�n� informace.

TPM nab�z� mo�nosti pro bezpe�n� generov�n� kryptografick�ch kl��� a r�zn� omezen�
v jejich pou�it�, jako hardwarov� nadstavba gener�toru pseudon�hodn�ch ��sel.
Zahrnuje schopnosti, jako nap��klad vzd�len� ov��en� a zape�et�n� ulo�en�.

Vzd�len� ov��ov�n� vytv��� t�m�� nepad�lateln� hash kl��, kter� obsahuje souhrn
�daj� hardwarov� a softwarov� konfigurace. Program �ifruj�c� data ur�uje rozsah
souhrnu �daj� o software. To umo��uje t�et� stran� ov��it, zda nebyl software
zm�n�n.
V�z�n� �ifruje data za pou�it� TPM potvrzovac�ho kl��e, co� je unik�tn� RSA kl��,
kter� je p�i v�rob� vyp�len p��mo do �ipu a nebo se jedn� o jin� d�v�ryhodn� kl��,
kter� z n�ho vych�z�.[2]
Zape�et�n� �ifruje data podobn�m zp�sobem jako v�z�n�, ale oproti v�z�n� ur�uje
stav, ve kter�m TPM mus� b�t v po��dku, aby mohla b�t data de�ifrov�na
(rozpe�et�na).[3]
Software m�e vyu��t TPM k ov��en� hardwarov�ch za��zen�. Vzhledem k tomu, �e ka�d�
TPM �ip m� v sob� p�i v�rob� vyp�len unik�tn� a z�rove� tajn� RSA kl��, umo��uje
tak autentizaci platformy. Nap��klad m�e b�t vyu��v�n k ov��en�, zda syst�m
��daj�c� o p��stup je o�ek�van� syst�m.

Obecn� plat�, �e posunov�n� zabezpe�en� dol� k hardwarov� vrstv� ve spojen� se

softwarem poskytuje v�t�� ochranu, ne� jen pouh� softwarov� �e�en�. Nicm�n� i tam,
kde je TPM pou��v�n, je kl�� st�le ohro�en i v dob�, kdy ho softwarov� aplikace
z�sk�v� z TPM a je pou��v�n pro vykon�n� �ifrovac�ch/de�ifrovac�ch operac�, jak
bylo zn�zorn�no v p��pad� �toku p�i studen�m startu.

...

AC Behavior

Umo��uje, aby se po��ta� automaticky zapnul, pokud je p�ipojen s�ov� adapt�r. Volba
je
vypnuta.

...

� Wake on AC (Zapnut� p�i zapojen� do s�t�)

Auto On Time Slou�� k nastaven� �asu, kdy se po��ta� automaticky zapne. Mo�nosti
jsou n�sleduj�c�:
� Disabled (Neaktivn�) � v�choz� nastaven�
� Every Day (Ka�d� den)
� Weekdays (V pracovn� dny)
� Vyberte dny:

...

Trusted Execution

Tato mo�nost ur�uje, zda n�stroj MVMM (Measured Virtual Machine Monitor) m�e vyu��t

dal�� hardwarov� mo�nosti, kter� poskytuje technologie Intel� Trusted Execution.

M�-li b�t tato
funkce vyu�ita, technologie virtualizace TPM a technologie virtualizace pro p��m�
vstup
a v�stup mus� b�t povoleny. Tato mo�nost je ve v�choz�m nastaven� zak�z�na.
� Trusted execution

...

MEBx Hotkey

Tato mo�nost ur�uje, zda m� b�t funkce kl�vesov�ch zkratek MEBx povolena p�i
spu�t�n�
syst�mu.
� Enable MEBx Hotkey (Povolit kl�vesovou zkratku MEBx � v�choz� nastaven�)
Fastboot Tato volba umo��uje urychlen� procesu spou�t�n� vynech�n�m n�kter�ch krok�
kontroly
kompatibility.

� Minimal (Minim�ln�) � zkr�t� �as zav�d�n� p�esko�en�m n�kter�ch inicializac�

hardwaru
a konfigurace p�i zav�d�n�.
� Thorough (D�kladn�) � provede se �pln� inicializace hardwaru a konfigurace p�i
zav�d�n�.
(V�choz� nastaven�)
� Auto (Automaticky) � umo�n� syst�mu BIOS ur�it inicializaci konfigurace
prov�d�nou p�i
zav�d�n�.
Extend BIOS POST Time Tato mo�nost vytvo�� dal�� zpo�d�n� p�ed zaveden�m. D�ky tomu
se u�ivateli zobraz� stavov�
zpr�vy POST.
� 0 seconds (0 sekund � v�choz� nastaven�)
� 5 seconds (5 sekund)
� 10 seconds (10 sekund)

...