Эта функция по-прежнему присутствует в Windows 10, и совершенно непонятно, почему Microsoft давала бы производителям ПК столько мощности. В нем подчеркивается важность покупки ПК из магазина Microsoft - даже при выполнении чистой установки не удается избавиться от всех предустановленных вирусов.
WPBT 101
Начиная с Windows 8, производитель ПК может встроить программу - файл Windows.exe, по существу, в прошивку UEFI на ПК. Это сохраняется в разделе «Бинарная таблица платформы Windows» (WPBT) прошивки UEFI. Всякий раз, когда Windows загружается, он просматривает прошивку UEFI для этой программы, копирует ее с прошивки на диск операционной системы и запускает ее. Windows сама по себе не позволяет остановить это. Если прошивка UEFI от производителя предложит ее, Windows запустит ее без каких-либо вопросов.
Lenovo LSE и ее защитные отверстия
Невозможно написать об этой сомнительной функции, не обращая внимания на то, что привлекло ее внимание общественности. Lenovo поставляла множество компьютеров с поддержкой «Lenovo Service Engine» (LSE). Вот что утверждает Lenovo - это полный список затронутых ПК.
Когда программа автоматически запускается Windows 8, Lenovo Service Engine загружает программу под названием OneKey Optimizer и сообщает некоторое количество данных обратно в Lenovo. Lenovo устанавливает системные службы, предназначенные для загрузки и обновления программного обеспечения из Интернета, что делает невозможным их удаление - они даже автоматически возвращаются после чистой установки Windows.
Lenovo пошла еще дальше, расширив эту теневую технику до Windows 7. Прошивка UEFI проверяет файл C: Windows system32 autochk.exe и перезаписывает его собственной версией Lenovo. Эта программа запускается при загрузке, чтобы проверить файловую систему на Windows, и этот трюк позволяет Lenovo сделать эту неприятную работу на Windows 7 тоже. Это просто показывает, что WPBT даже не требуется - производители ПК могут просто перезагрузить системные файлы Windows.
Microsoft и Lenovo обнаружили серьезную уязвимость в безопасности, которая может быть использована, поэтому Lenovo с благодарностью прекратила доставку ПК с этим неприятным барахлом. Lenovo предлагает обновление, которое удалит LSE с ноутбуков и обновление, которое удалит LSE с настольных ПК. Тем не менее, они не загружаются и не устанавливаются автоматически, поэтому многие, возможно, наиболее затронутые ПК Lenovo будут продолжать использовать этот мусор в своей прошивке UEFI.
Это еще одна неприятная проблема безопасности у производителя ПК, который привел к тому, что мы заразились ПК с Superfish. Неясно, злоупотребляли ли другие производители ПК аналогичным образом на некоторых своих ПК.
Что Microsoft говорит об этом?
Как отмечает Lenovo:
“Microsoft has recently released updated security guidelines on how to best implement this feature. Lenovo’s use of LSE is not consistent with these guidelines and so Lenovo has stopped shipping desktop models with this utility and recommends customers with this utility enabled run a “clean up” utility that removes the LSE files from the desktop.”
Другими словами, функция Lenovo LSE, использующая WPBT для загрузки junkware из Интернета, была разрешена в соответствии с оригинальным дизайном и рекомендациями Microsoft для функции WPBT. Рекомендации были только уточнены.
Microsoft не предлагает много информации об этом. На веб-сайте Microsoft есть только один файл.docx - даже веб-страница с информацией об этой функции. Вы можете узнать все, что хотите, прочитав документ. В нем объясняется обоснование Microsoft для включения этой функции, в качестве примера используется постоянное противоугонное программное обеспечение:
“The primary purpose of WPBT is to allow critical software to persist even when the operating system has changed or been reinstalled in a “clean” configuration. One use case for WPBT is to enable anti-theft software which is required to persist in case a device has been stolen, formatted, and reinstalled. In this scenario WPBT functionality provides the capability for the anti-theft software to reinstall itself into the operating system and continue to work as intended.”
Эта защита функции была добавлена только в документ после того, как Lenovo использовала его для других целей.
Включает ли ваш компьютер программное обеспечение WPBT?
На компьютерах, использующих WPBT, Windows считывает двоичные данные из таблицы в прошивке UEFI и копирует ее в файл с именем wpbbin.exe при загрузке.
Вы можете проверить свой ПК, чтобы убедиться, что производитель включил программное обеспечение в WPBT. Чтобы узнать, откройте каталог C: Windows system32 и найдите файл с именем wpbbin.exe, Файл C: Windows system32 wpbbin.exe существует только в том случае, если Windows копирует его из прошивки UEFI. Если этого нет, производитель ПК не использовал WPBT для автоматического запуска программного обеспечения на вашем ПК.
Избегание WPBT и других нежелательных программ
Microsoft разработала еще несколько правил для этой функции в результате безответственного отказа Lenovo. Но это озадачивает, что эта функция даже существует в первую очередь - и особенно озадачивает, что Microsoft предоставит ее производителям ПК без каких-либо четких требований безопасности или рекомендаций по ее использованию.
В пересмотренных руководящих принципах указывается OEM-разработчик, чтобы пользователи могли фактически отключить эту функцию, если они этого не хотят, но рекомендации Microsoft не останавливали производителей ПК от злоупотреблений безопасности Windows в прошлом. Свидетель Samsung отгрузил ПК с Windows Update, потому что это было проще, чем работать с Microsoft, чтобы обеспечить правильные драйверы, добавленные в Центр обновления Windows.
Это еще один пример того, как производители ПК не серьезно относятся к безопасности Windows.Если вы планируете приобрести новый компьютер под управлением Windows, мы рекомендуем вам купить его у Microsoft Store, Microsoft действительно заботится об этих ПК и гарантирует, что у них нет вредоносного программного обеспечения, такого как Superfish от Lenovo, Disable_WindowsUpdate.exe от Samsung, функция LSE от Lenovo, и весь другой хлам, который может иметь обычный ПК.
Когда мы писали это в прошлом, многие читатели ответили, что это не нужно, потому что вы всегда можете просто выполнить чистую установку Windows, чтобы избавиться от любой вирусов. Ну, по-видимому, это неправда - единственный верный способ получить бесплатную Windows PC от Microsoft - от Microsoft Store. Это не должно быть так, но это так.
Что особенно беспокоит WPBT, это не просто полный отказ Lenovo в его использовании, чтобы испечь уязвимости безопасности и junkware в чистой установке Windows. Особенно беспокоит, что Microsoft предоставляет такие функции, как это для производителей ПК, в первую очередь - особенно без надлежащих ограничений или рекомендаций.
Прошло еще несколько лет, прежде чем эта функция даже стала заметной среди более широкого технического мира, и это произошло только из-за неприятной уязвимости безопасности. Кто знает, какие другие неприятные функции испекли в Windows для производителей ПК. Производители ПК перетаскивают репутацию Windows через гадость, и Microsoft должна контролировать их.
