Когда мы говорим о защите инфраструктуры, чаще всего вспоминаем антивирусы, сегментацию сети и журналирование. Но если злоумышленник цепляется за самый первый этап — загрузку компьютера, — привычные средства уже догоняют события. Именно поэтому у компаний всё чаще появляется отдельное звено безопасности — средства доверенной загрузки. Они начинают работать раньше всех, сразу после включения питания, и не дают системе стартовать, если что-то не так. Ниже — простое объяснение, как это устроено, и что предлагают российские вендоры прямо сейчас.
Что такое СДЗ и зачем они нужны
Средства доверенной загрузки — это аппаратно-программные решения, которые проверяют неизменность критичных компонентов до старта ОС, блокируют загрузку с «левых» носителей и требуют авторизацию ещё до появления рабочего стола. Ключевой смысл прост: создать точку доверия раньше операционной системы, чтобы не пустить руткиты и модифицированные загрузчики. В новой архитектуре ПК это обычно реализуется в среде UEFI: модуль встраивается в BIOS, цепляется за ранние фазы инициализации и контролирует, что дальше запускается только разрешённое
С регуляторной стороны ориентиром служат профили защиты ФСТЭК для СДЗ, где расписаны требования к классам и уровню сервиса. На практике именно эти документы определяют, что вы сможете закупить и как аттестовать контур.
Как это работает на живой машине
Сценарий выглядит так. Сразу после выполнения кода системного BIOS управление перехватывает модуль доверенной загрузки, проводит самопроверку, сверяет контрольные суммы BIOS/UEFI и системных компонентов, проверяет целостность загрузочных областей и только затем разрешает продолжать. Пользователь проходит аутентификацию до ОС (пароль, токен, смарт-карта, МФА), а политика определяет, с каких носителей вообще разрешено стартовать. При несоответствиях — стоп и запись события в журнал. Такой порядок снижает риск запуска подменённой системы и закрывает окно для «ранних» вредоносных драйверов.
Российские продукты
Аккорд-АМДЗ от ОКБ САПР — аппаратно-программный модуль, который стартует до ОС и поддерживает широкий набор файловых систем: от FAT/NTFS и Ext2/Ext4 до ReiserFS, UFS и даже QNX/Solaris UFS. Для многих инфраструктур это важная деталь: контроллер одинаково уверенно работает с разными «ветками» дистрибутивов и серверов. По публичной информации у линейки действуют сертификаты ФСТЭК и ФСБ с разными сроками, включая номера 4299 (ФСТЭК) и СФ/527-5115, СФ/527-4775, СФ/527-4428 (ФСБ).
ПАК «Соболь» от «Код Безопасности» — решение для типовых офисных контуров: быстро разворачивается, контролирует целостность на уровне файловых систем и блокирует нештатные варианты запуска. В 2024 году версия 4.3 получила сертификат ФСБ (СФ/527-4880) по классу защиты II, класс сервиса Б, что облегчает закупки и подтверждение соответствия.
СДЗ Dallas Lock — программно-аппаратная линейка с вариантами уровня BIOS/UEFI и платы расширения: допускает к работе только уполномоченных пользователей, блокирует загрузку нештатных ОС и интегрируется с остальными продуктами семейства для единой политики. Вендор отдельно подчёркивает поддержку режимов для защиты конфиденциальной информации до «совершенно секретно» включительно.
ViPNet SafeBoot от «ИнфоТеКС» — программный модуль, который встраивается в UEFI и обеспечивает авторизацию до загрузки, контроль целостности BIOS и компонентов ОС, а также защиту от нештатной загрузки. Свежий статус: модуль ViPNet SafeBoot 3 (версия 3.2) имеет действующий сертификат ФСБ до 1 октября 2034 года; ранее сообщалось и о продлении сертификата ФСТЭК до ноября 2025-го. Для крупных предприятий это снимает вопросы по длительному жизненному циклу и соответствию.
- Если у вас смешанная платформа и редкие файловые системы — удобнее смотреть в сторону Аккорд-АМДЗ с его длинным списком поддерживаемых FS.
- Для быстрого старта в офисном контуре подойдёт «Соболь» — понятная установка и актуальные сертификаты.
- Если нужна единая политика с другими СЗИ, присмотритесь к Dallas Lock — есть решения уровня BIOS и платы расширения.
- Для сред с уклоном в UEFI-платформы и долгий цикл сертификаций — ViPNet SafeBoot (сертификат ФСБ до 2034 года).
И последнее — по-человечески о выборе. Не ищите «идеальный универсал». Опишите, какие носители разрешены, какие учётные данные нужны пользователям на старте, есть ли редкие файловые системы и как вы будете вести журналы на этапе до ОС. Проверьте сертификаты и сроки действия — у больших внедрений это критично. И только потом сравнивайте интерфейсы и удобство администрирования. Такой порядок сэкономит недели на пилоте и поможет собрать стек, который действительно держит периметр с самого первого такта питания.
