विंडोज़ सिक्योर बूट:इसे आसानी से बायपास क्यों किया जा सकता है—और आपको क्या पता होना चाहिए
<पी> 
<पी> 12 अप्रैल, 2026, 2:00 अपराह्न EDT पर प्रकाशित <पी> ब्रैडी MakeUseOf के लिए एक प्रौद्योगिकी पत्रकार हैं, जिनके पास मोबाइल, कंप्यूटिंग और सामान्य तकनीक सभी चीजों को कवर करने का वर्षों का अनुभव है। उनका ध्यान एंड्रॉइड फोन और ऑडियो गियर पर है और उनके पास बी.एस. है। सेंट जॉन्स यूनिवर्सिटी से पत्रकारिता में। <पी> ब्रैडी ने एंड्रॉइड सेंट्रल, एंड्रॉइड अथॉरिटी, एक्सडीए, एंड्रॉइड पुलिस, आईमोर और अन्य जैसे प्रकाशनों के लिए लिखा है। उनके पास Google, Apple और Samsung द्वारा आयोजित प्रमुख कार्यक्रमों के साथ-साथ लेनोवो इनोवेशन वर्ल्ड और IFA जैसे ट्रेड शो पर रिपोर्टिंग का अनुभव है। <पी> जब वह नवीनतम गैजेटों के बारे में नहीं लिख रहा है और उनका परीक्षण नहीं कर रहा है, तो आप ब्रैडी को बिग ईस्ट बास्केटबॉल देखते और दौड़ते हुए पाएंगे। <पी> Microsoft आपके ऑपरेटिंग सिस्टम के पूरी तरह से लोड होने से पहले आपके विंडोज पीसी को मैलवेयर, हमलों और सुरक्षा कमजोरियों से सुरक्षित रखने के लिए सिक्योर बूट का उपयोग करता है। डिफ़ॉल्ट रूप से, यह सत्यापित करने के लिए कि यूनिफ़ाइड एक्स्टेंसिबल फ़र्मवेयर इंटरफ़ेस (UEFI) में चलने वाला कोई भी सॉफ़्टवेयर विश्वसनीय और सुरक्षित है, विंडोज़ पीसी पर सिक्योर बूट सक्षम है। यूईएफआई, सरल शब्दों में, बुनियादी फर्मवेयर है जो आपके पीसी के हार्डवेयर को आरंभ करने और आपके ऑपरेटिंग सिस्टम को बूट करने के लिए लॉन्च होता है। ऑपरेटिंग सिस्टम पूरी तरह से बूट होने तक अंतर्निहित विंडोज़ सुरक्षा सुरक्षा सक्रिय नहीं होती है, और इसीलिए सिक्योर बूट को ऐसा होने से पहले यूईएफआई को लॉक करने का काम सौंपा जाता है। <पी> एक दशक से भी अधिक समय तक, सिक्योर बूट ने बस यही किया। 2022 के अंत तक सुरक्षा उपकरण को कभी भी सार्वजनिक रूप से बायपास नहीं किया गया था - पहले, केवल शोधकर्ता ही सिक्योर बूट को बायपास करने के तरीकों की पहचान करने में कामयाब रहे थे। ब्लैकलोटस एक्सप्लॉइट के साथ सब कुछ बदल गया, जिसमें अक्टूबर 2022 में बिक्री के लिए सिक्योर बूट बाईपास के साथ एक यूईएफआई बूटकिट शामिल था। एक्सप्लॉइट को पैच करना अपेक्षा से अधिक कठिन साबित हुआ। सिक्योर बूट को "क्रैक" करने के बजाय, ब्लैकलोटस जैसे बायपास तरीके ज्ञात कमजोरियों के साथ पुराने और विश्वसनीय बूटलोडर संस्करणों का उपयोग करते हैं। चूंकि ये सिक्योर बूट द्वारा विश्वसनीय आधिकारिक बूटलोडर हैं, इसलिए सुरक्षा सॉफ्टवेयर इन्हें खतरे के रूप में नहीं पहचानता है। <पी> इस तरह की कमजोरियों के लिए सुरक्षा पैच डिफ़ॉल्ट रूप से विंडोज पीसी पर नहीं भेजे जाते हैं। उन्हें एक प्रशासक के रूप में पॉवरशेल कमांड चलाने की आवश्यकता होती है, और गंभीर परिचालन जोखिमों के साथ आते हैं। दोनों कारकों के कारण उपयोगकर्ता और उद्यम दोनों मैन्युअल रूप से फिक्स को लागू करने में विफल हो जाते हैं, जिससे सुरक्षित बूट वाले लाखों विंडोज पीसी को बायपास होने का खतरा होता है। <पी> 
संबंधित मैंने सिक्योर बूट बंद कर दिया और मेरे पीसी में विस्फोट नहीं हुआ
<पी> आपका सिस्टम अभी भी सुरक्षा सुविधा के बिना काम करेगा, लेकिन यदि आप इसे अक्षम कर देते हैं तो जोखिम क्या हैं? सुरक्षित बूट अब अटूट नहीं है
सुरक्षित बूट को कई मौकों पर बायपास किया गया है
क्रेडिट:डेव मेइकलेहम \ MakeUseOf <पी> यह सोचना आसान है कि सिक्योर बूट को बायपास करना असंभव है, क्योंकि एक दशक से ऐसा ही था। अब भी, बुरे कलाकार सिक्योर बूट को "तोड़कर" विफल नहीं करते हैं। इसके बजाय, वे बूटलोडर के ऐसे संस्करण ढूंढते हैं जो वैध और हस्ताक्षरित हैं, लेकिन उनमें गंभीर सुरक्षा कमजोरियाँ हैं। ये डाउनग्रेड हमले विंडोज बूट मैनेजर को उस भेद्यता के साथ पुराने संस्करण में वापस ला देते हैं जिसका हमलावर फायदा उठाना चाहता है। चूंकि सिक्योर बूट सिस्टम विंडोज बूट मैनेजर के पुराने, लेकिन कमजोर संस्करण को आधिकारिक माइक्रोसॉफ्ट सॉफ्टवेयर के रूप में पहचानता है, यह इसे लोड करने की अनुमति देता है। <पी> वहां से, सिक्योर बूट को बायपास कर दिया जाता है, और हमलावर अहस्ताक्षरित ड्राइवर या मैलवेयर चला सकते हैं। इस तरह ब्लैकलोटस, सबसे प्रसिद्ध सिक्योर बूट बाईपास, लाखों विंडोज 10 और विंडोज 11 पीसी को खतरे में डालने में कामयाब रहा। अमेरिकी राष्ट्रीय सुरक्षा एजेंसी के अनुसार, "सॉफ़्टवेयर बूट के शुरुआती चरण से एक समापन बिंदु का नियंत्रण लेने" के लिए इसने "बैटन ड्रॉप" नामक सुरक्षा भेद्यता का उपयोग किया, जिसे CVE-2022-21894 के रूप में ट्रैक किया गया। <पी> यहां बताया गया है कि एनएसए 2023 दस्तावेज़ में सुरक्षित बूट बाईपास का वर्णन कैसे करता है, जो आज भी संभव है: <पी> लिनक्स बूट सुरक्षा श्रृंखला को तोड़ने के बजाय, ब्लैकलोटस पुराने बूटलोडर्स में एक दोष का फायदा उठाकर विंडोज बूट को लक्षित करता है - जिसे बूट मैनेजर भी कहा जाता है - दुर्भावनापूर्ण कार्यों की एक श्रृंखला को बंद करने के लिए जो एंडपॉइंट सुरक्षा से समझौता करता है। बैटन ड्रॉप का शोषण (सीवीई-2022-21894) ब्लैकलोटस को सुरक्षित बूट नीति को हटाने और इसके प्रवर्तन को रोकने की अनुमति देता है। बूट होल के विपरीत, कमजोर बूटलोडर्स को सुरक्षित बूट डीबीएक्स निरस्तीकरण सूची में नहीं जोड़ा गया है। क्योंकि कमजोर बूटलोडर्स को DBX के भीतर सूचीबद्ध नहीं किया गया है, हमलावर ब्लैकलोटस को निष्पादित करने के लिए कमजोर संस्करणों के साथ पूरी तरह से पैच किए गए बूटलोडर्स को प्रतिस्थापित कर सकते हैं। <पी> तकनीकी शब्दजाल के अलावा, जानने वाली महत्वपूर्ण बात यह है कि कमजोर बूटलोडर्स ने ऐसा नहीं किया है। सुरक्षित बूट DBX निरस्तीकरण सूची में जोड़ा गया है। दूसरे शब्दों में, इस गंभीर सुरक्षा दोष वाले पुराने बूटलोडर अपडेट के बाद भी आज भी सिक्योर बूट पर भरोसा करते हैं। सुरक्षित बूट DBX निरस्तीकरण सूची में अवरुद्ध कोड और प्रमाणपत्र शामिल हैं जिन पर एक बार हस्ताक्षर किए गए थे, लेकिन अब उन्हें असुरक्षित माना जाता है। <पी> ऐसा माना जाता है कि यह अविश्वसनीय यूईएफआई मॉड्यूल को लोड होने से रोकता है। हालाँकि, चूंकि बैटन ड्रॉप शोषण में उपयोग किए गए मॉड्यूल या प्रमाणपत्र इस सूची में नहीं हैं, वे अभी भी चल सकते हैं - और सुरक्षित बूट को अभी भी बायपास किया जा सकता है। यह Microsoft के लिए एक असंभव विकल्प है
समझौता किए गए सुरक्षित बूट कुंजियों को रद्द करने से विंडोज़ पीसी खराब हो सकते हैं
<पी> अब तक, आप शायद सोच रहे होंगे कि Microsoft ने इन त्रुटिपूर्ण बूटलोडर्स को सिक्योर बूट DBX निरस्तीकरण सूची में क्यों नहीं जोड़ा है। सिक्योर बूट बायपास तरीकों पर माइक्रोसॉफ्ट की प्रतिक्रिया काफी धीमी थी, और बैटन ड्रॉप और ब्लैकलोटस जैसे कार्यों के लिए एक स्वचालित पैच अभी भी उपलब्ध नहीं है। अक्टूबर 2022 में ब्लैकलोटस के बाजार में आने के बाद, आधिकारिक सुरक्षा अपडेट मई 2023 तक विंडोज उपयोगकर्ताओं तक नहीं पहुंचा। यह पूरी कहानी नहीं बताता है - जैसा कि माइक्रोसॉफ्ट 2023 सुरक्षा अपडेट गाइड में बताता है, अपडेटेड विंडोज बूट मैनेजर डिफ़ॉल्ट रूप से सक्षम नहीं है, और सक्रिय करने के लिए मैन्युअल चरणों की आवश्यकता होती है। <पी> वे चरण 2026 में भी बिल्कुल आसान या उपयोगकर्ता के अनुकूल नहीं हैं। बाद के सुरक्षा अद्यतन, जैसे जुलाई 2025 में विंडोज बूट मैनेजर के लिए जारी किए गए, अभी भी सीवीई-2022-21894 के लिए स्वचालित रूप से सुधार सक्षम नहीं करते हैं। Microsoft समर्थन दस्तावेज़ की रूपरेखा के अनुसार, इस प्रक्रिया में Windows रजिस्ट्री को संपादित करना, व्यवस्थापक के रूप में PowerShell कमांड चलाना, प्रभावित प्रमाणपत्रों को सुरक्षित बूट UEFI निषिद्ध सूची (DBX) में मैन्युअल रूप से जोड़ना और फ़र्मवेयर पर सुरक्षित संस्करण संख्या (SVN) लागू करना शामिल है। <पी> औसत विंडोज़ उपयोगकर्ता ऐसा नहीं कर रहा है - वे शायद यह भी नहीं जानते कि विंडोज़ रजिस्ट्री क्या है या प्रशासक के रूप में पॉवरशेल कमांड कैसे चलाएँ। और यही कारण है कि ब्लैकलोटस कारनामे के ज्ञात होने के वर्षों बाद भी 2026 में सिक्योर बूट को आसानी से दरकिनार किया जा सकता है। तो, Microsoft स्वचालित अपडेट के साथ सिक्योर बूट को मजबूत क्यों नहीं कर रहा है? <पी> Microsoft सामान्य उपयोगकर्ता को यह नहीं बता रहा है कि स्वचालित अपडेट के साथ सिक्योर बूट सिस्टम को सुरक्षित करने से अज्ञात संख्या में पीसी बंद हो सकते हैं और अनगिनत एक्सेसरीज़ के साथ संगतता टूट सकती है। कुछ डिवाइस विंडोज़ बूट मैनेजर को सफलतापूर्वक लागू नहीं कर सकते हैं या निष्क्रिय हो सकते हैं। इसके अतिरिक्त, पुनर्प्राप्ति मीडिया या सीडी/डीवीडी, पीएक्सई बूट, या यूएसबी ड्राइव के रूप में संग्रहीत सिस्टम बैकअप अलग पुनर्प्राप्ति मीडिया अपडेट के बिना पैच स्थापित करने के बाद काम नहीं करेगा। <पी> यदि शोषण को पैच करने से, जो अधिकांश उपयोगकर्ताओं को प्रभावित नहीं करेगा, कंप्यूटर को खराब करने और पुनर्प्राप्ति मीडिया या बैकअप के साथ संगतता को तोड़ने की क्षमता है, तो क्या यह पैच करने लायक है? Microsoft ने यह निर्णय Windows उपयोगकर्ताओं के हाथों में छोड़ने का निर्णय लिया, और इसीलिए यह एक मैन्युअल प्रक्रिया है। फिर, यही कारण है कि आवश्यक शर्तें पूरी होने पर सुरक्षित बूट को बायपास करना अपेक्षाकृत आसान है। <पी> 
संबंधित आप अपने डेटा की सुरक्षा के लिए क्या कर सकते हैं
अपने BIOS को नियमित रूप से अपडेट करें और BitLocker प्री-बूट पिन सेट करें
क्रेडिट:तशरीफ शरीफ / MakeUseOf <पी> इन सुरक्षित बूट कमजोरियों के शोषण के लिए विंडोज पीसी तक भौतिक या प्रशासनिक पहुंच की आवश्यकता होती है, जिससे वास्तविक दुनिया में उपयोग दुर्लभ हो जाता है। दूसरी ओर, आपके पीसी तक भौतिक पहुंच रखने वाला कोई व्यक्ति बूटलोडर संस्करण को सुरक्षित बूट दोषों के प्रति संवेदनशील संस्करण में वापस ला सकता है, और फिर शोषण चला सकता है। जोखिम भरे विंडोज बूट मैनेजर अपडेट को मैन्युअल रूप से लागू करने के अलावा, हर कोई अपने सिस्टम को सुरक्षित करने और अपने डेटा की सुरक्षा के लिए कुछ कदम उठा सकता है। <पी> एक के लिए, अपने हार्डवेयर को सही हाथों में रखें, और अपने पीसी में ऐसी कोई भी चीज़ प्लग न करें जिस पर आपको भरोसा न हो। यही बात आपके ऑपरेटिंग सिस्टम पर भी लागू होती है। आपको सिस्टम प्रशासक को ऐसी किसी भी चीज़ या व्यक्ति तक पहुंच नहीं देनी चाहिए, जिसे इसकी आवश्यकता नहीं है। निवारक उपाय करने के लिए, सिक्योर बूट बायपास होने पर भी अपना डेटा लॉक रखने के लिए बिटलॉकर को पिन के साथ सक्षम करें। इसके अतिरिक्त, आप बूटलोडर से छेड़छाड़ की स्थिति में विंडोज कर्नेल को सुरक्षित करने के लिए अपने डिवाइस को एक सुरक्षित-कोर पीसी के रूप में सेट कर सकते हैं, लेकिन इसके लिए टीपीएम 2.0 चिप और एक समर्थित सीपीयू जैसे सही घटकों की आवश्यकता होती है। <पी> संक्षेप में, सिक्योर बूट को बायपास करना आसान है क्योंकि हमलावर इसे क्रैक नहीं कर रहे हैं - वे सुरक्षा कमजोरियों के साथ आधिकारिक, विश्वसनीय बूटलोडर प्रमाणपत्र का उपयोग कर रहे हैं जिनका फायदा उठाया जा सकता है। चूँकि उन प्रमाणपत्रों को रद्द करना एक जोखिम भरी प्रक्रिया है, उन पर अभी भी भरोसा किया जाता है, और सिक्योर बूट को अभी भी बायपास किया जा सकता है।
