|
前言:首先���,這篇是微軟關于Windows8 UEFI安全啟動協(xié)議解讀的完整版,前幾日已有不少節(jié)選被編譯出來����,從時間上講確實落后了;但鑒于各種對Microsoft 實施安全啟動的方式的誤解����,比如解讀為微軟惡意打壓Linux等。Win8之家決定以此文給大家一個交代�,相信有助于大家的分辨。由生態(tài)系統(tǒng)團隊的 Tony Mangefeste 撰寫��,來自Building Windows 8博客��。
指導原則 – 在安全方面毫不遷就
UEFI 安全啟動協(xié)議是實現(xiàn)跨平臺和固件安全的基礎����,與體系結構無關。在執(zhí)行固件映像之前���,安全啟動基于公鑰基礎結構 (PKI) 流程來驗證固 件映像����,幫助降低遭受啟動加載程序攻擊的風險。在 Windows 8 中����,Microsoft 依賴此協(xié)議來改進用戶的平臺安全性。
什么是 UEFI�?
UEFI(統(tǒng)一可擴展固件接口)由 UEFI 論壇統(tǒng)一管理,UEFI 論壇是由芯片組供應商����、硬件供應商�、系統(tǒng)供應商、固件供應商和操作系統(tǒng)供應商聯(lián)合組建的一個組織���。
UEFI 為個人計算機定義了下一代固件接口���;据斎牒洼敵鱿到y(tǒng) (BIOS) 固件最初采用匯編語言進行編程����,并使用中斷來執(zhí)行輸入/輸出操作,在出現(xiàn)之初即確定了 PC 生態(tài)系統(tǒng)的基本框架�,但是隨著計算技術的發(fā)展,“現(xiàn)代固件”定義應運而生����,以滿足下一代平板電腦和設備的需求�����。
UEFI 旨在定義一種標準通信方式����,規(guī)范啟動過程中操作系統(tǒng)與平臺固件之間的通信�。在 UEFI 出現(xiàn)之前,在啟動過程中主要利用軟件中斷機制與硬件進行通信��,F(xiàn)代 PC 可以在硬件和軟件之間更快速�、更高效地執(zhí)行塊輸入/輸出操作,在設計中使用 UEFI 可以發(fā)揮硬件的全部潛能��。
什么是安全啟動�?
UEFI 具有固件驗證過程(稱為“安全啟動”),該過程在 UEFI 2.3.1 規(guī)范第 27 章中定義�����。安全啟動定義平臺固件如何管理安全證書�,如何進行固件驗證以及定義固件與操作系統(tǒng)之間的接口(協(xié)議)。
Microsoft 的平臺完整性體系結構利用 UEFI 安全啟動以及固件中存儲的證書與平臺固件之間創(chuàng)建一個信任根。隨著惡意軟件的快速演變�,惡意軟 件正在將啟動路徑作為首選攻擊目標。此類攻擊很難防范�����,因為惡意軟件可以禁用反惡意軟件產(chǎn)品����,徹底阻止加載反惡意軟件。借助 Windows 8 的安全 啟動體系結構及其建立的信任根����,通過確保在加載操作系統(tǒng)之前,僅能夠執(zhí)行已簽名并獲得認證的“已知安全”代碼和啟動加載程序�,可以防止用戶在根路徑中執(zhí)行 惡意代碼。
安全啟動只是 Win8平臺完整性保障系統(tǒng)的一個組成部分�����。結合 UEFI���,Microsoft 還對其他可用硬件實施整體的安全策略,以便進一步增強平臺的安全性��。
背景知識:安全啟動的工作原理
PC 開機時將啟動代碼執(zhí)行過程,配置處理器���、內(nèi)存�、和硬件外圍設備�����,以便為執(zhí)行操作系統(tǒng)做準備����。無論基于哪一種硅體系結構(x86、ARM 等)����,在所有平臺中,此過程都是一樣的�����。
之后將啟動系統(tǒng)�,在切換到操作系統(tǒng)加載程序之前,固件將檢查硬件外圍設備(如網(wǎng)卡�����、存儲設備或視頻卡)中固件代碼的簽名。此設備代碼稱為“可選 ROM”����,通過確保該設備已為切換到操作系統(tǒng)準備就緒,繼續(xù)執(zhí)行配置過程�。
在啟動過程的這一部分中,固件將檢查固件模塊中嵌入的簽名(與應用程序很像)�����,如果該簽名與固件中的簽名數(shù)據(jù)庫匹配�,則將允許執(zhí)行該模塊。這些簽名存儲在固件中的數(shù)據(jù)庫中����。這些數(shù)據(jù)庫包含“允許”和“禁止”列表,用于確定是否可繼續(xù)執(zhí)行啟動過程����。
由誰來控制安全啟動
迄今為止,用戶掌握著其 PC 的控制權��。Microsoft 的理念是:為用戶提供最佳的體驗是我們的第一原則�����,允許用戶自行決定是否使用安全啟動��。我 們與 OEM 生態(tài)系統(tǒng)緊密合作�,為用戶提供了這一靈活性。借助 UEFI 通過安全啟動提供的安全性�����,大多數(shù)用戶的系統(tǒng)將能夠抵御啟動加載程序攻擊���。如 果用戶希望運行早期的操作系統(tǒng)�����,則可以使用我們所提供的選項進行設置�。
在下面的屏幕截圖中可以看到�����,我們在固件設計中允許用戶禁用安全啟動�。不過,您需自行承擔禁用安全啟動所帶來的風險�����。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
