|
前言:首先����,這篇是微軟關(guān)于Windows8 UEFI安全啟動(dòng)協(xié)議解讀的完整版���,前幾日已有不少節(jié)選被編譯出來,從時(shí)間上講確實(shí)落后了����;但鑒于各種對(duì)Microsoft 實(shí)施安全啟動(dòng)的方式的誤解�����,比如解讀為微軟惡意打壓Linux等。Win8之家決定以此文給大家一個(gè)交代����,相信有助于大家的分辨。由生態(tài)系統(tǒng)團(tuán)隊(duì)的 Tony Mangefeste 撰寫�,來自Building Windows 8博客。
指導(dǎo)原則 – 在安全方面毫不遷就
UEFI 安全啟動(dòng)協(xié)議是實(shí)現(xiàn)跨平臺(tái)和固件安全的基礎(chǔ)����,與體系結(jié)構(gòu)無關(guān)。在執(zhí)行固件映像之前����,安全啟動(dòng)基于公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 流程來驗(yàn)證固 件映像,幫助降低遭受啟動(dòng)加載程序攻擊的風(fēng)險(xiǎn)����。在 Windows 8 中,Microsoft 依賴此協(xié)議來改進(jìn)用戶的平臺(tái)安全性��。
什么是 UEFI?
UEFI(統(tǒng)一可擴(kuò)展固件接口)由 UEFI 論壇統(tǒng)一管理��,UEFI 論壇是由芯片組供應(yīng)商�、硬件供應(yīng)商、系統(tǒng)供應(yīng)商�、固件供應(yīng)商和操作系統(tǒng)供應(yīng)商聯(lián)合組建的一個(gè)組織。
UEFI 為個(gè)人計(jì)算機(jī)定義了下一代固件接口����。基本輸入和輸出系統(tǒng) (BIOS) 固件最初采用匯編語言進(jìn)行編程��,并使用中斷來執(zhí)行輸入/輸出操作���,在出現(xiàn)之初即確定了 PC 生態(tài)系統(tǒng)的基本框架����,但是隨著計(jì)算技術(shù)的發(fā)展�����,“現(xiàn)代固件”定義應(yīng)運(yùn)而生�,以滿足下一代平板電腦和設(shè)備的需求。
UEFI 旨在定義一種標(biāo)準(zhǔn)通信方式���,規(guī)范啟動(dòng)過程中操作系統(tǒng)與平臺(tái)固件之間的通信�。在 UEFI 出現(xiàn)之前,在啟動(dòng)過程中主要利用軟件中斷機(jī)制與硬件進(jìn)行通信���,F(xiàn)代 PC 可以在硬件和軟件之間更快速�����、更高效地執(zhí)行塊輸入/輸出操作,在設(shè)計(jì)中使用 UEFI 可以發(fā)揮硬件的全部潛能����。
什么是安全啟動(dòng)?
UEFI 具有固件驗(yàn)證過程(稱為“安全啟動(dòng)”)���,該過程在 UEFI 2.3.1 規(guī)范第 27 章中定義�。安全啟動(dòng)定義平臺(tái)固件如何管理安全證書���,如何進(jìn)行固件驗(yàn)證以及定義固件與操作系統(tǒng)之間的接口(協(xié)議)��。
Microsoft 的平臺(tái)完整性體系結(jié)構(gòu)利用 UEFI 安全啟動(dòng)以及固件中存儲(chǔ)的證書與平臺(tái)固件之間創(chuàng)建一個(gè)信任根���。隨著惡意軟件的快速演變����,惡意軟 件正在將啟動(dòng)路徑作為首選攻擊目標(biāo)�。此類攻擊很難防范,因?yàn)閻阂廛浖梢越梅磹阂廛浖a(chǎn)品���,徹底阻止加載反惡意軟件���。借助 Windows 8 的安全 啟動(dòng)體系結(jié)構(gòu)及其建立的信任根,通過確保在加載操作系統(tǒng)之前�,僅能夠執(zhí)行已簽名并獲得認(rèn)證的“已知安全”代碼和啟動(dòng)加載程序,可以防止用戶在根路徑中執(zhí)行 惡意代碼��。
安全啟動(dòng)只是 Win8平臺(tái)完整性保障系統(tǒng)的一個(gè)組成部分��。結(jié)合 UEFI��,Microsoft 還對(duì)其他可用硬件實(shí)施整體的安全策略����,以便進(jìn)一步增強(qiáng)平臺(tái)的安全性。
背景知識(shí):安全啟動(dòng)的工作原理
PC 開機(jī)時(shí)將啟動(dòng)代碼執(zhí)行過程�,配置處理器、內(nèi)存��、和硬件外圍設(shè)備,以便為執(zhí)行操作系統(tǒng)做準(zhǔn)備���。無論基于哪一種硅體系結(jié)構(gòu)(x86���、ARM 等),在所有平臺(tái)中�,此過程都是一樣的。
之后將啟動(dòng)系統(tǒng)��,在切換到操作系統(tǒng)加載程序之前�����,固件將檢查硬件外圍設(shè)備(如網(wǎng)卡����、存儲(chǔ)設(shè)備或視頻卡)中固件代碼的簽名���。此設(shè)備代碼稱為“可選 ROM”����,通過確保該設(shè)備已為切換到操作系統(tǒng)準(zhǔn)備就緒���,繼續(xù)執(zhí)行配置過程��。
在啟動(dòng)過程的這一部分中���,固件將檢查固件模塊中嵌入的簽名(與應(yīng)用程序很像)�����,如果該簽名與固件中的簽名數(shù)據(jù)庫匹配����,則將允許執(zhí)行該模塊����。這些簽名存儲(chǔ)在固件中的數(shù)據(jù)庫中。這些數(shù)據(jù)庫包含“允許”和“禁止”列表����,用于確定是否可繼續(xù)執(zhí)行啟動(dòng)過程。
由誰來控制安全啟動(dòng)
迄今為止���,用戶掌握著其 PC 的控制權(quán)�。Microsoft 的理念是:為用戶提供最佳的體驗(yàn)是我們的第一原則�����,允許用戶自行決定是否使用安全啟動(dòng)。我 們與 OEM 生態(tài)系統(tǒng)緊密合作��,為用戶提供了這一靈活性�。借助 UEFI 通過安全啟動(dòng)提供的安全性,大多數(shù)用戶的系統(tǒng)將能夠抵御啟動(dòng)加載程序攻擊����。如 果用戶希望運(yùn)行早期的操作系統(tǒng),則可以使用我們所提供的選項(xiàng)進(jìn)行設(shè)置�。
在下面的屏幕截圖中可以看到,我們在固件設(shè)計(jì)中允許用戶禁用安全啟動(dòng)�����。不過����,您需自行承擔(dān)禁用安全啟動(dòng)所帶來的風(fēng)險(xiǎn)��。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級(jí)提供商�����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
