指導原則:在安全方面毫不遷就
UEFI 安全啟動協議是實現跨平台和韌體安全的基礎,與體系結構無關。在執行韌體映像之前,安全啟動基於公鑰基礎結構(PKI)流程來驗證韌體映像,幫助降低遭受啟動加載程序攻擊的風險。在 Windows 8 中,Microsoft 依賴此協議來改進用戶的平台安全性。
 |
| 平台完整性體系結構 |
UEFI(統一可擴展韌體接口)由 UEFI 論壇統一管理,UEFI 論壇是由芯片組供應商、硬體供應商、系統供應商、韌體供應商和操作系統供應商聯合組建的一個組織。
UEFI 為個人電腦定義了下一代韌體接口。基本輸入和輸出系統(BIOS)韌體最初採用彙編語言進行編程,並使用中斷來執行輸入 / 輸出操作,在出現之初即確定了 PC 生態系統的基本框架,但是隨著電腦技術的發展,『現代韌體』定義應運而生,以滿足下一代平板電腦和設備的需求。
UEFI 旨在定義一種標準通信方式,規範啟動過程中操作系統與平台韌體之間的通信。在 UEFI 出現之前,在啟動過程中主要利用軟體中斷機制與硬體進行通信。現代 PC 可以在硬體和軟體之間更快速、更高效地執行塊輸入 / 輸出操作,在設計中使用 UEFI 可以發揮硬體的全部潛能。
什麼是安全啟動?
UEFI 具有韌體驗證過程(稱為『安全啟動』),該過程在 UEFI 2.3.1 規範第 27 章中定義。安全啟動定義平台韌體如何管理安全證書,如何進行韌體驗證以及定義韌體與操作系統之間的接口(協議)。
Microsoft 的平台完整性體系結構利用 UEFI 安全啟動以及韌體中存儲的證書與平台韌體之間創建一個信任根。隨著惡意軟體的快速演變,惡意軟體正在將啟動路徑作為首選攻擊目標。此類攻擊很難防範,因為惡意軟體可以禁用反惡意軟體產品,徹底阻止加載反惡意軟體。借助 Windows 8 的安全啟動體系結構及其建立的信任根,通過確保在加載操作系統之前,僅能夠執行已簽名並獲得認證的『已知安全』代碼和啟動加載程序,可以防止用戶在根路徑中執行惡意代碼。
 |
| 舊式 BIOS 啟動路徑 |
 |
| 使用 UEFI 的安全啟動路徑 |
背景知識:安全啟動的工作原理
PC 開機時將啟動代碼執行過程,配置處理器、內存、和硬體週邊設備,以便為執行操作系統做準備。無論基於哪一種矽體系結構(x86、ARM 等),在所有平台中,此過程都是一樣的。
之後將啟動系統,在切換到操作系統加載程序之前,韌體將檢查硬體週邊設備(如:網卡、存儲設備或視頻卡)中韌體代碼的簽名。此設備代碼稱為『可選 ROM』,通過確保該設備已為切換到操作系統準備就緒,繼續執行配置過程。
在啟動過程的這一部分中,韌體將檢查韌體模塊中嵌入的簽名(與應用程序很像),如果該簽名與韌體中的簽名數據庫匹配,則將允許執行該模塊。這些簽名存儲在韌體中的數據庫中。這些數據庫包含『允許』和『禁止』列表,用於確定是否可繼續執行啟動過程。
 |
| 安全證書數據庫 |
迄今為止,用戶掌握著其 PC 的控制權。Microsoft 的理念是:為用戶提供最佳的體驗是我們的第一原則,允許用戶自行決定是否使用安全啟動。我們與 OEM 生態系統緊密合作,為用戶提供了這一靈活性。借助 UEFI 通過安全啟動提供的安全性,大多數用戶的系統將能夠抵禦啟動加載程序攻擊。如果用戶希望運行早期的操作系統,則可以使用我們所提供的選項進行設置。
在下面的螢幕截圖中可以看到,我們在韌體設計中允許用戶禁用安全啟動。不過,您需自行承擔禁用安全啟動所帶來的風險。
 |
| Samsung PC 安全啟動設置 |
★數位夢想★ 由 Redwolf 製作以 創用CC 姓名標示-相同方式分享 3.0 台灣 授權條款 釋出
沒有留言:
張貼留言
1、本留言處歡迎多加留言交流,但不歡迎垃圾留言及廣告留言
2、留言時可以使用部份 HTML 標記
3、對於教學文章介紹或軟體使用有問題歡迎提出,若站長沒回應表示不清楚該問題的解決方案
4、留言時請勿留下電子郵件,以免因搜尋引擎爬文而造成您的困擾,且站長不會寄相關郵件給您,僅會在留言區提供解決方案
5.站長保留不當刪除留言的權力,若造成不便尚請見諒