搜尋本站文章

2011年9月29日 星期四

微軟關於 Windows 8 UEFI 安全啟動的完全解讀!

首先,這篇是微軟關於 Windows 8 UEFI 安全啟動協議解讀的完整版,前幾日已有不少節選被編譯出來,從時間上講確實落後了;但鑑於各種對 Microsoft 實施安全啟動的方式的誤解,比如:解讀為微軟惡意打壓 Linux 等。★數位夢想★決定以此文給各位一個交代,相信有助於大家分辨。由生態系統團隊的 Tony Mangefeste 撰寫,來自 Building Windows 8 博客。

指導原則:在安全方面毫不遷就

UEFI 安全啟動協議是實現跨平台和韌體安全的基礎,與體系結構無關。在執行韌體映像之前,安全啟動基於公鑰基礎結構(PKI)流程來驗證韌體映像,幫助降低遭受啟動加載程序攻擊的風險。在 Windows 8 中,Microsoft 依賴此協議來改進用戶的平台安全性。
平台完整性體系結構
什麼是 UEFI?

UEFI(統一可擴展韌體接口)由 UEFI 論壇統一管理,UEFI 論壇是由芯片組供應商、硬體供應商、系統供應商、韌體供應商和操作系統供應商聯合組建的一個組織。 

UEFI 為個人電腦定義了下一代韌體接口。基本輸入和輸出系統(BIOS)韌體最初採用彙編語言進行編程,並使用中斷來執行輸入 / 輸出操作,在出現之初即確定了 PC 生態系統的基本框架,但是隨著電腦技術的發展,『現代韌體』定義應運而生,以滿足下一代平板電腦和設備的需求。 

UEFI 旨在定義一種標準通信方式,規範啟動過程中操作系統與平台韌體之間的通信。在 UEFI 出現之前,在啟動過程中主要利用軟體中斷機制與硬體進行通信。現代 PC 可以在硬體和軟體之間更快速、更高效地執行塊輸入 / 輸出操作,在設計中使用 UEFI 可以發揮硬體的全部潛能。

什麼是安全啟動?

UEFI 具有韌體驗證過程(稱為『安全啟動』),該過程在 UEFI 2.3.1 規範第 27 章中定義。安全啟動定義平台韌體如何管理安全證書,如何進行韌體驗證以及定義韌體與操作系統之間的接口(協議)。

Microsoft 的平台完整性體系結構利用 UEFI 安全啟動以及韌體中存儲的證書與平台韌體之間創建一個信任根。隨著惡意軟體的快速演變,惡意軟體正在將啟動路徑作為首選攻擊目標。此類攻擊很難防範,因為惡意軟體可以禁用反惡意軟體產品,徹底阻止加載反惡意軟體。借助 Windows 8 的安全啟動體系結構及其建立的信任根,通過確保在加載操作系統之前,僅能夠執行已簽名並獲得認證的『已知安全』代碼和啟動加載程序,可以防止用戶在根路徑中執行惡意代碼。
舊式 BIOS 啟動路徑
使用 UEFI 的安全啟動路徑
安全啟動只是 Win8 平台完整性保障系統的一個組成部分。結合 UEFI,Microsoft 還對其他可用硬體實施整體的安全策略,以便進一步增強平台的安全性。 

背景知識:安全啟動的工作原理

PC 開機時將啟動代碼執行過程,配置處理器、內存、和硬體週邊設備,以便為執行操作系統做準備。無論基於哪一種矽體系結構(x86、ARM 等),在所有平台中,此過程都是一樣的。 

之後將啟動系統,在切換到操作系統加載程序之前,韌體將檢查硬體週邊設備(如:網卡、存儲設備或視頻卡)中韌體代碼的簽名。此設備代碼稱為『可選 ROM』,通過確保該設備已為切換到操作系統準備就緒,繼續執行配置過程。 

在啟動過程的這一部分中,韌體將檢查韌體模塊中嵌入的簽名(與應用程序很像),如果該簽名與韌體中的簽名數據庫匹配,則將允許執行該模塊。這些簽名存儲在韌體中的數據庫中。這些數據庫包含『允許』和『禁止』列表,用於確定是否可繼續執行啟動過程。
安全證書數據庫
由誰來控制安全啟動 

迄今為止,用戶掌握著其 PC 的控制權。Microsoft 的理念是:為用戶提供最佳的體驗是我們的第一原則,允許用戶自行決定是否使用安全啟動。我們與 OEM 生態系統緊密合作,為用戶提供了這一靈活性。借助 UEFI 通過安全啟動提供的安全性,大多數用戶的系統將能夠抵禦啟動加載程序攻擊。如果用戶希望運行早期的操作系統,則可以使用我們所提供的選項進行設置。 

在下面的螢幕截圖中可以看到,我們在韌體設計中允許用戶禁用安全啟動。不過,您需自行承擔禁用安全啟動所帶來的風險。
Samsung PC 安全啟動設置
===============================================

創用 CC 授權條款
Related Posts Plugin for WordPress, Blogger...

沒有留言:

張貼留言

1、本留言處歡迎多加留言交流,但不歡迎垃圾留言及廣告留言
2、留言時可以使用部份 HTML 標記
3、對於教學文章介紹或軟體使用有問題歡迎提出,若站長沒回應表示不清楚該問題的解決方案
4、留言時請勿留下電子郵件,以免因搜尋引擎爬文而造成您的困擾,且站長不會寄相關郵件給您,僅會在留言區提供解決方案
5.站長保留不當刪除留言的權力,若造成不便尚請見諒