Windows8 UEFI安全啟動完全解讀

前言：首先，這篇是微軟關于Windows8 UEFI安全啟動協議解讀的完整版，前幾日已有不少節選被編譯出來，從時間上講確實落后了；但鑒于各種對Microsoft 實施安全啟動的方式的誤解，比如解讀為微軟惡意打壓Linux等。Win8之家決定以此文給大家一個交代，相信有助于大家的分辨。由生態系統團隊的 Tony Mangefeste 撰寫，來自Building Windows 8博客。

指導原則 – 在安全方面毫不遷就

UEFI 安全啟動協議是實現跨平臺和固件安全的基礎，與體系結構無關。在執行固件映像之前，安全啟動基于公鑰基礎結構 (PKI) 流程來驗證固 件映像，幫助降低遭受啟動加載程序攻擊的風險。在 Windows 8 中，Microsoft 依賴此協議來改進用戶的平臺安全性。

什么是 UEFI？

UEFI(統一可擴展固件接口)由 UEFI 論壇統一管理，UEFI 論壇是由芯片組供應商、硬件供應商、系統供應商、固件供應商和操作系統供應商聯合組建的一個組織。

UEFI 為個人計算機定義了下一代固件接口�；�本輸入和輸出系統 (BIOS) 固件最初采用匯編語言進行編程，并使用中斷來執行輸入/輸出操作，在出現之初即確定了 PC 生態系統的基本框架，但是隨著計算技術的發展，“現代固件”定義應運而生，以滿足下一代平板電腦和設備的需求。

UEFI 旨在定義一種標準通信方式，規范啟動過程中操作系統與平臺固件之間的通信。在 UEFI 出現之前，在啟動過程中主要利用軟件中斷機制與硬件進行通信�，F代 PC 可以在硬件和軟件之間更快速、更高效地執行塊輸入/輸出操作，在設計中使用 UEFI 可以發揮硬件的全部潛能。

什么是安全啟動？

UEFI 具有固件驗證過程(稱為“安全啟動”)，該過程在 UEFI 2.3.1 規范第 27 章中定義。安全啟動定義平臺固件如何管理安全證書，如何進行固件驗證以及定義固件與操作系統之間的接口(協議)。

Microsoft 的平臺完整性體系結構利用 UEFI 安全啟動以及固件中存儲的證書與平臺固件之間創建一個信任根。隨著惡意軟件的快速演變，惡意軟 件正在將啟動路徑作為首選攻擊目標。此類攻擊很難防范，因為惡意軟件可以禁用反惡意軟件產品，徹底阻止加載反惡意軟件。借助 Windows 8 的安全 啟動體系結構及其建立的信任根，通過確保在加載操作系統之前，僅能夠執行已簽名并獲得認證的“已知安全”代碼和啟動加載程序，可以防止用戶在根路徑中執行 惡意代碼。

安全啟動只是 Win8平臺完整性保障系統的一個組成部分。結合 UEFI，Microsoft 還對其他可用硬件實施整體的安全策略，以便進一步增強平臺的安全性。

背景知識：安全啟動的工作原理

PC 開機時將啟動代碼執行過程，配置處理器、內存、和硬件外圍設備，以便為執行操作系統做準備。無論基于哪一種硅體系結構(x86、ARM 等)，在所有平臺中，此過程都是一樣的。

之后將啟動系統，在切換到操作系統加載程序之前，固件將檢查硬件外圍設備(如網卡、存儲設備或視頻卡)中固件代碼的簽名。此設備代碼稱為“可選 ROM”，通過確保該設備已為切換到操作系統準備就緒，繼續執行配置過程。

在啟動過程的這一部分中，固件將檢查固件模塊中嵌入的簽名(與應用程序很像)，如果該簽名與固件中的簽名數據庫匹配，則將允許執行該模塊。這些簽名存儲在固件中的數據庫中。這些數據庫包含“允許”和“禁止”列表，用于確定是否可繼續執行啟動過程。

由誰來控制安全啟動

迄今為止，用戶掌握著其 PC 的控制權。Microsoft 的理念是：為用戶提供最佳的體驗是我們的第一原則，允許用戶自行決定是否使用安全啟動。我 們與 OEM 生態系統緊密合作，為用戶提供了這一靈活性。借助 UEFI 通過安全啟動提供的安全性，大多數用戶的系統將能夠抵御啟動加載程序攻擊。如 果用戶希望運行早期的操作系統，則可以使用我們所提供的選項進行設置。

在下面的屏幕截圖中可以看到，我們在固件設計中允許用戶禁用安全啟動。不過，您需自行承擔禁用安全啟動所帶來的風險。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]