详解 Windows 8 安全启动 - Win8.1 & Win8 技术区 IT之家论坛
找回密码 注册
查看: 19207|回复: 46

[功能讲解] 详解 Windows 8 安全启动

[复制链接]

签到天数: 780 天

[LV.10]以坛为家III

发表于 2013-4-19 22:45:05 | 显示全部楼层 |阅读模式

马上注册,欢迎加入IT之家社区大家庭。

您需要 登录 才可以下载或查看,没有帐号?注册

x
内容提要

  • UEFI 支持固件实施安全策略
  • 安全启动是一种 UEFI 协议而不是 Windows 8 的一项功能
  • UEFI 安全启动是 Windows 8 安全启动体系结构的一个组成部分
  • Windows 8 利用安全启动来确保操作系统加载前的环境是安全的
  • 安全启动不会“锁定”操作系统加载程序,它只是一种支持固件对组件的可靠性进行验证的策略
  • OEM 可以通过在其平台上自定义证书和策略管理级别来对固件进行自定义,以满足客户的需求
  • Microsoft 不会托管或控制 PC 固件中用于控制或支持从 Windows 之外的任何操作系统进行安全启动的设置


指导原则 – 在安全方面毫不迁就

      UEFI 安全启动协议是实现跨平台和固件安全的基础,与体系结构无关。在执行固件映像之前,安全启动基于公钥基础结构 (PKI) 流程来验证固件映像,帮助降低遭受启动加载程序攻击的风险。Windows 8 依赖此协议来改进用户的平台安全性。


0675.Figure-1---Windows-8-Platform-integrity-architecture_406B7F53.png

                                                         图 1 – 平台完整性体系结构

        Windows 8 可以确保安全启动为用户提供良好的安全体验。 OEM 负责灵活地决定由谁来管理安全证书,通过何种方式允许用户导入并管理这些证书以及管理安全启动。

       对于 Windows 客户,利用 Windows 认证计划来确保:随 Windows 8 发运的系统默认已启用安全启动功能;固件不允许以编程方式控制安全启动(防止恶意软件禁用固件中的安全策略);在未经授权的情况下,OEM 禁止更新固件,因为这可能会危及系统的完整性。

       大多数策略并非 UEFI 固件的新增功能,当今的大多数 PC 都具有某种形式的固件验证功能。即便是现有的旧式固件验证支持(如 BIOS 密码)也是一种安全启动形式,多年来一直由 OEM 和最终用户来控制是否启用此功能。不过,利用安全启动和 UEFI,可以站在更高的高度上创建更完整、更良好的系统,为用户提供更强有力的保护,抵御不断发展壮大的各种威胁。

什么是安全启动?

       UEFI 具有固件验证过程(称为“安全启动”),该过程在 UEFI 2.3.1 规范第 27 章中定义。安全启动定义平台固件如何管理安全证书,如何进行固件验证以及定义固件与操作系统之间的接口(协议)。

       平台完整性体系结构利用 UEFI 安全启动以及固件中存储的证书与平台固件之间创建一个信任根。随着恶意软件的快速演变,恶意软件正在将启动路径作为首选攻击目标。此类攻击很难防范,因为恶意软件可以禁用反恶意软件产品,彻底阻止加载反恶意软件。借助 Windows 8 的安全启动体系结构及其建立的信任根,通过确保在加载操作系统之前,仅能够执行已签名并获得认证的“已知安全”代码和启动加载程序,可以防止用户在根路径中执行恶意代码。

       在当今的大多数 PC 中,操作系统加载前的环境存在漏洞,可以通过将启动加载程序重定向到可能的恶意加载程序来实施攻击。这些加载程序无法通过操作系统安全措施和反恶意软件进行检测。

7484.Figure-2---Legacy-BIOS-boot-path_11184943.png

                                                        图 2 - 旧式 BIOS 启动路径

        Windows 8 借助 UEFI 安全启动解决了此漏洞,它利用固件中的策略并结合证书来确保仅允许执行已正确签名并通过身份验证的组件。

4353.Figure-3---Secured-boot-path-with-UEFI_7BBA93DA.png

                                                      图 3 - 使用 UEFI 的安全启动路径

       安全启动只是 Windows 8 平台完整性保障系统的一个组成部分。结合 UEFI, 以及其他可用硬件实施整体的安全策略,以便进一步增强平台的安全性。

背景知识:安全启动的工作原理

        PC 开机时将启动代码执行过程,配置处理器、内存、和硬件外围设备,以便为执行操作系统做准备。无论基于哪一种硅体系结构(x86、ARM 等),在所有平台中,此过程都是一样的。


      之后将启动系统,在切换到操作系统加载程序之前,固件将检查硬件外围设备(如网卡、存储设备或视频卡)中固件代码的签名。此设备代码称为“可选 ROM”,通过确保该设备已为切换到操作系统准备就绪,继续执行配置过程。


       在启动过程的这一部分中,固件将检查固件模块中嵌入的签名(与应用程序很像),如果该签名与固件中的签名数据库匹配,则将允许执行该模块。这些签名存储在固件中的数据库中。这些数据库包含“允许”和“禁止”列表,用于确定是否可继续执行启动过程。

5086.Figure-4---Security-databases-for-certificates_45D4B2EA.png

                                                     图 4 - 安全证书数据库

       上图显示了安全启动过程中系统中的签名和密钥的层次结构。平台通过 OEM 在制造过程中安装到固件中的平台密钥来进行保护。这是当今发运的大多数系统所采用的过程,不论这些系统是基于 UEFI 还是基于旧式 BIOS。(应用程序(如固件更新实用程序)将使用平台密钥来保护固件映像。)安全启动过程使用其他密钥来保护对相关数据库的访问,这些数据库存储有用于允许或禁止执行固件的密钥。


     “允许”数据库包含代表信任固件组件(主要是操作系统加载程序)的密钥。另一个数据库包含恶意软件和固件的哈希值,将阻止执行这些恶意软件组件。这些策略通过使用验证码和公钥基础结构 (PKI) 对固件进行签名来实施。PKI 是一个创建、管理和撤销证书的完整过程,在信息交换过程中,将使用证书来建立信任关系。PKI 是安全启动所采用的安全模型的核心组件。


安全启动的要求

       要实现安全启动,固件必须符合 UEFI 2.3.1 或更高版本。UEFI 论坛已批准了这一最新修订版本,其中对第 27 章的策略进行了更新以改进现有的安全启动协议,增加了时间身份验证变量,采用更强的密钥进行加密并澄清了这些证书的存储方式。


       对于购买 PC 的消费者来说,该功能不会对其使用 PC 的方式产生任何影响。但具有该功能的系统可以有效地抵御利用操作系统加载前的漏洞进行的 Bootkit 和 Rootkit 攻击,如上所述。


用户控制安全启动

       迄今为止,用户掌握着其 PC 的控制权。为确保用户获得最佳的体验,将允许用户自行决定是否使用安全启动。借助 UEFI 通过安全启动提供的安全性,大多数用户的系统将能够抵御启动加载程序攻击。如果用户希望运行早期的操作系统,则可以使用提供的选项进行设置。




签到天数: 760 天

[LV.10]以坛为家III

发表于 2013-4-19 22:52:32 | 显示全部楼层
学习一下

签到天数: 1073 天

[LV.10]以坛为家III

发表于 2013-4-19 22:58:51 | 显示全部楼层
表示不是很懂的,但谢谢分享技术

签到天数: 1570 天

[LV.Master]伴坛终老

发表于 2013-4-19 23:07:18 | 显示全部楼层
以后再深入了解下

签到天数: 558 天

[LV.9]以坛为家II

发表于 2013-4-19 23:19:22 | 显示全部楼层
安全启动功要主要BIOS支持

签到天数: 1680 天

[LV.Master]伴坛终老

发表于 2013-4-19 23:33:46 | 显示全部楼层
学习学习有个概念。

签到天数: 253 天

[LV.8]以坛为家I

发表于 2013-4-19 23:48:33 | 显示全部楼层
能转下帖么

签到天数: 811 天

[LV.10]以坛为家III

发表于 2013-4-19 23:58:04 | 显示全部楼层
支持一下,楼主晚安=v=

签到天数: 824 天

[LV.10]以坛为家III

发表于 2013-4-20 00:02:00 | 显示全部楼层
学习了,算是科普下了

签到天数: 266 天

[LV.8]以坛为家I

发表于 2013-4-20 00:19:31 | 显示全部楼层
来学习下、、、、、、

签到天数: 506 天

[LV.9]以坛为家II

发表于 2013-4-20 00:46:40 | 显示全部楼层
技术贴先收藏了慢慢看   算是给自己来个补丁

签到天数: 238 天

[LV.7]常住居民III

发表于 2013-4-20 00:54:19 | 显示全部楼层
扫盲贴  支持一下 先顶后看

签到天数: 331 天

[LV.8]以坛为家I

发表于 2013-4-20 02:35:45 | 显示全部楼层
学习了  谢谢分享……

签到天数: 1059 天

[LV.10]以坛为家III

发表于 2013-4-20 06:59:41 | 显示全部楼层
不错啊,支持一下

签到天数: 336 天

[LV.8]以坛为家I

发表于 2013-4-20 07:10:10 | 显示全部楼层
学习
您需要登录后才可以回帖 登录 | 注册

本版积分规则

版权所有 © 2007-2015 软媒公司

站点统计|Archiver|IT之家

返回顶部