我们很遗憾地发现,在一些评论中,大家对于 Microsoft 实施安全启动的方式存在误解,因此我们特意撰写了这篇博文,进一步对如何利用 UEFI 实现安全启动进行澄清,并介绍了针对 PC 制造商提供的一些选项。首先大家要记住,我们在引入相关功能的同时保证了用户能够继续对 PC 进行全面控制,以毫不迁就的方式实现安全启动,保护用户的安全。我们的生态系统团队的 Tony Mangefeste 撰写了本博文。--Steven
如何在 Win8 上禁用 UEFI 以安装Linux
UEFI+GPT安装Windows8和CentOS双系统
Windows 8系统更新会删除GRUB2并设置UEFI为安全引导
内容提要UEFI 支持固件实施安全策略
安全启动是一种 UEFI 协议而不是 Windows 8 的一项功能
UEFI 安全启动是 Windows 8 安全启动体系结构的一个组成部分
Windows 8 利用安全启动来确保操作系统加载前的环境是安全的
安全启动不会“锁定”操作系统加载程序,它只是一种支持固件对组件的可靠性进行验证的策略
OEM 可以通过在其平台上自定义证书和策略管理级别来对固件进行自定义,以满足客户的需求
Microsoft 不会托管或控制 PC 固件中用于控制或支持从 Windows 之外的任何操作系统进行安全启动的设置
指导原则 – 在安全方面毫不迁就UEFI 安全启动协议是实现跨平台和固件安全的基础,与体系结构无关。在执行固件映像之前,安全启动基于公钥基础结构 (PKI) 流程来验证固件映像,帮助降低遭受启动加载程序攻击的风险。在 Windows 8 中,Microsoft 依赖此协议来改进用户的平台安全性。
图 1 – 平台完整性体系结构
Microsoft 与我们的合作伙伴紧密合作,确保安全启动为用户提供良好的安全体验。Microsoft 支持 OEM 灵活地决定由谁来管理安全证书,通过何种方式允许用户导入并管理这些证书以及管理安全启动。我们相信,为 OEM 提供这一灵活性以及允许用户自行决定如何管理其系统非常重要。
对于 Windows 客户,Microsoft 利用 Windows 认证计划来确保:随 Windows 8 发运的系统默认已启用安全启动功能;固件不允许以编程方式控制安全启动(防止恶意软件禁用固件中的安全策略);在未经授权的情况下,OEM 禁止更新固件,因为这可能会危及系统的完整性。
大多数策略并非 UEFI 固件的新增功能,当今的大多数 PC 都具有某种形式的固件验证功能。即便是现有的旧式固件验证支持(如 BIOS 密码)也是一种安全启动形式,多年来一直由 OEM 和最终用户来控制是否启用此功能。不过,利用安全启动和 UEFI,整个行业和 Microsoft 正站在更高的高度上创建更完整、更良好的系统,为用户提供更强有力的保护,抵御不断发展壮大的各种威胁。
什么是 UEFI?UEFI(统一可扩展固件接口)由 UEFI 论坛统一管理,UEFI 论坛是由芯片组供应商、硬件供应商、系统供应商、固件供应商和操作系统供应商联合组建的一个组织。该论坛负责维护可跨多种 UEFI PC 使用的规范、测试工具和参考实现。Microsoft 是该论坛的董事会成员,该论坛对所有个人和公司开放,加入该论坛无需支付任何费用。
UEFI 为个人计算机定义了下一代固件接口。基本输入和输出系统 (BIOS) 固件最初采用汇编语言进行编程,并使用中断来执行输入/输出操作,在出现之初即确定了 PC 生态系统的基本框架,但是随着计算技术的发展,“现代固件”定义应运而生,以满足下一代平板电脑和设备的需求。
UEFI 旨在定义一种标准通信方式,规范启动过程中操作系统与平台固件之间的通信。在 UEFI 出现之前,在启动过程中主要利用软件中断机制与硬件进行通信。现代 PC 可以在硬件和软件之间更快速、更高效地执行块输入/输出操作,在设计中使用 UEFI 可以发挥硬件的全部潜能。