前言:首先,这篇是微软关于Windows8 UEFI平安启动和谈解读的完整版,前几日已有不少节选被编译出来,从时刻上讲确实落伍了;但鉴于各类对Microsoft 实施平安启动的体例的曲解,好比解读为微软恶意打压Linux等。Win8之家抉择以此文给巨匠一个交接,相信有助于巨匠的分辩。由生态系统团队的 Tony Mangefeste 撰写,来自Building Windows 8博客。
; A/ q- j' M' {, p
+ ]1 l" H9 `/ N, | 指导原则 – 在平安方面毫不姑息 $ Q( J9 |# b0 ~9 B% {
/ b3 M8 V4 a' H( d5 R& } UEFI 平安启动和谈是实现跨平台和固件平安的基本,与系统结构无关。在执行固件映像之前,平安启动基于公钥基本结构 (PKI) 流程来验证固 件映像,辅佐降低蒙受启动加载轨范抨击袭击的风险。在 Windows 8 中,Microsoft 依靠此和谈来改良用户的平台平安性。
( [; V, p+ X3 Z& }4 @
/ W( E r6 h. b2 _9 U: X( V7 B$ e0 n. {) F# [0 b5 }( Q
什么是 UEFI? % M. A& E1 t6 S! p0 o h. J
2 |( O/ u6 m# ~( z
UEFI(统一可扩展固件接口)由 UEFI 论坛统一打点,UEFI 论坛是由芯片组供给商、硬件供给商、系统供给商、固件供给商和操作系统供给商连系组建的一个组织。
9 z4 ~& W. `( t0 ^' K+ Z) s, f: |- o$ G. ~0 P+ R
UEFI 为小我计较机界说了下一代固件接口。根基输入和输出系统 (BIOS) 固件最初采用汇编说话进行编程,并使用间断来执行输入/输出操作,在呈现之初即确定了 PC 生态系统的根基框架,可是跟着计较手艺的成长,“现代固件”界说应运而生,以知足下一代平板电脑和设备的需求。 6 ]. t0 v! {% A/ r+ G7 U
$ w. R0 G6 ^4 ]7 x( i
UEFI 旨在界说一种尺度通信体例,规范启动过程中操作系统与平台固件之间的通信。在 UEFI 呈现之前,在启动过程中首要操作软件间断机制与硬件进行通信。现代 PC 可以在硬件和软件之间更快速、更高效地执行块输入/输出操作,在设计中使用 UEFI 可以阐扬硬件的全数潜能。
Y3 H+ F5 A* u' E' B1 B9 p9 U; T! k; v$ c# |! ~
什么是平安启动? 8 w1 n* Y; e& O3 Z7 D/ r' s
1 S" Z$ u. `, v( {% N, k
UEFI 具有固件验证过程(称为“平安启动”),该过程在 UEFI 2.3.1 规范第 27 章中界说。平安启动界说平台固件若何打点平安证书,若何进行固件验证以及界说固件与操作系统之间的接口(和谈)。 6 `1 R' n) u% t: M, ^2 v5 V4 B
+ _4 n- \* ~/ `' }0 l
Microsoft 的平台完整性系统结构操作 UEFI 平安启动以及固件中存储的证书与平台固件之间建树一个信赖根。跟着恶意软件的快速演变,恶意软 件正在将启动路径作为首选抨击袭击方针。此类抨击袭击很难提防,因为恶意软件可以禁用反恶意软件产物,彻底阻止加载反恶意软件。借助 Windows 8 的平安 启动系统结构及其成立的信赖根,经由过程确保在加载操作系统之前,仅能够执行已签名并获得认证的“已知平安”代码和启动加载轨范,可以防止用户在根路径中执行 恶意代码。 3 K# i6 f J' k
& {7 ?/ Y) a. f
平安启动只是 Win8平台完整性保障系统的一个组成部门。连系 UEFI,Microsoft 还对其他可用硬件实施整体的平安策略,以便进一步增强平台的平安性。 |
发表于 2012-8-3 00:05:24
