维护 与UEFI的预操作系统环境

微软是如何实现安.全 引导和遗憾的是，这些似乎合成状况 是不是这样的，所以我们将有时机 进一步说明，如何UEFI的使安.全 引导和可供选择的计划 ，以PC厂商使用后，已经有一些意见。最重要的是要了解 的是，我们引进功能，提供一个不妥协的方式来寻求这一点，而在同一时间，全面和超额完成PC的控制依然 是可用的客户安.全 。托尼Mangefeste撰写这篇文章对我们的生态系统团队。 - 史蒂芬
快速汇总

• UEFI的允许固件来实现安.全 政策
  
• 安.全 启动是UEFI协议 不是Win8系统下载功能
  
• UEFI的安.全 启动Windows 8的安.全 引导体系构造 的一部分
  
• Windows 8将采用安.全 引导，以确保预操作系统环境是安.全 的
  
• 安.全 引导不“锁定”操作系统装载机，而且是一个政策，允许固件验证组件的真实性
  
• 原始设备制造商有能力来定制本人 的固件，以满足其客户的需要. 定制本人 的平台上的证书和政策管理程度微软并没有受权 或控制PC固件的设置，控制或启用从Windows以外的其他任何操作系统的安.全 引导
  

大图片 - 在安.全 没有妥协UEFI的安.全 引导协议 的基础平台和固件的安.全 体系构造 中立的做法。基于公钥基础设备 （PKI）的过程，来验证固件映像后，方可执行，安.全 引导，有助于减少的引导装载程序攻击的危险。微软凭仗 在Windows 8在这个协议 ，以改善我们的客户平台的安.全 性。ghost win7
  

图1 - 平台完好 的体系构造

微软正在与我们的协作 同伴 ，以确保担保引导，为我们的客户提供了一个极大的安.全 体验。Microsoft支持原始设备制造商的灵敏 性，以决议 谁管理安.全 证书以及如何让客户导入和管理这些证书，并管理安.全 引导。我们觉得 ，重要的是要支持这种灵敏 性的原始设备制造商，并让我们的客户来决议 他们希望如何管理他们的系统。
对于Windows用户，微软是使用Windows认证方案 ，以确保与Windows 8系统航运安.全 启动默.认 状况 下启用，固件不会允许编程控制的安.全 启动（禁用固件的安.全 政策，以避免 歹意 软件），和原始设备制造商避免 未经受权 的尝试，在更新固件，可能会危及系统的完好 性 。ghost xp
这些政策大部分都没有新的UEFI固件，今天大多数PC进行某种方式 的固件验证。即便 现有的传统支持，如BIOS密码，是一个多年OEM和最终用户控制下的安.全 引导的方式 。但是 ，安.全 引导的UEFI，行业和微软都提高了吧，发明 更大的系统的完好 性和安康 ，并为客户提供一个对越来越多的要挟 ，维护 级别的强者。
UEFI的是什么？UEFI（统一可扩展固件接口）是通过UEFI论坛，芯片组的汇合 管理，硬件，系统，固件和操作系统供给 商。论坛维护标准 ，测试工具，在许多UEFI的电脑中使用的参考实现。微软是本次论坛的董事会成员，和论坛是开放给任何个人或公司参加 本钱 。
UEFI定义为您的个人计算机的下一代固件接口。基本输入输出系统（BIOS）固件，原来写在大会和I / O定义自成立以来，PC生态系统 - 但在计算环境的变化铺平了道路“现代固件”的定义方式使用软件中缀 迎来药片和设备的下一代。
UEFI的企图 是一种标准的方式定义操作系统与平台固件在引导过程中沟通。之前的UEFI，软件与硬件沟通的主要机制在引导过程中中缀 。现代PC都可以 执行更快，更高效的块，硬件和软件之间的I / O和UEFI的设计充沛 发挥潜力，应用 他们的硬件。
UEFI的允许，为模块化固件设计，使硬件和系统设计师在设计的更为苛刻的现代计算环境中的固件的更大的灵敏 性。而I / O是有限的软件中缀 ，UEFI促进了基于事情 的，体系构造 中立的编码标准的概念。
什么是安.全 引导？UEFI固件验证的过程中，被称为安.全 启动，这是2.3.1的UEFI标准 “第27章中定义。安.全 引导平台固件定义了如何管理安.全 证书，验证的固件，固件和操作系统之间的接口（协议 ）的定义。
微软的平台的完好 性架构创立 了一个与平台固件使用UEFI的安.全 引导和固件中存储的证书信任的根。一个不断增长的趋向 在演化 的歹意 软件的攻击目的 是作为首选的攻击媒介的引导路径。这一类的攻击已经很难防备 ，由于 反歹意 软件产品，可以禁用歹意 软件，他们无法完全加载。随着的Windows 8的担保启动架构和信任的根成立，客户是从歹意 代码在引导路径执行的维护 ，确保只有签名，认证的“已知良好”的代码和引导装载程序可以执行自身 加载的操作系统前。
今天，在大多数PC的预操作系统环境，通过重新引导装载程序切换到可能的歹意 装载机的攻击是脆弱的。这些装载机将坚持 操作系统的安.全 性措施和反歹意 软件未被发现。
  

图2 - 传统BIOS引导路径

Windows 8的地址与UEFI的安.全 引导此漏洞. ，并与证书一同 使用的政策在目前的固件，以确保只有正确的签署和验证的组件允许执行。
  

图3 - UEFI的安.全 引导路径

安.全 启动仅仅是一部分的Windows 8平台完好 性的故事。随着UEFI的，微软的策略是一个全面的方法来其他可用的硬件平台的安.全 性进一步提高。
背景：它是如何工作的？在PC机上的电源开始执行代码，在准备的操作系统执行配置的处理器，内存和硬件外设的过程。在一切 平台上，这个过程是分歧 的，不管底层芯片架构（X86，ARM等）。
后不久，供电系统，并移交给OS加载程序发作 之前，固件将检查硬件外围设备，如网卡，存储设备，或视频卡存在的固件代码签名。此设备代码，称为选项ROM，将继续确保外设准备移交给操作系统的配置过程。
在这个引导过程中的固件的一部分中会检查一个固件模块内嵌入的签名，更象是一个应用程序，假如 该签名对固件签名数据库匹配，那么该模块被允许执行。这些特征都存储在固件中的数据库。这些数据库的“允许”和“不允许”的名单，肯定 启动的进程可以 继续下去。
  

图4 - 证书的安.全 数据库

这个数字代表与安.全 引导系统的签名和密钥的层次构造 。该平台是安.全 的，OEM在制造过程中安装固件通过一个平台的关键。这是今天大多数运输系统使用的过程中，不管他们是基于UEFI的，或传统BIOS。（如固件更新适用 程序的应用程序将使用平台的关键维护 固件映像。）其他键用于安.全 引导，以维护 对数据库的访问，存储密钥，以允许或不允许执行固件。
允许的数据库中包含的键表示信任的固件组件和操作系统，更重要的是，装载机。另一个数据库包含歹意 软件和固件，并阻止那些歹意 软件组件的执行哈希。这些政策的力气 的基础上签署的固件，使用Authenticode和公钥基础设备 （PKI）的。PKI是创立 ，管理和撤销 证书，在信息交流树立 信任树立 的过程。PKI是在安.全 启动的安.全 模式的中心 。
什么是必需的安.全 引导？安.全 引导请求 ，到达 或超越 UEFI的修订2.3.1的固件。UEFI论坛批准了最新修订更新第27章的政策，提高在现有的安.全 引导协议 ，包括如何将这些证书存储时间验证的变量，更强的加密密钥，并廓清 。
消费者购置 一台PC的功能将是透明的的。这样做的益处 是，他们的系统添加bootkit和rootkit攻击的牢靠 性措施，目的 系统的漏洞. 之前，操作系统自身 ，即便 负载，如上面所述。
是谁在控制？在这一天完毕 ，客户在他们的PC的控制。微软的理念是向客户提供最佳体验，并让他们本人 作出决议 。我们的工作与我们的OEM生态系统，为客户提供这种灵敏 性。安.全 的UEFI提供安.全 引导手腕 ，大多数客户将他们的系统对引导加载程序攻击的维护 。对于发烧友谁想要运行较早版本的操作系统，该选项有让你做出决议 。
在三星平板与Windows 8开发人员预览版，提供了/ /树立 /参与者发现这种控制示范。在下面的截图中，你会发现，我们设计的固件，使客户禁用安.全 引导。但是，这样做是您本人 的风险。原始设备制造商自由选择如何启用此支持，可以进一步自定义的参数，上面所述在努力向他们的客户提供共同 的价值主张。窗户只是没有工作提供了极大的操作系统状况 下，我们相信很多人会发现在消费者和企业客户的珍贵 的支持。

  
图5 - 三星PC安.全 引导设置win7旗舰版