Megosztás a következőn keresztül:

Biztonságos rendszerindítás

  • Cikk

A Biztonságos rendszerindítás az Egyesített bővíthető belső vezérlőprogram interfész (UEFI) egyik funkciója, amely megköveteli az összes alacsony szintű belső vezérlőprogram és szoftverösszetevő ellenőrzését a betöltés előtt. A rendszerindítás során az UEFI Secure Boot ellenőrzi az egyes rendszerindító szoftverek aláírását, beleértve az UEFI belső vezérlőprogram-illesztőprogramokat (más néven beállítási ROM-okat), az extensible Firmware Interface (EFI) alkalmazásokat, valamint az operációsrendszer-illesztőprogramokat és bináris fájlokat. Ha az eredeti berendezésgyártó (OEM) érvényes vagy megbízható aláírásokat tartalmaz, a gép elindul, és a belső vezérlőprogram vezérli az operációs rendszert.

Összetevők és folyamatok

A Biztonságos rendszerindítás az alábbi kritikus összetevőkre támaszkodik:

  • Platformkulcs (PK) – Megbízhatóságot hoz létre a platform tulajdonosa (Microsoft) és a belső vezérlőprogram között. A nyilvános fele a PKpub, a privát fele pedig a PKpriv.
  • Kulcsregisztrációs kulcsadatbázis (KEK) – Megbízhatóságot hoz létre az operációs rendszer és a platform belső vezérlőprogramja között. A nyilvános fele a KEKpub, a privát fele pedig a KEKpriv.
  • Aláírási adatbázis (db) – Tárolja a platform belső vezérlőprogramjának és szoftverkódmoduljainak megbízható aláíróinak (nyilvános kulcsainak és tanúsítványainak) kivonatait.
  • Visszavont aláírások adatbázisa (dbx) – Olyan kódmodulok visszavont kivonatait tárolja, amelyek rosszindulatúnak, sebezhetőnek, sérültnek vagy nem megbízhatónak minősülnek. Ha egy kivonat szerepel az aláírási adatbázisban és a visszavont aláírások adatbázisában, a visszavont aláírások adatbázisa elsőbbséget élvez.

Az alábbi ábra és folyamat bemutatja, hogyan frissülnek ezek az összetevők:

A Biztonságos rendszerindítás összetevőit bemutató diagram.

Az OEM a biztonságos rendszerindítási kivonatokat a gép nemvolatilis RAM-ján (NV-RAM-on) tárolja a gyártás során.

  1. Az aláírási adatbázis az UEFI-alkalmazások, az operációsrendszer-betöltők (például a Microsoft operációsrendszer-betöltő vagy a Boot Manager) és a megbízható UEFI-illesztőprogramok aláíróival vagy képkivonataival van feltöltve.
  2. A visszavont aláírások adatbázisa olyan modulok kivonataival van feltöltve, amelyek már nem megbízhatók.
  3. A kulcsregisztrációs kulcs (KEK) adatbázisa olyan aláírási kulcsokkal van feltöltve, amelyek az aláírási adatbázis és a visszavont aláírási adatbázis frissítésére használhatók. Az adatbázisok szerkeszthetők a megfelelő kulccsal aláírt frissítéseken keresztül, vagy egy fizikailag jelen lévő jogosult felhasználó által a belső vezérlőprogram-menük használatával végzett frissítéseken keresztül.
  4. Miután hozzáadta a db, dbx és KEK adatbázisokat, és befejeződött a belső vezérlőprogram ellenőrzése és tesztelése, az OEM zárolja a belső vezérlőprogram szerkesztését, és létrehoz egy platformkulcsot (PK). A PK-val aláírhatja a KEK frissítéseit, vagy kikapcsolhatja a biztonságos rendszerindítást.

A rendszerindítási folyamat minden szakaszában a rendszer kiszámítja és összehasonlítja a belső vezérlőprogram, a rendszerindító, az operációs rendszer, a kernelillesztők és más rendszerindítási lánc összetevőinek kivonatait az elfogadható értékekkel. A nem megbízhatónak talált belső vezérlőprogramokat és szoftvereket nem lehet betölteni. Így az alacsony szintű kártevőinjektálás vagy az előzetes kártevő-támadások blokkolhatók.

Biztonságos rendszerindítás az Azure-flottán

Ma az azure-beli számítási flottában üzembe helyezett és üzembe helyezett összes gép az ügyfelek számítási feladatainak üzemeltetéséhez a gyári szintekről származik, és engedélyezve van a Biztonságos rendszerindítás. A célzott eszközök és folyamatok a hardveres buildelési és integrációs folyamat minden szakaszában érvényben vannak, hogy a biztonságos rendszerindítás engedélyezését ne véletlenül vagy rosszindulatú szándékkal lehessen visszaállítani.

Annak ellenőrzése, hogy a db és a dbx kivonatok helyesek-e, biztosítja a következőket:

  • A rendszerindító megtalálható az egyik db-bejegyzésben
  • A bootloader aláírása érvényes
  • Gazdagép indítása megbízható szoftverrel

A KEKpub és a PKpub aláírásainak érvényesítésével megerősíthetjük, hogy csak megbízható felek rendelkeznek engedéllyel a megbízhatónak ítélt szoftverek definícióinak módosítására. Végül, a biztonságos rendszerindítás aktívságának biztosításával ellenőrizheti, hogy ezek a definíciók kikényszerítése folyamatban van-e.

Következő lépések

A platform integritásának és biztonságának biztosításához a következő témakörben talál további információt: