安全引导是一种计算机安全工具,仅允许在计算机启动时运行经过验证的程序。该协议确保未经授权的程序,特别是恶意rootkit,不会在计算机启动时运行以绕过防病毒软件检测。此功能是安装最新操作系统Windows 11所必需的,因为它是UEFI(统一可扩展固件接口)或Windows 11安装的BIOS前提条件的一部分。对于较旧版本的Windows(如Windows 10 IoT 2021 LTSC),这不是必需的,但对于工业企业应用程序来说是必需的。
安全引导如何工作?
由于安全引导是UEFI BIOS中的一种协议,因此它在每次计算机启动时都会运行。这与TPM(受信任的平台模块)一起工作,TPM也是Windows 11安装的先决条件。总之,TPM 2.0是一种基于硬件的安全电脑工具,它在基于软件的安全性不具备的情况下提供额外的数据保护。如果硬件被篡改,并且执行了未经授权的程序(如恶意软件),则此过程可防止计算机启动。安全引导是数据安全和保护的另一层,确保只启动数字签名和认证的程序。我们将研究三个主要数据库,它们是签名数据库(DB)、已撤销签名数据库(DBX)和密钥注册数据库(KEK)。
签名数据库(DB)–签名数据库包含可信固件组件、操作系统引导加载程序(如Microsoft操作系统加载程序、UEFI应用程序和UEFI驱动程序)的公钥和证书。
撤销签名数据库(DBX)–撤销签名数据库包含恶意和易受攻击的组件、密钥和证书的哈希,阻止执行这些哈希以保护您的系统。
平台密钥(PK)–平台密钥在系统所有者和BIOS中的固件之间建立信任关系,控制对KEK数据库的访问。
密钥交换密钥(KEK)–密钥交换密钥是一个数据库,它在操作系统和固件之间建立信任关系。KEK包含一个公钥列表,可以在修改白名单数据库或已撤销签名数据库时进行检查。一个平台可以有多个KEK。
为什么它对工业边缘应用有用?
随着全球网络攻击的激增,企业采取一切可能的预防措施来阻止和防止其宝贵数据被篡改至关重要。微软、AMD和英特尔等一级公司已经开发了自己的方法来增强对恶意软件的保护。微软推出了具有TPM 2.0和安全引导要求的Windows 11,领先的半导体巨头英特尔和AMD已经开发了其版本的固件TPM(fTPM)。TPM被认为是一个遗留组件,主要由使用敏感数据的企业使用。如今,由于网络攻击的增加,TPM 2.0被包括在工业边缘计算机中,几乎是强制性的。
安全引导和TPM 2.0之间的区别是什么?
安全引导是一种通过UEFI BIOS启用的简单预测量功能。安全引导的作用是只允许启动经过验证和数字签名的软件。例如,匹配的操作系统和其他启动应用程序,如反恶意软件程序。然而,TPM 2.0充当存储和加电脑密启动系统所需的数据敏感数字密钥和证书的保险库。如果TPM检测到新的硬盘驱动器或不正确的操作系统许可证,则它将不允许计算机进一步启动。使用Secure Boot,它充当一个安全检查点,只允许访问经过验证的启动程序。
安全引导的一些缺点是什么?
当试图引导未经授权的软件(如不同的操作系统或双重引导)时,安全引导可能是一个小麻烦。为了继续进行双引导,必须禁用安全引导,但请放心,Ubuntu支持具有双引导进程的安全引导。如果您需要为双引导设置禁用安全引导,请重新安装Ubuntu,然后可以重新启用安全引导。这种最小的缺点不应成为影响Secure Boot的优势和安全性的因素。
如何为Windows 11启用安全引导?
首先,让我们检查安全引导是否已启用。在Windows搜索菜单中搜索“msinfo32”,然后查找项目“安全启动状态”。如果显示ON,则安全引导已启用。如果标记为OFF,则可以在UEFI BIOS中启用。请参阅主板手册,浏览UEFI BIOS以启用安全引导。再次检查是否启用了安全引导。如果需要禁用安全引导,只需进入UEFI BIOS并禁用安全引导。强烈建议启用安全引导,因为它对性能或兼容性几乎没有影响,但禁用安全引导不是强制性的。如果最终用户没有下载rootkit病毒或任何恶意程序,则计算机使用不需要Secure Boot。
电脑