什么是安全引導(dǎo)？-Windows 11的要求

安全引導(dǎo)是一種計(jì)算機(jī)安全工具，僅允許在計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行經(jīng)過驗(yàn)證的程序。該協(xié)議確保未經(jīng)授權(quán)的程序，特別是惡意rootkit，不會(huì)在計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行以繞過防病毒軟件檢測。此功能是安裝最新操作系統(tǒng)Windows 11所必需的，因?yàn)樗?/span>UEFI（統(tǒng)一可擴(kuò)展固件接口）或Windows 11安裝的BIOS前提條件的一部分。對(duì)于較舊版本的Windows（如Windows 10 IoT 2021 LTSC），這不是必需的，但對(duì)于工業(yè)企業(yè)應(yīng)用程序來說是必需的。

安全引導(dǎo)如何工作？

由于安全引導(dǎo)是UEFI BIOS中的一種協(xié)議，因此它在每次計(jì)算機(jī)啟動(dòng)時(shí)都會(huì)運(yùn)行。這與TPM（受信任的平臺(tái)模塊）一起工作，TPM也是Windows 11安裝的先決條件。總之，TPM 2.0是一種基于硬件的安全工具，它在基于軟件的安全性不具備的情況下提供額外的數(shù)據(jù)保護(hù)。如果硬件被篡改，并且執(zhí)行了未經(jīng)授權(quán)的程序（如惡意軟件），則此過程可防止計(jì)算機(jī)啟動(dòng)。安全引導(dǎo)是數(shù)據(jù)安全和保護(hù)的另一層，確保只啟動(dòng)數(shù)字簽名和認(rèn)證的程序。我們將研究三個(gè)主要數(shù)據(jù)庫，它們是簽名數(shù)據(jù)庫（DB）、已撤銷簽名數(shù)據(jù)庫（DBX）和密鑰注冊(cè)數(shù)據(jù)庫（KEK）。

簽名數(shù)據(jù)庫（DB）–簽名數(shù)據(jù)庫包含可信固件組件、操作系統(tǒng)引導(dǎo)加載程序（如Microsoft操作系統(tǒng)加載程序、UEFI應(yīng)用程序和UEFI驅(qū)動(dòng)程序）的公鑰和證書。

撤銷簽名數(shù)據(jù)庫（DBX）–撤銷簽名數(shù)據(jù)庫包含惡意和易受攻擊的組件、密鑰和證書的哈希，阻止執(zhí)行這些哈希以保護(hù)您的系統(tǒng)。

平臺(tái)密鑰（PK）–平臺(tái)密鑰在系統(tǒng)所有者和BIOS中的固件之間建立信任關(guān)系，控制對(duì)KEK數(shù)據(jù)庫的訪問。

密鑰交換密鑰（KEK）–密鑰交換密鑰是一個(gè)數(shù)據(jù)庫，它在操作系統(tǒng)和固件之間建立信任關(guān)系。KEK包含一個(gè)公鑰列表，可以在修改白名單數(shù)據(jù)庫或已撤銷簽名數(shù)據(jù)庫時(shí)進(jìn)行檢查。一個(gè)平臺(tái)可以有多個(gè)KEK。

為什么它對(duì)工業(yè)邊緣應(yīng)用有用？

隨著全球網(wǎng)絡(luò)攻擊的激增，企業(yè)采取一切可能的預(yù)防措施來阻止和防止其寶貴數(shù)據(jù)被篡改至關(guān)重要。微軟、AMD和英特爾等一級(jí)公司已經(jīng)開發(fā)了自己的方法來增強(qiáng)對(duì)惡意軟件的保護(hù)。微軟推出了具有TPM 2.0和安全引導(dǎo)要求的Windows 11，領(lǐng)先的半導(dǎo)體巨頭英特爾和AMD已經(jīng)開發(fā)了其版本的固件TPM（fTPM）。TPM被認(rèn)為是一個(gè)遺留組件，主要由使用敏感數(shù)據(jù)的企業(yè)使用。如今，由于網(wǎng)絡(luò)攻擊的增加，TPM 2.0被包括在工業(yè)邊緣計(jì)算機(jī)中，幾乎是強(qiáng)制性的。

安全引導(dǎo)和TPM 2.0之間的區(qū)別是什么？

安全引導(dǎo)是一種通過UEFI BIOS啟用的簡單預(yù)測量功能。安全引導(dǎo)的作用是只允許啟動(dòng)經(jīng)過驗(yàn)證和數(shù)字簽名的軟件。例如，匹配的操作系統(tǒng)和其他啟動(dòng)應(yīng)用程序，如反惡意軟件程序。然而，TPM 2.0充當(dāng)存儲(chǔ)和加密啟動(dòng)系統(tǒng)所需的數(shù)據(jù)敏感數(shù)字密鑰和證書的保險(xiǎn)庫。如果TPM檢測到新的硬盤驅(qū)動(dòng)器或不正確的操作系統(tǒng)許可證，則它將不允許計(jì)算機(jī)進(jìn)一步啟動(dòng)。使用Secure Boot，它充當(dāng)一個(gè)安全檢查點(diǎn)，只允許訪問經(jīng)過驗(yàn)證的啟動(dòng)程序。

安全引導(dǎo)的一些缺點(diǎn)是什么？

當(dāng)試圖引導(dǎo)未經(jīng)授權(quán)的軟件（如不同的操作系統(tǒng)或雙重引導(dǎo)）時(shí)，安全引導(dǎo)可能是一個(gè)小麻煩。為了繼續(xù)進(jìn)行雙引導(dǎo)，必須禁用安全引導(dǎo)，但請(qǐng)放心，Ubuntu支持具有雙引導(dǎo)進(jìn)程的安全引導(dǎo)。如果您需要為雙引導(dǎo)設(shè)置禁用安全引導(dǎo)，請(qǐng)重新安裝Ubuntu，然后可以重新啟用安全引導(dǎo)。這種最小的缺點(diǎn)不應(yīng)成為影響Secure Boot的優(yōu)勢和安全性的因素。

如何為Windows 11啟用安全引導(dǎo)？

首先，讓我們檢查安全引導(dǎo)是否已啟用。在Windows搜索菜單中搜索“msinfo32”，然后查找項(xiàng)目“安全啟動(dòng)狀態(tài)”。如果顯示ON，則安全引導(dǎo)已啟用。如果標(biāo)記為OFF，則可以在UEFI BIOS中啟用。請(qǐng)參閱主板手冊(cè)，瀏覽UEFI BIOS以啟用安全引導(dǎo)。再次檢查是否啟用了安全引導(dǎo)。如果需要禁用安全引導(dǎo)，只需進(jìn)入UEFI BIOS并禁用安全引導(dǎo)。強(qiáng)烈建議啟用安全引導(dǎo)，因?yàn)樗鼘?duì)性能或兼容性幾乎沒有影響，但禁用安全引導(dǎo)不是強(qiáng)制性的。如果最終用戶沒有下載rootkit病毒或任何惡意程序，則計(jì)算機(jī)使用不需要Secure Boot。