跳至主要內容
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單

Suojatun käynnistyksen yleiskatsaus

摘要: Yleiskatsaus suojatusta käynnistyksestä ja siihen liittyvästä sanastosta.

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。

症狀

Artikkelissa on tietoja suojatusta käynnistyksestä ja sen sovelluksista Linuxissa sekä erityisesti RHEL 7 -käyttöjärjestelmässä. Lisäksi artikkelissa on tietoja Linuxin niin kutsutusta luotetun ytimen käynnistyksestä ja sen merkityksestä käyttäjätilan sovelluksille.  

Suojatun käynnistyksen tarkoituksena on estää tilanne, jossa käynnistyksen aikana asentuu esimerkiksi valinnaisten ROMien tai pääkäynnistystietueiden kautta piilohallintaohjelmia, jotka kaappaavat järjestelmän hallinnan ja pysyvät piilossa haittaohjelmien torjuntaohjelmistoilta.  Tämä ongelma on yleistynyt, ja se on merkittävä tietojen menetyksen/vioittumisen sekä tietovarkauksien aiheuttaja. Haittaohjelma voi latautua BIOSin ja käyttöjärjestelmän käynnistysohjelman välissä. Se voi latautua myös käynnistysohjelman ja käyttöjärjestelmän välissä.

UEFI on modernien palvelinympäristöjen uusi laitteisto-/ohjelmistokäyttöliittymästandardi. Se tarjoaa monipuolisia modulaarisia ja tavallisia käyttöliittymiä, joihin riippumattomat laitteistotoimittajat voivat kehittää laiteohjaimia. Ohjaimet toimivat saumattomasti UEFIn esikäynnistysympäristössä, joka on perinteistä BIOS-ympäristöä joustavampi. UEFIn käyttö yleistyy jatkuvasti eri käyttöjärjestelmissä ja ympäristöissä, ja useat työasemien ja palvelimien merkittävimmät käyttöjärjestelmäversiot tukevat sitä. 

Microsoft kehitti UEFI-standardissa tavan estää piilohallintaohjelmia asentumasta käynnistyksen aikana käyttämällä ainoastaan muokkaamattomia ja ympäristön tunnistamia binaaritiedostoja. Mekanismia kutsutaan suojatuksi käynnistykseksi. Katso lisätietoja Microsoftin suojatusta käynnistyksestä. Muut käyttöjärjestelmien valmistajat ovat kehittäneet omat tapansa soveltaa suojattua käynnistystä. 

Suojatut UEFI-ympäristöt lataavat ainoastaan muokkaamattomia ja luotettuja ohjelmistojen binaaritiedostoja, kuten valinnaisia ROM-ohjaimia, käynnistysohjelmia ja käyttöjärjestelmän käynnistysohjelmia.  Lisätietoja suojatun käynnistyksen mekanismista on UEFI-standardissa.  

UEFIn suojattu käynnistys:

Suojatun käynnistyksen edellyttämä infrastruktuuri on määritelty UEFI-standardissa. Seuraavassa on lyhyt esittely suojatun käynnistyksen sanastosta niille, jotka haluavat ymmärtää toimintoa paremmin.

Suojattu käynnistys ei suojaa järjestelmää tai sen tietoja, kun se on käynnissä. Suojattu käynnistys keskeyttää käyttöjärjestelmän käynnistymisen, jos jotain käynnistysprosessin osaa ei pystytä todentamaan. Näin estetään piilotettujen haittaohjelmien käynnistyminen.

Seuraavassa on joitakin suojatun käynnistyksen avaintermejä. Lisätietoja termeistä on UEFI-standardissa. Standardissa kuvataan yksityiskohtaisesti, miten binaaritiedostot allekirjoitetaan. Katso erityisesti osiota 28.

Authenticated Variables: UEFIssa on Authenticated Variables- eli todennettujen muuttujien palvelu, mikä tarkoittaa, että ainoastaan varmennettu moduuli tai todennettu koodin moduuli (eli moduuli, jolla on avainvarmenne) voi kirjoittaa järjestelmään. Muuttujia voi kuitenkin lukea vapaasti.

Platform Key (PK): Platform Key -avain luo luottamussuhteen ympäristön omistajan ja valmistajan siihen asentaman laiteohjelmiston välille.

KEK: Key Exchange Key -avain luo luottamussuhteen käyttöjärjestelmän ja ympäristön laiteohjelmiston välille. KEK-avaimia asennetaan ympäristöön käyttöjärjestelmän ja/tai sellaisten kolmannen osapuolen osien toimesta, jotka haluavat viestiä ympäristön laiteohjelmiston kanssa.

DB: vahvistettu tietokanta, jossa säilytetään sellaisten koodin moduulien julkisia avaimia ja varmenteita, jotka on hyväksytty viestimään ympäristön laiteohjelmiston kanssa.

DBX: kiellettyjen varmenteiden tietokanta. Järjestelmä estää näitä varmenteita vastaavia koodin moduuleita latautumasta.

Signature: allekirjoitus, joka muodostuu yksityisestä avaimesta sekä allekirjoitettavan binaaritiedoston hajautusarvosta.

Certificate: Authenticode-varmenne, joka sisältää allekirjoitukseen käytettävää yksityistä avainta vastaavan julkisen avaimen.    

UEFI-ympäristön laiteohjelmisto lataa ainoastaan sellaiset kolmannen osapuolen ohjaimet, valinnaiset ROMit ja käyttöjärjestelmän käynnistysohjelmat, jotka varmenteen tarjoaja eli Microsoft on allekirjoittanut. Mikä tahansa laitevalmistaja voi valmistaa UEFI BIOS -ohjaimia ja hankkia niille Microsoftin allekirjoituksen, jotta ne voidaan suorittaa UEFI-ympäristössä.  Alkuperäiset laitevalmistajat asentavat ympäristön tietokantaan julkisen avaimen, ja UEFIn käynnistysprotokollapalvelu tarkistaa allekirjoituksen vahvistetusta tietokannasta ennen binaaritiedoston suorittamista. Tämä todennusketju jatkuu UEFIsta käyttöjärjestelmän käynnistysohjelmaan ja lopulta käyttöjärjestelmään.

Yhteenvetona voidaan todeta, että UEFIssa voi suorittaa ainoastaan sellaisia käyttöjärjestelmän käynnistysohjelmia, jotka on allekirjoitettu ja joiden avain löytyy vahvistetusta tietokannasta. Avainmekanismi auttaa varmistamaan, että käyttöjärjestelmän käynnistysohjelmat ja valinnaiset ROMit saavat käynnistyä ainoastaan, jos ne ovat todennettuja ja muokkaamattomia.

SLN311108_fi__1i_OS&Application_Secure_Boot_overview_vb_v1
Kuva 1: UEFI-ympäristön laiteohjelmisto

文章屬性
文章編號: 000145423
文章類型: Solution
上次修改時間: 21 2月 2021
版本:  3
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。