Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Корпорация Майкрософт обновляет сертификаты безопасной загрузки, первоначально выданные в 2011 году, чтобы устройства Windows продолжали проверять надежное программное обеспечение загрузки. Срок действия этих старых сертификатов начинается в июне 2026 года. Чтобы избежать нарушений, ознакомьтесь с рекомендациями и выполните действия по обновлению сертификатов заранее.
Безопасная загрузка — это стандарт безопасности, разработанный членами отрасли компьютеров, чтобы убедиться, что загрузка устройства с использованием только программного обеспечения, доверенного изготовителем исходного оборудования (OEM). При запуске компьютера встроенное ПО проверяет подпись каждого компонента загрузочного программного обеспечения, включая драйверы микропрограммы UEFI (также известные как Option ROM), приложения EFI и операционную систему. Если подписи действительны, компьютер загружается, и микропрограмма передает управление операционной системе.
OEM может использовать инструкции от производителя встроенного ПО для создания безопасных ключей загрузки и хранения их в встроенном ПО компьютера. При добавлении драйверов UEFI необходимо также убедиться, что они подписаны и включены в базу данных безопасной загрузки.
Сведения о том, как работает безопасный процесс загрузки, включает в себя доверенные загрузки и измеряемую загрузку, см. в разделе "Защита процесса загрузки Windows 10".
Требования к безопасной загрузке
Чтобы поддерживать безопасную загрузку, необходимо указать следующее.
| Требования к оборудованию | Сведения |
|---|---|
| Переменные UEFI версии 2.3.1 Errata C | Переменные должны иметь значение SecureBoot=1 и SetupMode=0 с базой данных сигнатуры (EFI_IMAGE_SECURITY_DATABASE), необходимой для безопасной загрузки компьютера, предварительно подготовленной, и включая PK, заданный в допустимой базе данных KEK. Чтобы узнать больше, выполните поиск требований к системе System.Fundamentals.Firmware.UEFISecureBoot в PDF-версии спецификаций и политик программы совместимости оборудования Windows. |
| Раздел 27 UEFI версии 2.3.1 | Платформа должна предоставлять интерфейс, соответствующий профилю UEFI версии 2.3.1 раздела 27. |
| База данных подписи UEFI | Платформа должна поставляться с правильными ключами в базе данных подписи UEFI (db), чтобы Windows могла загружаться. Он также должен поддерживать защищенные обновления, прошедшие проверку подлинности для баз данных. Хранение безопасных переменных должно быть изолировано от работающей операционной системы, чтобы их нельзя было изменять без обнаружения. |
| Подпись встроенного ПО | Все компоненты встроенного ПО должны быть подписаны по крайней мере RSA-2048 с SHA-256. |
| Диспетчер загрузки | При включении питания система должна начать выполнение кода в встроенном ПО и использовать криптографию открытого ключа согласно политике алгоритма, чтобы проверить подписи всех образов в последовательности загрузки до и включая Windows Boot Manager. |
| Защита от возврата к предыдущей версии | Система должна защититься от отката встроенного ПО до более старых версий. |
| EFI_HASH_PROTOCOL | Платформа предоставляет EFI_HASH_PROTOCOL (в соответствии с UEFI версии 2.3.1) для переноса криптографических хэш-операций и EFI_RNG_PROTOCOL (определенный Microsoft) для доступа к энтропии платформы. |
Базы данных и ключи подписи
Перед развертыванием компьютера в качестве изготовителя оборудования храните базы данных безопасной загрузки на компьютере. К ним относятся база данных подписей (db), база данных отозванных подписей (dbx) и база данных ключей регистрации (KEK). Эти базы данных хранятся в энергонезависимой ОЗУ микропрограммы (NV-RAM) во время производства.
База данных подписи (db) и отозванная база данных подписей (dbx) перечисляют подписи или хэши изображений приложений UEFI, загрузчики операционной системы (например, загрузчик операционной системы Майкрософт или диспетчер загрузки) и драйверы UEFI, которые можно загрузить на устройство. Список отозванных содержит элементы, которые больше не считаются доверенными и не могут быть загружены. Если хэш изображения находится в обеих базах данных, база данных отозванных подписок (dbx) имеет приоритет.
База данных ключа регистрации ключей (KEK) — это отдельная база данных ключей подписывания, которую можно использовать для обновления базы данных подписи и отзыва базы данных подписей. Корпорация Майкрософт требует, чтобы указанный ключ был включен в базу данных KEK, чтобы в будущем Корпорация Майкрософт может добавить новые операционные системы в базу данных подписи или добавить известные плохие образы в базу данных отозванных подписей.
После добавления этих баз данных после окончательной проверки и тестирования встроенного ПО ИЗГОТОВИТЕЛЬ блокирует встроенное ПО от редактирования, за исключением обновлений, подписанных правильным ключом или обновлениями физического пользователя, использующего меню встроенного ПО, а затем создает ключ платформы (PK). PK можно использовать для подписи обновлений KEK или отключения Secure Boot.
Вы должны обратиться к изготовителю встроенного ПО для получения инструментов и помощи в создании этих баз данных.
Последовательность загрузки
- После включения компьютера базы данных подписи проверяются на ключ платформы.
- Если встроенное ПО не является доверенным, встроенное ПО UEFI должно инициировать восстановление, специфичное для OEM, чтобы восстановить доверенное встроенное ПО.
- Если возникла проблема с диспетчером загрузки Windows, встроенное ПО попытается загрузить резервную копию диспетчера загрузки Windows. Если это также не удается, встроенное ПО должно инициировать восстановление для OEM.
- После запуска диспетчера загрузки Windows, если возникла проблема с драйверами или ядром NTOS, среда восстановления Windows (Windows RE) загружается таким образом, чтобы эти драйверы или образ ядра можно было восстановить.
- Windows загружает антивредоносное программное обеспечение.
- Windows загружает другие драйверы ядра и инициализирует процессы пользовательского режима.