Включить ключ ms uefi ca, что это такое

Обновлено: 03.07.2024

Microsoft не опубликовала много подробностей о своей реализации безопасной загрузки, основанной на безопасной загрузке UEFI.

Microsoft поддерживает безопасную загрузку UEFI только в Windows 8, но это не требуется для запуска Windows 8. Системы в среде безопасной загрузки UEFI по-прежнему загружаются, если поддержка безопасной загрузки удалена из среды UEFI. Клиентам, которые хотят использовать предыдущие версии Windows, необходимо отключить безопасную загрузку, поскольку Microsoft не предоставляет для них подписанные загрузчики.

Судя по общедоступным данным, следующие цели безопасности для Microsoft Secure Boot кажутся вероятными:

защита целостности установочного носителя, который хранится на записываемом носителе (например, разделы восстановления жесткого диска),

защита пути загрузки до тех пор, пока во время ранней загрузки не будут загружены эвристические контрмеры (например, антивирусное программное обеспечение режима ядра), и

автоматическое восстановление исходного пути загрузки, возможно, после того, как система была скомпрометирована вредоносным ПО, без полной переустановки всей операционной системы.

Неясно, планируется ли ограничить доступ к определенному (онлайн) контенту системами, в которых включена безопасная загрузка UEFI и путь загрузки которых криптографически действителен. Это подразумевает аспект удаленной аттестации, который не является частью спецификации безопасной загрузки UEFI и который не может быть безопасно реализован без дополнительной аппаратной поддержки. Это также означает, что безопасная загрузка UEFI больше не является обязательной.

Нет никаких доказательств того, что Microsoft намеревалась заблокировать кого-либо с помощью своей реализации безопасной загрузки. Однако автоматическое восстановление исходного пути загрузки намного сложнее, если в одной системе могут сосуществовать другие загрузчики.

1.2.1. Детали реализации

Microsoft требует, чтобы клиентские ПК с логотипом Windows 8 включали безопасную загрузку UEFI и устанавливали ключевой материал, предоставленный Microsoft. Требуемый сертификат X.509 показан на рисунке 1.2, «Доверенный сертификат Microsoft X.509 для их реализации безопасной загрузки». Поставщикам систем рекомендуется включать другие корневые сертификаты по мере необходимости, но их присутствие не обязательно.

Рисунок 1.2. Доверенный сертификат Microsoft X.509 для реализации безопасной загрузки

Ожидается, что Microsoft в конечном итоге отправит подписанные запросы на отзыв в Центре обновления Windows. Эти запросы устанавливаются в переменные конфигурации безопасной загрузки UEFI во время следующей загрузки системы после их проверки с помощью ключа Microsoft. На момент написания этой статьи такого черного списка еще не существовало.

Сторонние загрузчики в настоящее время не имеют доступа к сертификату Microsoft Windows Production PCA 2011, который Microsoft использует для своих продуктов. Вместо этого Microsoft предоставляет службу подписи, изначально предназначенную для драйверов UEFI. Эта служба была расширена за счет включения сторонних загрузчиков. Microsoft просматривает отправленные приложения UEFI, предоставляет подпись AuthentiCode с использованием собственного ключа и отправляет результат обратно автору. Эта подпись не идентифицирует автора приложения (она является псевдонимом) и, что более важно, связана через промежуточный сертификат Microsoft Corporation UEFI CA 2011 (см. Рисунок 1.3, «Сертификат Microsoft X.509 для сторонние приложения UEFI") на корневой сертификат Microsoft Corporation Third Party Marketplace.

Предупреждение

Не гарантируется, что сторонние загрузчики UEFI будут работать в системах Microsoft Secure Boot, поскольку необходимые сертификаты не являются частью спецификации Microsoft Secure Boot.

Рисунок 1.3. Сертификат Microsoft X.509 для сторонних приложений UEFI

Обычного сертификата подписи кода недостаточно, чтобы гарантировать загрузку в системе Microsoft Secure Boot. Microsoft требует сертификат для подписи кода при общении с авторами приложений UEFI, но это внутренняя деталь, которая никак не видна конечному пользователю.

В загруженной операционной системе Microsoft Windows 8 поддерживает проверку подлинности AuthentiCode и загрузку подписанных сторонних модулей ядра. В Windows есть инфраструктура для распространения криптографической проверки на программы пользовательского пространства, опять же на основе AuthentiCode.

Создайте учетную запись в сообществе HP, чтобы персонализировать свой профиль и задать вопрос

Ваша учетная запись также позволяет вам быстрее связываться со службой поддержки HP, получать доступ к персональной панели инструментов для управления всеми вашими устройствами в одном месте, просматривать информацию о гарантии, статус обращения и многое другое.

Прошло некоторое время с тех пор, как кто-либо ответил. Просто задайте новый вопрос, если хотите снова начать обсуждение.

‎19 апреля 2016 г., 05:39


Рекомендуется HP

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отправить сообщение другу

Я разговаривал со службой поддержки, и они хотят, чтобы я отправил ноутбук обратно в ремонт, я объяснил проблему, но, видимо, они хотят увидеть это своими глазами. Возможно, они поймут, что это реальная проблема, и обновят свой код или ошибку, вызывающую такое поведение. Я буду держать всех в курсе.

‎19 апреля 2016 г., 07:36


Рекомендуется HP

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отправить сообщение другу

В OP вы говорите это

Теперь все настроено настолько, насколько позволяет BIOS включить безопасную загрузку, выйти и сохранить. Процессор перезагружается и предлагает мне подтвердить 4-значный код для включения безопасной загрузки. Я так и делаю. Компьютер перезагружается и, похоже, загружает USB-накопитель, но сразу же возвращает следующее сообщение об ошибке.

Выбранный загрузочный образ не прошел проверку подлинности.

Если вы хотите отключить безопасную загрузку, вводили ли вы для ее включения четырехзначный код?

‎11.06.2016 14:53


Рекомендуется HP

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отправить сообщение другу

Я понимаю, что это старая тема, но она поднимается вверх в результатах поиска, и на нее не опубликован реальный ответ. Я слишком долго мучился с этим на клиентском сайте и наконец получил реальный ответ.

Numlock не активируется, и при запросе 4-значного пароля машина фактически отклоняет вас, а настройки не сохраняются.

Вместо этого используйте цифровые клавиши

HP должен показать введенные числа, "пропеть" звук, а затем настройки UEFI должны сохраниться


Рекомендуется HP

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отправить сообщение другу

У меня есть некоторые из этих юнитов для изображения. Я обнаружил, что в BIOS перейдите в «Безопасность» и снимите флажок «Команда управления системой». Затем перейдите в «Дополнительно и загрузка», снимите флажок «Быстрая загрузка». Затем перейдите в «Конфигурация безопасной загрузки». Включите поддержку Legacy и отключите безопасную загрузку. Также снимите флажок Включить ключ MS UEFI CA. Затем сохраните и выйдите.

Не нажимайте никакие клавиши при перезапуске. Вам будет предложено ввести четырехзначный код. Как только вы введете его и нажмете Enter, он снова перезапустится. Затем вы можете использовать esc, чтобы вызвать другие параметры меню, такие как загрузка pxe и меню загрузки.

Эта статья является частью 1 (Windows 10 UEFI Secure Boot) новой серии статей о Windows, в которой я объясню встроенные меры безопасности, реализованные в Windows 10 для защиты этапов загрузки ОС, чтобы обеспечить целостность платформы ОС для корпоративных пользователей. вариант использования.

Введение

В своей предыдущей статье под названием «Общие сведения о проверке работоспособности устройства при проверке соответствия устройств Intune» я кратко рассказал о безопасной загрузке, целостности кода и измерении загрузки TPM. Если вы еще этого не читали, я бы порекомендовал сначала прочитать.

В этом посте я расскажу вам о безопасной загрузке UEFI и о том, как она помогает защитить предзагрузочную фазу Windows. Итак, приступим.

Patch My ПК

Классификация процессов загрузки Windows

Процесс загрузки ОС Windows можно разделить на три части:

  • Фаза перед загрузкой
  • Фаза загрузчика
  • Этап инициализации ядра

Опять же, исходя из настроек микропрограммы платформы, процесс загрузки окна можно классифицировать следующим образом

  • Традиционный/старый процесс загрузки
  • Современный/UEFI процесс загрузки

Традиционный процесс загрузки Windows — почему он небезопасен?

В традиционном/устаревшем процессе загрузки — при включении системы

  • Микропрограмма выполняет самотестирование при включении — последовательность диагностических тестов для проверки компонентов системы и определения возможности перехода системы к следующему этапу. Если все в порядке, прошивка инициализирует аппаратные компоненты.
  • Затем микропрограмма считывает загрузочную информацию с CMOS для вызова диспетчера загрузки Windows, который считывает данные конфигурации загрузки для вызова загрузчика Windows, который, в свою очередь, загружает ядро ​​ОС в ОЗУ, а ядро ​​берет на себя управление отсюда.< /li>

До Windows 10 служба Защитника Windows запускалась только после инициализации ядра — собственного антивирусного ПО, поставляемого с ОС Windows.

Таким образом, в традиционном или устаревшем процессе загрузки ни на одном этапе не реализована мера безопасности для проверки на наличие поврежденного или вредоносного кода (руткитов/буткитов) и предотвращения их выполнения во время процесса загрузки.

Таким образом, параметры загрузки можно легко изменить для запуска вредоносного кода во время процесса загрузки, что может привести к нестабильной загрузке системы или нарушению безопасности во время выполнения. Это серьезная угроза, если учесть последствия в корпоративных сценариях.

Улучшает ли Windows 10 сценарий?

В Windows 10 корпорация Майкрософт представила ряд функций безопасности, встроенных в ОС, для решения вышеперечисленных проблем и защиты процесса загрузки Windows.

  • Надежная загрузка Windows
  • Ранний запуск драйвера защиты от вредоносных программ
  • Измеряемая загрузка Windows (зависимость TPM для аттестации работоспособности)
  • Защита устройства
  • Защита учетных данных
  • Защитник приложения Widows Defender

Но функция, которая формирует основу для безопасной платформы Windows, — это безопасная загрузка, о чем в этой статье и пойдет речь.

Введите безопасную загрузку Windows 10 UEFI

Безопасная загрузка Windows 10 UEFI — функция UEFI согласно спецификации 2.3.1 errata C — помогает защитить предзагрузочную фазу Windows, снижая риски, связанные с руткитами и буткитами.

Для системы UEFI при запуске сначала проверяется наличие цифровой подписи встроенного ПО, что снижает риск руткитов встроенного ПО. Если в UEFI включена безопасная загрузка, микропрограмма проверяет цифровую подпись загрузчика, чтобы убедиться, что он не был изменен и его выполнение можно доверять.

Давайте снова пройдем тот же процесс загрузки, но на этот раз с включенной функцией безопасной загрузки в UEFI.

  • При включении устройства управление основным корнем доверия (обычно реализуется в ЦП, первый блок кода, который выполняется при включении устройства и которому неявно доверяется для формирования корня доверия) проверяет подпись загрузчика UEFI, предоставленную поставщиком SoC (System on Chip), и запускает его.
  • Загрузчик UEFI проверяет подпись образа прошивки UEFI перед его загрузкой.
  • Затем микропрограмма UEFI проверяет подписи драйверов UEFI и OEM-приложений UEFI перед их инициализацией. Затем микропрограмма проверяет подпись диспетчера загрузки Windows (bootmgfw.efi), расположенного в \EFI\Microsoft\Boot\ системного раздела EFI, и запускает его.

Если UEFI обнаружит проблему с диспетчером загрузки Windows (bootmgfw.efi), он заменит его резервной копией и попытается продолжить процесс загрузки. В случае, если это также не удается, микропрограмма UEFI инициирует указанное OEM исправление.

  • Учитывая отсутствие проблем с диспетчером загрузки Windows, bootmgfw.efi считывает данные конфигурации загрузки (BCD), расположенные в \EFI\Microsoft\Boot\BCD системного раздела EFI, чтобы найти загрузчик ОС (winload.efi), который обычно находится по адресу %SystemRoot%\System32\

Если включено шифрование устройства Bitlocker и ключ Bitlocker запечатан в TPM, в зависимости от значения измерения PCR, TPM автоматически распечатывает ключ Bitlocker для расшифровки тома ОС, чтобы диспетчер загрузки Windows мог получить доступ и вызвать загрузчик Windows. Однако если значение измерения PCR не соответствует значению, с которым был запечатан ключ, TPM не распечатывает ключ, и поэтому запускается восстановление Bitlocker.

  • Учитывая отсутствие изменений в значении измерения PCR, Bitlocker автоматически разблокирует диск ОС для bootmgfw.efi, чтобы проверить подпись winload.efi, прежде чем передать ему управление.

В случае возникновения какой-либо проблемы из-за поврежденных драйверов начальной загрузки или образа ядра NTOS микропрограмма UEFI инициирует среду восстановления Windows (WinRE) для восстановления/восстановления драйверов/ядра ОС.

Выполнение загрузчика ОС знаменует собой конец юрисдикции безопасной загрузки. Хотя его юрисдикция заканчивается, но не его роль, поскольку он закладывает основу проверки целостности кода, которая будет продолжать проверять фазу загрузки ядра ОС Windows.

Схема безопасной загрузки

Поскольку все компоненты EFI проверяются на доверие перед выполнением, создавая цепочку доверия, это помогает снизить риски руткитов/буткитов, поскольку, если подпись/хэш не соответствует базе данных подписей UEFI, выполнение будет предотвращено. устранение риска.

Защищенный процесс Secure Boot для загрузки загрузчика ОС схематично представлен ниже

Безопасная загрузка не поддерживается на устаревших платформах BIOS или UEFI с включенным режимом модуля поддержки совместимости (CSM). Он доступен только в чистом режиме UEFI.

Внутреннее устройство безопасной загрузки Windows 10 UEFI

Он основан на криптографии с открытым ключом для проверки подлинности кода перед его выполнением. Ниже представлено представление переменных UEFI Secure в соответствии с иерархией.

Компонент EFI считается доверенным, если он

Связанные ключи

  • Ключ платформы (pk)
  • База данных ключей обмена ключами (KEK)
  • База данных сигнатур (db)
  • База данных запрещенных подписей (dbx)

OEM сохраняет их в UEFI NVRAM во время производства как безопасные переменные UEFI в соответствии с разделом 7.2 спецификации UEFI 2.3.1 errata C.

Защищенная переменная UEFI хранит как ключ, так и время создания переменной или монотонный счетчик. Это делается для того, чтобы более новое обновление имело либо более позднее время, либо большее монотонное количество.

Требуется, чтобы каждый компонент EFI был подписан OEM-производителем в цифровой форме с использованием закрытого ключа, открытый ключ которого должен присутствовать в базе данных подписи UEFI (db), чтобы ему можно было доверять и разрешать выполнение на этапе загрузки. Если подпись компонента EFI не соответствует какому-либо открытому ключу, присутствующему в базе данных подписи ключа UEFI (db), или совпадает с открытым ключом, присутствующим в базе данных отозванных/запрещенных подписей (dbx), то этот компонент не может быть выполнен. и процесс загрузки останавливается.

Назначение ключа платформы (PK)

Назначение этого ключа — установить доверительные отношения между владельцем платформы (производителем ПК/OEM) и прошивкой (UEFI BIOS) и контролировать доступ к базе данных KEK. Это считается корнем доверия.

На каждой платформе может быть только один ПК. Однако по собственному усмотрению OEM-производитель может решить, будет ли он создавать уникальный PK для каждого ПК, для каждой модели ПК или для каждой линейки продуктов ПК. Открытая часть этого ключа хранится в UEFI NV-RAM OEM во время производства. Частная часть остается у OEM-производителя.

Назначение базы данных ключей обмена ключами (KEK)

Ключ KEK предназначен для установления доверительных отношений между ОС (и каждым сторонним приложением, которому требуется обмен данными с прошивкой) и прошивкой. Частная часть KEK (KEK_Priv) используется для обновления/изменения баз данных сигнатур или подписания двоичных файлов для действительного выполнения. OEM регистрирует открытую часть ключа (KEK_Pub) в UEFI NV-RAM.

База данных KEK может содержать несколько ключей типа x.509 или RSA-2048, любой из которых может выполнять функцию KEK и защищен PK_Pub. Любое обновление базы данных KEK должно быть подписано с помощью PK_Priv, и поэтому обычно OEM-производитель обновляет содержимое базы данных KEK с помощью обновлений прошивки, которые подписаны ключом EK_Priv или безопасным обновлением прошивки, как известно.

Хотя для каждой платформы может быть несколько KEK, в основном все OEM-производители ПК включают

  • Корпорация Microsoft KEK CA 2011 как KEK_Pub, которая позволяет Microsoft управлять списком загрузчиков ОС, разрешенных для безопасной загрузки, а также обновлять базы данных сигнатур, чтобы разрешить более новые версии Windows или отозвать неверные образы.
  • специальный KEK OEM-производителя, который также позволяет OEM-производителю обновлять базы данных сигнатур

Таким образом, с помощью безопасной загрузки Microsoft каким-то образом контролирует разрешенную ОС, которая может загружаться на платформе. По этой причине при включенной безопасной загрузке у вас не может быть системы с двойной загрузкой, если загрузчик 2-й ОС подписан или не подписан пользователем или не подписан Microsoft.

Назначение базы данных сигнатур (db)

Эта переменная UEFI Secure используется для хранения набора ключей, подписей или хэшей, которым доверяют. Подпись двоичного файла EFI (или хэш SHA265, если подпись отсутствует) сравнивается с записями, хранящимися в этой переменной, и разрешается выполняться, если найдено только совпадение. Содержимое этой переменной UEFI можно обновить, только подписав дескриптор аутентификации с помощью KEK_Priv, при условии, что KEK_Pub присутствует в KEK_db.

Назначение базы данных запрещенных подписей (dbx)

Эта переменная UEFI Secure используется для хранения набора ключей, подписей или хэшей, которые, как известно, являются вредоносными или ненадежными. Подпись двоичного файла EFI (или хэш SHA265, если подпись отсутствует) сравнивается с записями, хранящимися в этой переменной, и, если совпадение найдено, выполнение отклоняется. Бинарные файлы EFI, которые не подписаны и не имеют хэша ни в db, ни в dbx, автоматически отказываются выполняться. Как и в случае с db, содержимое этой переменной UEFI можно обновить только путем подписания дескриптора аутентификации с помощью KEK_Priv при условии, что KEK_Pub присутствует в KEK_db.

Проверка переменных безопасной загрузки UEFI в вашей системе…

Я использовал инструмент под названием Insyde® UEFI Secure Boot Checkup, чтобы проверить содержимое безопасной переменной UEFI. Программа предназначена только для диагностики и не может вносить какие-либо изменения в конфигурацию безопасной загрузки.

Как видно, ПК принадлежит Lenovo, OEM-производителю моей системы.

Присутствуют два KEK — один от OEM (Lenovo) и один от Microsoft (Microsoft Corporation KEK CA 2011), которые позволяют обновлять/изменять базу данных сигнатур (db) и базу данных отозванных сигнатур (dbx).

База данных сигнатур (db) имеет 4 сертификата –

  • 3 зависят от поставщика (от Lenovo), что позволяет инициализировать прошивку UEFI с помощью приложений Lenovo UEFI и корневых драйверов Lenovo.
  • Сертификат Microsoft Windows Production PCA 2011, используемый Microsoft для подписи диспетчера загрузки Windows EFI (bootmgfw.efi) и загрузчика Windows EFI (winload.efi)

Однако база данных сигнатур не включает сертификат Microsoft Corporation UEFI CA 2011, который Microsoft использует для подписи загрузчиков ОС других производителей.

Поэтому моя система не позволяет загружать ОС от сторонних поставщиков с включенной безопасной загрузкой.

Что делать, если вам нужно запустить пользовательскую ОС или дистрибутив Linux?

У вас есть следующие варианты

  • Отключить безопасную загрузку (не рекомендуется)
  • Подпишите пользовательский загрузчик ОС с помощью службы подписи Microsoft Secure Boot (Проверьте наличие Microsoft Corporation UEFI CA 2011 в базе данных разрешенных подписей, иначе это тоже не сработает)
  • Очистите безопасные переменные UEFI, чтобы сбросить все значения и добавить собственные ключи (только для опытных пользователей)

Это связано с тем, что для обновления/изменения содержимого базы данных сигнатур (db) требуется наличие KEK_Priv, который должен совпадать с KEK_Pub, хранящимся в базе данных KEK. Теперь для обновления/изменения базы данных KEK требуется PK_Priv, который принадлежит OEM-производителю и не может быть извлечен пользователем.

Согласно спецификации UEFI версии 2.7, раздел 31.3.2, очистка ключа платформы возможна через

  • Подписание нового ПК с помощью существующего ПК (PK_Priv), что невозможно для физического лица. Он используется OEM-производителем через капсулы обновления встроенного ПО для обновления платформы с помощью нового ПК, если существующий ПК каким-либо образом скомпрометирован.
  • Использование утилит настройки UEFI для загрузки UEFI в режим настройки, но эта функция зависит от поддержки встроенного ПО и не является универсальной.
  • Использование специальных инструментов для очистки содержимого переменной безопасности UEFI. Для этого у Intel есть SYSCFG, который работает на платформах Intel. Или, если вам удобно работать в Linux, вы можете использовать efitools, чтобы очистить переменные безопасной загрузки и добавить в них свои собственные.

Конец? Продолжение…

Если вы дочитали до этого момента, то теперь у вас есть четкое представление и знания о безопасной загрузке UEFI и о том, как она помогает защитить предзагрузочную фазу Windows 10.

В следующей статье этой серии я продолжу этап инициализации ядра Windows, объясняя роль доверенной загрузки Windows/целостности кода и ELAM, которые используют преимущества основы, предоставляемой безопасной загрузкой UEFI.

Идея функции безопасной загрузки UEFI заключается в том, чтобы гарантировать, что устройство сможет запускать только доверенный код, по крайней мере, до тех пор, пока операционная система не будет запущена и не сможет самостоятельно определить это. Функция работает на уровне прошивки и помогает защититься от руткитов — пока прошивка является доверенной (т. е. никто не устанавливал кастомную прошивку без вашего ведома, поэтому важно ограничить доступ к прошивке), эта прошивка сохранит устройство. от запуска вредоносного ПО.

Но как прошивка устройства определяет, что она разрешает запускать (при условии, что вы не отключили безопасную загрузку, что означает «запускайте все, что хотите»)? Это делается на основе сертификатов, предварительно загруженных на устройство в конфигурацию UEFI «db», которая действует как «разрешающий» список — все, что подписано одним из этих сертификатов, будет разрешено запускать.

Но какие сертификаты есть в этом списке? Согласно документации Microsoft по запуску Windows на устройстве, их должно быть как минимум два:

  • Microsoft Windows Production PCA 2011. Загрузчик Windows (bootmgr.efi) подписан с его помощью, что позволяет запускать Windows (и Windows PE).
  • Microsoft Corporation UEFI CA 2011. Этот сертификат используется Microsoft для подписи загрузчиков UEFI сторонних производителей, например, используемых для загрузки Linux или других операционных систем. Технически он описывается как «необязательный», но было бы необычно найти устройство, в котором его нет. (Устройства Windows RT, если вы их помните, не включали этот или какие-либо другие сертификаты, поэтому в результате на нем работала только Windows RT. Посмотрим, какие сертификаты включены в устройства Windows 10x…)

После этого OEM-производители могут свободно добавлять свои собственные дополнительные сертификаты, чтобы они могли запускать свои собственные компоненты микропрограммы (например, меню, которые вы получаете, когда входите в настройку «BIOS»). Если я посмотрю на некоторые из своих устройств, я увижу этот вариант. С моего Lenovo ThinkStation P620:


На виртуальной машине VMware список другой:


Но если я посмотрю на свою виртуальную машину Hyper-V, я увижу только одну:


Это не означает, что Hyper-V не может работать с другими операционными системами — очевидно, что может. Существует параметр конфигурации для управления доступными сертификатами:


Если я изменю это значение с «Microsoft Windows» (значение по умолчанию, соответствующее производственному сертификату Windows) на «Центр сертификации Microsoft UEFI», то вы увидите только второй сертификат — если вы можете заставить Windows загружаться, что вы не может без первого сертификата. Так что это сложная конфигурация, если вы хотите запускать разные ОС на одной виртуальной машине.

Интересно, что устройства Surface, которые я пробовал, которые теоретически используют ту же прошивку, что и Hyper-V, имеют разные параметры: они позволяют выбрать «Только Microsoft», «Microsoft и сторонний ЦС» и «Нет» в настройки прошивки. Это более гибкая настройка, поскольку она означает «только Windows» или «Windows и другие компоненты».

Если вы случайно отключили безопасную загрузку, вы не сможете увидеть, какие сертификаты есть, потому что, когда вы проверяете переменную UEFI «db», ее там нет. Поэтому включите его, а затем проверьте (при условии, что вы можете загрузиться).

Если вам интересно, откуда берется этот командлет Get-UEFISecureBootCerts, то он из нового модуля UEFIv2, который я опубликовал сегодня утром в галерее PowerShell. Так что попробуйте сами. Этот новый командлет следует спецификации UEFI для декодирования содержимого переменной UEFI «db» для извлечения сведений о сертификате.

Хорошо, вернемся к исходному вопросу: кто контролирует, что может работать на устройстве, когда включена безопасная загрузка? (Пока вы можете отключить безопасную загрузку, у вас всегда есть окончательные полномочия.) Как видно из вышеизложенного, это Microsoft и OEM-производители. И поскольку вы, вероятно, не хотите иметь загрузчик OEM или конкретной модели, это фактически означает, что это Microsoft. Только двоичные файлы Windows подписываются с помощью сертификата «Windows Production», но любой может получить код, подписанный с использованием сертификата «UEFI», если вы соответствуете требованиям Microsoft. Вы можете получить представление о том, что влекут за собой эти требования, из этого сообщения в блоге. Это нетривиальный процесс, потому что ваш код проверяется корпорацией Майкрософт.

Читайте также: