設為首頁收藏NoName Information Team 無名資訊團隊
開啟輔助訪問

NoName Team 電腦資訊討論區

 找回密碼
 我要註冊
搜索
NoName Team 電腦資訊討論區»論壇 Windows PE 討論區 綜合討論區 請益Secure Boot 預設Enable問題!!
返回列表 發新帖
查看: 4810|回復: 9

[問題] 請益Secure Boot 預設Enable問題!!

[複製鏈接]
bear1alex1
發表於 2016-8-4 22:39:54 | 顯示全部樓層 |閱讀模式
朋友們,請益Secure Boot預設Enable的話,現今還是只有BCD能通過預設嗎?(不修改出廠BIOS預設值的話)
如果真的只有BCD可通過的話,那麼Kon-Boot與Memtest這兩套能否以UEFI形式,通過Secure Boot預設Enable呢??


以BCD載它們?
回復

舉報

阿達金田一
發表於 2016-8-5 00:41:42 | 顯示全部樓層
應該是不行
https://technet.microsoft.com/en-us/library/dn747883.aspx

以上是微軟的說明...因為英文我也不是看的很懂
用 google 翻整個網頁去看...  還有看圖

Secure Boot 主要是4個檢查步驟 (圖片中的 1 2 3 4)


The Secure Boot process works as follows and as shown in Figure 1:
        
  •             Firmware Boot Components: The firmware verifies the OS loader is trusted (Windows 8.1 or another trusted operating system.)
  •             Windows boot components: BootMgr, WinLoad, Windows Kernel Startup. Windows boot components verify the signature on each component. Any non-trusted components will not be loaded and instead will trigger Secure Boot remediation.
    • Antivirus and Antimalware Software initialization: This software is checked for a special signature issued by Microsoft verifying that it is a trusted boot critical driver, and will launch early in the boot process.
    • Boot Critical Driver initialization: The signatures on all Boot-critical drivers are checked as part of Secure Boot verification in WinLoad.
  •             Additional OS Initialization
  •             Windows Logon Screen


google 翻譯
安全引導過程如下並且如圖1中所示:
  •   固件啟動組件:固件驗證的操作系統加載器是可信的(是Windows 8.1或其他可信任的操作系統。)
  •   Windows啟動組件:bootmgr的,的WinLoad,Windows內核啟動 Windows啟動組件驗證每個組件上的簽名。 任何不信任的組件將不會被加載,反而會引發安全啟動整治。
    •   防病毒和反惡意軟件初始化:該軟件檢查由微軟發布一個特殊的簽名核實,這是一個值得信賴的啟動關鍵驅動程序,並會在啟動過程的早期推出。
    •   引導關鍵驅動程序初始化:所有的啟動關鍵驅動程序的簽名簽在的WinLoad安全引導驗證的一部分。
  •   其他操作系統初始化
  •   Windows登錄屏幕

也就是 bootmgr  -> winload  -> .... 每一個加載的...都是會被驗證(檢查) 簽名(認証)

所以...如果用 bootmgr 去載入....其它 efi ... 該 efi 大概也是要有 簽名 才能 ... (不然這個安全機制不就廢了...)
回復 支持 反對

舉報

2567288
發表於 2016-8-5 00:44:01 | 顯示全部樓層
不一定只有 bcd 才可以 , acronis true image 的救援光碟也可以
Kon-Boo  Memtest 本身就是 efi 檔 , bcd 應該沒辦法加載 , 但是可以直接以 efi 的方式啟動 , Secure Boot預設Enable 應該也沒辦法
回復 支持 反對

舉報

bear1alex1
 樓主| 發表於 2016-8-5 09:04:32 | 顯示全部樓層
阿達金田一 發表於 2016-8-5 00:41
應該是不行
https://technet.microsoft.com/en-us/library/dn747883.aspx

感謝,知道答案就好了,還有一個小疑問,那就是未來會有可能BCD以外也可通過Secure Boot呢??譬如說是GRUB2...等
回復 支持 反對

舉報

bear1alex1
 樓主| 發表於 2016-8-5 09:05:09 | 顯示全部樓層
2567288 發表於 2016-8-5 00:44
不一定只有 bcd 才可以 , acronis true image 的救援光碟也可以
Kon-Boo  Memtest 本身就是 efi 檔 , bcd  ...

acronis true image 的救援光碟,可通過喔??他是如何引導?
也是請BCD來引導嗎??
回復 支持 反對

舉報

阿達金田一
發表於 2016-8-5 13:36:53 | 顯示全部樓層
本帖最後由 阿達金田一 於 2016-8-5 13:53 編輯

其實...只要有 合法/安全(可以通過 Secure Boot 的) 的 簽名 ... 就可以通過...
簡單說 bootmgr.efi 有 M$ 的簽名 , winload.efi 有 M$ 的簽名
win 的 memtest.efi 也有 M$ 的簽名

所以...如果 grub2.efi 或 其它 efi 可以有 簽名 ... 一樣是可以通過 Secure Boot

問題是...這其實有點像 Driver 的 數位簽章 ...
一個 Driver 還要 M$ 的認証... 不然系統會說...這個 Driver  不安全...當然可以選擇不檢查 數位簽章
至於怎麼搞到這個 簽章...就要問 M$ 了

這和 UEFI Secure Boot ... efi 要有 M$ 合法的 簽名 一樣... 當然...可以選擇關閉 Secure Boot

其實 Secure Boot ... 我個人覺的... 應該也是 數位簽章 的應用 (或者說是 類似方式)
只是它是用在 UEFI 開機 而以 ...

另外 uefi bootmgr 好像也不能去執行其它 efi ... 目前是沒看到有人試出來...
回復 支持 反對

舉報

jerry20530
發表於 2016-8-5 13:50:31 | 顯示全部樓層
阿達金田一 發表於 2016-8-5 13:36
其實...只要有 簽名 ... 就可以通過...
簡單說 bootmgr.efi 有 M$ 的簽名 , winload.efi 有 M$ 的簽名
win  ...

所以 grub2.efi 有簽名 Secure Boot on 就可以啟動第三方的開機工具嗎?
還是 第三方工具(efi檔) 也要有簽名才能在 Secure Boot on 上面啟動??.....
回復 支持 反對

舉報

阿達金田一
發表於 2016-8-5 13:55:26 | 顯示全部樓層
jerry20530 發表於 2016-8-5 13:50
所以 grub2.efi 有簽名 Secure Boot on 就可以啟動第三方的開機工具嗎?
還是 第三方工具(efi檔) 也要有簽 ...

應該是都要有才可以

簡單說...應該是執行每一個 efi 程式時 ... uefi bios 都會檢查吧
所以 MemTest86 efi 若沒簽名...也沒用
回復 支持 反對

舉報

2567288
發表於 2016-8-6 01:02:34 | 顯示全部樓層
這個要每個單一 efi 都要有簽名才可以
acronis true image 可以 , 是因為每一個單項都有簽名檔 sgnxx.sgn

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?我要註冊

x
回復 支持 反對

舉報

阿達金田一
發表於 2016-8-6 03:14:03 | 顯示全部樓層
本帖最後由 阿達金田一 於 2016-8-6 03:16 編輯
2567288 發表於 2016-8-6 01:02
這個要每個單一 efi 都要有簽名才可以
acronis true image 可以 , 是因為每一個單項都有簽名檔 sgnxx.sgn
...

個人覺的...好像不是你貼的那樣

http://frankuefi.blogspot.tw/201 ... t-secure-flash.html

簽名 應該是在 efi 中...不是一個 sgn file ...
而且...你貼的那個 sgn file ... 也要先載入 boot loader efi ... 才會去讀 xml
等 loader 選完...才會去載入 sgn file 吧
所以那個 sgn file ...應該是 ATI 的 OS(linux) 用的...(這到有可能是 ATI OS 的  Secure Boot 的 簽名)

就如同 win ... bootmgr.efi (bootmgrfw.efi)  -> winload.efi -> win 核心
bootmgr winload win核心 3個都要 簽名 ...
而 win核心... 不是 efi ... 是否是用 簽名檔 這我不清楚...不過有可能

ATI 的 sgn 大概也是類似...不過 efi 本身應該也要有簽名

也就是說 ATI 的 boot loader efi 應該也有簽名...所以才能正常運作
然會去載入 設定的 xml file  ...
而 xml file 指定了 ATI OS (linux) 的 ramdisk 和 OS 核心(kernel ) ... 以及 OS 簽名檔 (sgn file)

所以我指的 efi 沒 簽名... 是指 efi 本身不含 簽名 資訊 ( 數位簽章 ?) ... 或是 簽名不合法(無法通過 Bios 的 Secure Boot)
而不是 efi 要 sgn file
回復 支持 反對

舉報

返回列表 發新帖
高級模式
B Color Image Link Quote Code Smilies
您需要登錄後才可以回帖 登錄 | 我要註冊

本版積分規則

小黑屋|手機版|NoName Team 電腦資訊討論區 |網站地圖

GMT+8, 2025-8-19 02:22 , Processed in 0.114360 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表