我是一名普通的计算机用户,因此不太明白这是怎么回事,但我想知道。有人可以向我解释一下吗:
- Windows 8/UEFI 安全启动会使得在 Windows 8 中无法运行普通/旧版应用程序(因为它们未经签名)?
- 它会将 Windows 变成类似苹果的系统,只有微软批准的应用程序才能运行吗?
正如我所说,我是一名普通用户,这是我阅读所有关于它的博客等后得到的总体印象。
另一方面,如果它所做的只是确保系统正在启动已签名的操作系统,那么考虑到大多数恶意软件不是启动过程的一部分,它如何防止恶意软件(我读过的至少两篇 Microsoft 博客似乎就是这么说的)?我认为唯一有意义的方法是确保所有操作系统组件都已签名。是这样吗?
就像我说的,我是一个凡人,所以请不要用技术手段来对付我,而是解释它将如何影响我这个用户。
答案1
它会成功可能的微软与特定主板供应商合作,锁定特定主板型号,使其仅启动使用微软提供的密钥签名的操作系统。安装操作系统后,您仍然可以运行任何您想要的应用程序。唯一被锁定的是引导加载程序。
目前,没有主板供应商计划进行此类锁定,一些供应商表示强烈不愿意允许这样做,微软声称他们不要求任何此类锁定。至少在未来十年左右的时间里,您都是安全的。
即使等式发生变化并且确实开始发生这种锁定,由于 PC 硬件和操作环境相对开放且易于访问,因此破解所需的数字签名锁对于黑客来说是一个相对简单的操作。
更可能发生的情况是,大型 IT 部门正在寻求一种方法来防止机构拥有的设备的用户安装未经批准的操作系统。我们可能会看到供应商提供定制锁定,他们使用 IT 部门提供的密钥预设主板,而 Microsoft 则在 sysprep 中添加一项功能,允许 IT 部门在其安装程序映像中使用匹配的密钥。
最大的副作用是,许多此类企业也租赁设备,而租赁期已满 3 年的商品市场规模巨大且不断增长。锁定主板可能会影响此类设备的价值。
答案2
首先,一些定义:
安全启动是 UEFI 的一项功能,它允许固件验证引导加载程序是否经过加密签名,并且证书可以追溯到固件中存储的根证书之一。此功能可防止在启用此功能的平台上出现未经授权的引导加载程序。只有极少数恶意软件会以任何方式使用引导加载程序。
从 Windows工程团队博客:
对于 Windows 客户,微软正在使用 Windows 认证计划来确保搭载 Windows 8 的系统默认启用安全启动,这样固件就不会允许程序控制安全启动(防止恶意软件禁用固件中的安全策略),以及 OEM 防止未经授权的固件更新尝试,因为这可能会损害系统完整性。
这意味着没有什么可以阻止 OEM(计算机制造商)包含“BIOS”功能,该功能可通过用户界面启用/禁用安全启动。(我使用引号是因为没有更好的预启动环境名称来配置计算机设置。它现在被称为 BIOS,但我怀疑人们会将 UEFI 称为“UEFI”)因此,您将能够启动 Linux 或使用其他未签名的引导加载程序。当然,该功能将如何实现还有待观察。
我认为此功能将被一些 OEM 用来完全锁定他们的计算机。如果您无法使用任何除了某些授权的可启动媒体外,您无法真正切换到其他操作系统,甚至无法从非 OEM 提供的磁盘安装 Windows。但对于绝大多数用户来说,什么都不会改变,因为此功能对他们的影响很小。