我理解 PXE 是通过使用 UDP 上的 TFTP 来实现的 - 这两种协议都不验证完整性,而完整性对于操作系统之类的东西来说似乎很重要 - 在操作系统启动之前,是否在其他地方进行过某种完整性检查?每个操作系统是否都应该先进行自己的完整性检查?(这似乎是个坏主意) - 或者由于某种原因,它不够重要?
答案1
PXE 只是“基于网络的配置环境”的一部分...PXE 现在可以通过安全启动(UEFI)进行保护,过去可以通过 BIS 规范进行保护。
当启动链中的最后一个 NBP(网络启动程序)停止使用 PXE API(应用程序接口)时,PXE 角色停止,从那一刻起,安全性必须由正在启动/部署的软件组件来实现。
如今,“基于网络的配置环境”如 WDS/MDT/SCCM 具有许多安全功能,如 DHCP MAC 和架构过滤器、域限制等等等等……