secure-boot
如何修复错误:“失败:无法加载驱动程序‘\efi\rufus\exfat_x64.efi’:[26] 安全违规”
我正在尝试重新安装 Windows 10,但简短的 DST 测试失败,并且显示Unable to load driver '\efi\rufus\exfat_x64.efi': [26] Security Violation。 我的笔记本电脑是 HP EliteBook 840 G3 1TB HDD ...
![如何修复错误:“失败:无法加载驱动程序‘\efi\rufus\exfat_x64.efi’:[26] 安全违规”](https://linux22.com/image/1706282/%E5%A6%82%E4%BD%95%E4%BF%AE%E5%A4%8D%E9%94%99%E8%AF%AF%EF%BC%9A%E2%80%9C%E5%A4%B1%E8%B4%A5%EF%BC%9A%E6%97%A0%E6%B3%95%E5%8A%A0%E8%BD%BD%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E2%80%98%5Cefi%5Crufus%5Cexfat_x64.efi%E2%80%99%EF%BC%9A%5B26%5D%20%E5%AE%89%E5%85%A8%E8%BF%9D%E8%A7%84%E2%80%9D.png)
secure-boot
secure-boot
为什么在完成 BIOS CMS 工作后接受 BitLocker PIN 后 Windows 无法启动(启动循环)?
有时可能需要启动一个需要在 BIOS 中启用 CMS 模式的应用程序(如 SpinRite)。由于大多数 Windows 现代安装都是具有安全启动的 UEFI,因此这需要更改 BIOS。 这个问题是关于从 CMS 模式切换回 UEFI 启动模式(在完成 CMS 启动应用程序工作之后)并处理意外问题。 前: 在 Microsoft Windows 具有 BitLocker 加密的系统驱动器时更改 BIOS 设置会带来麻烦,因此加密暂时暂停以免触发任何保护机制。 在此 BIOS 中,使用保存配置文件来保存和恢复设置。 ARecoveryKey 保护程序也被...
secure-boot
如何在我的笔记本电脑启动时自动切换已安装的两个操作系统?
我在 Dell Latitude 5411 笔记本电脑上将 Windows 10 和 Ubuntu Linux 20.04 安装在单独的加密分区中。当我关闭一个操作系统时,它总是启动另一个操作系统。 Linux 是默认设置,所以目前当我需要启动 Windows 时,我会按 F12 并从 UEFI 启动菜单中选择它。 有没有办法让笔记本电脑每次重新启动时始终选择“其他”启动选项? 我想避免总是启动到 GRUB,然后从那里选择 Windows,因为据我记得它阻止 Bitlocker 加密解锁我的 Windows 分区。 ...
secure-boot
为什么内核在安全启动系统上拒绝我的自签名模块?
我在 Intel NUC 上安装了启用了安全启动的 Linux。它使用特殊发行版 (Balena 物联网) 不使用shim并且只注册了此发行版的密钥(没有 Microsoft 密钥)。为了进行测试,我想注册自己的 MOK 来加载自签名模块。这就是我准备密钥的方式(在我的普通 Debian 机器上): openssl req -new -x509 -newkey rsa:2048 -subj "/CN=TLA gru MOK/" -keyout MOK.key -out MOK.crt -days 3650 -nodes -sha256 openssl x50...
secure-boot
在 Debian 12 Bookworm 上安装 VirtualBox 时出错
我有一台 Clevo PD70SND-G,刚从中国买来。安装了 Debian 12 Bookworm。我正在尝试安装和使用 VirtualBox。我需要访问 VirtualBox 机器上的数据。 我尝试从官方 Debian 存储库安装,在添加到 /etc/apt/sources.list 后,出现依赖性错误(见下文)。因此,我去了 VirtualBox.org 并下载了他们的 Debian 12 软件包文件,然后安装了它。VirtualBox Manager 似乎运行良好,但当我尝试启动机器时,我收到有关未安装内核驱动程序的错误(见下文)。以及“未签名”内核...
secure-boot
安全启动禁用时从终端删除 PK 密钥
当安全启动被禁用时,是否可以从终端删除 PK 密钥?我知道要更改密钥,您需要进入设置模式。而要进入设置模式,您需要删除 PK 密钥。现在,是否可以不通过 BIOS 而是通过操作系统的终端删除 PK 密钥?请记住,安全启动已被禁用。 我之所以问这个问题是因为我想安装 2 个操作系统。首先是 Linux,它将使用我自己的密钥进行签名,然后是 Windows。在 BIOS 中,我将只有我的自定义密钥,因此没有 Microsoft 密钥。启动 Linux 时,我将打开安全启动,启动 Windows 时,我将关闭安全启动(因为我不会注册 Microsoft 密钥,只有...
secure-boot
如何获取有关笔记本电脑中安装的 TPM 芯片的最低限度供应商信息
如何获取有关 Linux 笔记本电脑中 TPM 芯片的一些基本信息? 制造商、制造商 ID、制造商版本等信息。 到目前为止,我已经尝试使用tpm2_getcap命令来获取一些供应商信息。 tpm2_getcap vendor并且tpm2_getcap vendor:2。两次我都收到以下错误, WARNING:esys:src/tss2-esys/api/Esys_GetCapability.c:301:Esys_GetCapability_Finish() Received TPM Error ERROR:esys:src/tss2-esys/api/Es...
secure-boot
在 x86 上构建根目录和安全启动 - 可以做到吗?
我正在尝试弄清楚 buildroot 是否可以生成具有安全启动功能的系统。安全启动需要正确签名的内核。目标硬件是支持 TPM 2.0 的 x86-64/AMD64 处理器。 安全启动可以通过 Ubuntu 等 Linux 发行版实现。 我查阅了 Buildroot 手册并进行了大量的 Google 搜索 - 没有找到任何明确的答案。 有人尝试过这个吗? ...
secure-boot
安全启动关闭,PK 删除后果
我必须禁用安全启动。为此,我必须删除 PK 密钥。这会影响我的操作系统的加载吗?我正在使用当前已连接的“一次性”SSD。但我还有一个未连接的 Ubuntu 磁盘。对我来说,最重要的是删除 PK 密钥时 Linux 不会中断。此外,如果出现问题,是否可以将密钥恢复到以前的状态? 华硕主板,连接了 2 个 Windows SSD(1 - 带操作系统的启动管理器,2 - 连接到 1 个 SSD 的操作系统) ...
secure-boot
SPK ID 如何在 Xilinx 安全启动中提供安全性
我对 Xilinx 超大规模安全启动过程的理解是,CSU 使用 PPK 验证 SPK。如果 SPK 经过验证,CSU 将检查启动头中与 SPK 关联的 SPK ID 是否与 eFUSES 中最新烧录的 SPK ID 相同。此 ID 如何增加安全性?什么可以阻止攻击者使用不同的 ID 加载受损的 SPK?管理员和系统会认为一切都正常,因为 ID 已翻转,但实际上受损的是同一个 SPK。 ...
secure-boot
补充 WDAC 策略不会覆盖基本 WDAC 策略中的阻止规则(Microsoft 推荐的阻止规则)
我正在创建 Windows Defender 应用程序控制 (WDAC) 补充策略,以补充基本策略。基本策略与Microsoft 推荐的阻止规则。这意味着基本策略默认阻止 WSL.exe(适用于 Linux 的 Windows 子系统)。 <Deny ID="ID_DENY_WSL_1_0" FriendlyName="wsl.exe" FileName="wsl.exe" MinimumFileVersion="0.0.0.0" MaximumFileVersion="65355.65355.65355.65355" /> 微软官方声明“基本...
secure-boot
为什么 TPM PCR 不考虑 UEFI 设置更改?如果有人重置 CMOS,则无法检测到
在我的笔记本电脑中,我在打开笔记本电脑时设置了 bios 密码,一旦我输入该密码,笔记本电脑就会启动我的 linux 发行版并解密磁盘,而无需输入任何其他密码。为此,我设置了 TPM,如果 PCR 未发生改变,则自动解密磁盘。 但是现在我正在研究 TPM 的 PCR,以便能够防止某些窃贼偷走我的笔记本电脑(开机时有 bios 密码)来启动任何东西。我想设置一个 PCR,当 UEFI 状态改变时改变(因此当潜在的小偷重置 CMOS 时也会重置 UEFI 并删除 bios 密码),这样我的 linux 发行版就会提示解密密码,小偷就无能为力了。 但是我尝试了 P...
secure-boot
使用密码 + TPM 的 LUKS 加密
我对安全启动和 TPM 有疑问,但在网上找不到准确的答案,所以我希望这个领域的专家能够回答。 在发生邪恶女仆攻击的情况下,如何防止攻击者用恶意芯片替换包含用于验证启动操作系统的密钥的芯片,从而启动恶意操作系统? 假设没有什么可以真正阻止这种情况,我该如何配置 LUKS,以便只有当有正确的 TPM 模块时它才会解锁加手动输入密码?这样我就不用更换芯片了和冷启动攻击/总线嗅探,因为系统只能在原始 TPM 存在的情况下启动和我。 如果我问了一些显而易见的问题,我很抱歉,我不完全知道这一切是如何运作的。 ...
secure-boot
Microsoft 针对 BlackLotus 缓解措施 SKUSiPolicy.p7b 的更新是否要求内存完整性在安全中心开启并运行?
换句话说就是“代码完整性功能”在此 Microsoft kb5025885 页面上: 代码完整性启动策略 (SKUSiPolicy.p7b) 使用 Windows 的代码完整性功能来防止在安全启动开启时加载不受信任的 Windows 启动管理器。 ...与讨论的“内存完整性”相同这里? 内存完整性有时被称为受虚拟机管理程序保护的代码完整性 (HVCI) 有关 PC 的信息: 在安全中心>设备安全中,显示安全启动已打开,但“不支持标准硬件安全”。 该电脑装有 Windows 10(家庭版),这是唯一的操作系统。 提问原因: 以上链接kb502...
secure-boot
使用 GRUB 启动时出现奇怪的消息
我使用安全启动,然后是 GRUB2,设置为根据用户的选择启动 Debian 12 和 Windows 11。用户选择 Windows 并点击 ⏎ 后,我们会在左上角看到一个黑屏,上面有两条白线(由于从糟糕的屏幕截图中重新输入,文本可能略有失真): /EndEntire file path: /ACPI(a0341d0,0)/PCI(4,1d)/PCI(0,0)/UnknownMessaging(17)/HD(1,800,82000,bc49b1f82df92a47,2,2)/File(\EFI\Microsoft\Boot)/File(bootmgfw.sf...