什麼是安全開機?
安全開機是一種電腦安全工具,它只允許經過驗證的程式在電腦啟動時運行。此協定可確保未經授權的程式(特別是惡意 rootkit)在電腦啟動時不會運行,以繞過防毒軟體的偵測。此功能是安裝最新作業系統 Windows 11 的必要條件,因為它是 Windows 11 安裝的 UEFI (統一可擴展韌體介面) 或 BIOS 先決條件的一部分。它不是舊版 Windows(例如 Windows 10 IoT 2021 LTSC)的要求,但對於工業企業應用程式來說是必需的。
安全開機如何運作?
由於安全開機是 UEFI BIOS 中的一個協定,因此它在每次電腦啟動時都會運作。這與 TPM(可信賴平台模組)密切相關,TPM 也是 Windows 11 安裝的先決條件。簡而言之,TPM 2.0 是一種基於硬體的安全工具,它提供了軟體安全無法提供的額外資料保護。此過程可以防止在硬體被竄改或執行惡意軟體等未經授權的程式時電腦啟動。安全開機是另一層資料安全和保護,可確保僅啟動經過數位簽署和認證的程式。我們將探討三個主要資料庫,它們是簽章資料庫 (DB)、已撤銷簽章資料庫 (DBX) 和金鑰註冊資料庫 (KEK)。
-
簽章資料庫 (DB) – 簽章資料庫包含受信任韌體元件、作業系統啟動載入程式(例如 Microsoft 作業系統載入程式)、UEFI 應用程式和 UEFI 驅動程式的公開金鑰和憑證。
-
已撤銷簽章資料庫 (DBX) – 已撤銷簽章資料庫包含惡意和易受攻擊元件、受損金鑰和受損憑證的雜湊值,阻止它們執行以保護您的系統。
-
平台金鑰 (PK) – 平台金鑰在系統擁有者和 BIOS 中的韌體之間建立信任關係,控制對 KEK 資料庫的存取。
-
金鑰交換金鑰 (KEK) – 金鑰交換金鑰是一個資料庫,用於在作業系統和韌體之間建立信任關係。KEK 包含一個公開金鑰列表,在修改白名單資料庫或已撤銷簽章資料庫時可以進行檢查。單一平台可以有多個 KEK。
它對工業邊緣應用程式有何作用?
隨著全球網路攻擊的增加,企業採取一切可能的預防措施來阻止和防止其寶貴資料被竄改至關重要。微軟、AMD 和英特爾等一線公司都開發了自己的方法來增強對惡意軟體的防護。微軟發布了需要 TPM 2.0 和安全開機的 Windows 11,而領先的半導體巨頭英特爾和 AMD 也開發了他們的韌體 TPM (fTPM) 版本。TPM 被認為是主要由處理敏感資料的企業使用的傳統元件。如今,由於網路攻擊的增加,TPM 2.0 已被納入,並且幾乎成為工業邊緣電腦的強制要求。
安全開機與 TPM 2.0 有何區別?
安全開機是一個簡單的預防功能,透過 UEFI BIOS 啟用。安全開機的作用是只允許經過驗證和數位簽署的軟體啟動。例如,匹配的作業系統和其他啟動應用程式,如反惡意軟體程式。然而,TPM 2.0 充當保險庫,儲存和加密啟動系統所需的資料敏感數位金鑰和憑證。如果 TPM 偵測到新的硬碟或不正確的作業系統授權,它將不允許電腦進一步啟動。有了安全開機,它就像一個安全檢查點,只允許經過驗證的啟動程式存取。
安全開機有哪些缺點/弊端?
當嘗試啟動未經授權的軟體,例如不同的作業系統或雙重開機時,安全開機可能會造成輕微麻煩。為了進行雙重開機,必須停用安全開機,但請放心,Ubuntu 支援安全開機的雙重開機程序。如果您需要為雙重開機設定停用安全開機,請重新安裝 Ubuntu,然後可以重新啟用安全開機。這個微小的缺點不應成為影響停用安全開機優點和安全性的因素。
如何為 Windows 11 啟用安全開機?
首先,讓我們檢查安全開機是否已啟用。在 Windows 搜尋選單中搜尋「msinfo32」,然後尋找「安全開機狀態」項目。如果顯示為「開啟」,則安全開機已啟用。如果標記為「關閉」,則可以在 UEFI BIOS 中啟用。請參閱您的主機板手冊,以在 UEFI BIOS 中導航以啟用安全開機。再次檢查安全開機是否已啟用。如果需要停用安全開機,只需進入 UEFI BIOS 並停用安全開機即可。強烈建議保持安全開機啟用,因為它對效能或相容性幾乎沒有影響,但停用安全開機並非強制。如果終端使用者未下載 rootkit 病毒或任何惡意程式,則電腦使用無需安全開機。