Secure Boot und Geräteverschlüsselung – Übersicht
Dieser Artikel bietet eine Übersicht über die Funktionen Secure Boot und Geräteverschlüsselung mit Schwerpunkt auf den wichtigsten Anforderungen und Überlegungen für OEMs.
Gilt für: Windows 10 Mobile
Sicherer Start
Secure Boot ist ein Prozess, der Firmware-Images auf Geräten überprüft, bevor sie ausgeführt werden dürfen. Beginnend mit einer Root of Trust (bestehend aus dem Hash eines Schlüssels, der während der Herstellung in der Firmware bereitgestellt wird) überprüft Secure Boot kryptographisch die digitale Signatur aller Startkomponenten, von den UEFI-Boot Loadern bis zur UEFI-Umgebung und schließlich zum Hauptbetriebssystem und allen Komponenten, die darin ausgeführt werden (z. B. Treiber und Apps). Secure Boot trägt dazu bei, sicherzustellen, dass nur autorisierter Code ausgeführt werden kann, bevor das Betriebssystem geladen wird.
Die Kern-UEFI-Umgebung des SoC-Anbieters implementiert den in Abschnitt 27 der UEFI-Spezifikation beschriebenen Secure Boot-Standard. Dieser Standard beschreibt einen Prozess, mit dem alle UEFI-Treiber und -Anwendungen anhand von Schlüsseln überprüft werden, die in einer UEFI-Laufzeitvariable bereitgestellt werden, bevor sie ausgeführt werden. Weitere Informationen zur UEFI-Kernumgebung, die vom SoC-Anbieter implementiert wird, finden Sie unter Boot und UEFI und UEFI in Windows.
Secure Boot-Prozess
Das folgende Diagramm bietet einen Überblick über den Secure Boot-Prozess.
In den folgenden Schritten wird dieser Prozess detaillierter beschrieben:
Um Secure Boot zu aktivieren, führen OEMs während der Fertigung eine Reihe von Aufgaben durch, einschließlich der Bereitstellung der Secure Boot-Schlüssel und des Auslösens verschiedener Sicherungen.
Beim Starten des Geräts wird der Prozess der Überprüfung der Signatur der Vor-UEFI-Startladeprogramme anhand der Root of Trust gestartet. Wenn diese Überprüfung erfolgreich ist, wird der UEFI-Start-Manager geladen.
Wenn der UEFI-Start-Manager die einzelnen UEFI-Apps oder Treiber lädt, überprüft er, ob die Binärdatei ordnungsgemäß signiert ist. Wenn eine Überprüfung für eine Komponente fehlschlägt, wird die Komponente nicht geladen, und der Startvorgang schlägt fehl.
Nachdem der Start-Manager (eine von Microsoft bereitgestellte UEFI-Komponente) erfolgreich geladen wurde, überprüft er, ob bestimmte BCD-Einstellungen (Startkonfigurationsdaten) intakt sind. Wenn dies nicht der Fall ist, verwendet Windows 10 die Werte, die die Secure Boot-Richtlinie als korrekt betrachtet, und ignoriert die anderen.
Der Start-Manager überprüft die Signatur des Startladeprogramms und lädt das Startladeprogramm nur, wenn die Signatur gültig ist.
Das Startladeprogramm überprüft die Signatur aller für den Startvorgang kritischen Treiber, bevor sie und der Kernel geladen werden. An diesem Punkt liegt es in der Verantwortung des Kernels, die Signatur aller Treiber und Apps zu überprüfen, bevor sie geladen werden.
Anforderungen und Überlegungen für OEMs im Zusammenhang mit Secure Boot
OEMs sollten die folgenden Anforderungen und Überlegungen im Zusammenhang mit Secure Boot beachten:
Sie müssen während der Fertigung eine Reihe von Aufgaben durchführen, um Secure Boot zu aktivieren, einschließlich der Bereitstellung der Secure Boot-Schlüssel und des Auslösens verschiedener JTAG-Sicherungen.
OEMs müssen einen eMMC-Teil mit mindestens einer 512 KB RPMB-Partition verwenden, wie in der Spezifikation der Mindesthardwareanforderungen aufgeführt.
Im Rahmen des Prozesses der Aktivierung von Secure Boot während der Herstellung muss der Replay Protected Memory Block (RPMB) auf dem eMMC-Teil bereitgestellt werden. Nach dieser Bereitstellung sind die spezifischen eMMC-Teile und die SoC-Komponente im Gerät miteinander verbunden. Der eMMC-Teil kann nicht entfernt und in einem anderen Gerät mit einem Betriebssystem wiederverwendet werden, das die RPMB verwendet.
Nachdem Secure Boot aktiviert wurde, müssen alle Treiber und Apps auf dem Gerät angemeldet werden, damit sie vom Betriebssystem geladen werden können. Weitere Informationen finden Sie unter Code-Signierung.
Geräteverschlüsselung
Windows 10 Mobile unterstützt die Verwendung der BitLocker-Technologie zum Verschlüsseln aller Benutzerdaten, die lokal auf internen Datenpartitionen gespeichert sind. Dies trägt dazu bei, die Vertraulichkeit lokaler Gerätedaten vor Offline-Hardwareangriffen zu schützen. Wenn ein Gerät verloren geht oder gestohlen wird und der Benutzer es mit einer PIN sperrt, erschwert die Geräteverschlüsselung einem Angreifer das Wiederherstellen vertraulicher Informationen vom Gerät.
Wenn die Geräteverschlüsselung aktiviert ist, werden das Hauptbetriebssystem und interne Benutzerdatenspeicherpartitionen verschlüsselt. SD-Karten, die in ein Telefon eingefügt wurden, werden nicht verschlüsselt.
Benutzer können die Geräteverschlüsselung auf dem Gerät mit Einstellungen =>System =>Geräteverschlüsselung aktivieren oder deaktivieren, dies kann jedoch die Konformität des Geräts kompromittieren und einen Compliance-Fehler auslösen, so dass beispielsweise E-Mail nicht mehr mit dem Gerät synchronisiert wird. Wenn die Geräteverschlüsselung aktiviert ist, wird der Benutzer aufgefordert, eine PIN zum Sichern des Geräts zu erstellen.
Anforderungen und Überlegungen für OEMs im Zusammenhang mit der Geräteverschlüsselung
Beachten Sie die folgenden Anforderungen und Überlegungen im Zusammenhang mit der Geräteverschlüsselung:
Die Geräteverschlüsselung ist standardmäßig nicht aktiviert. Die Geräteverschlüsselung wird in den folgenden Szenarien automatisch aktiviert:
Der Benutzer fügt dem Gerät ein Outlook-Konto hinzu, und der Microsoft Exchange Server, mit dem eine Verbindung hergestellt wird, ist für die Geräteverschlüsselung konfiguriert.
Der Benutzer verbindet das Gerät mit einem Unternehmens-Apps-Konto, und der Geräteverwaltungsserver des Unternehmens für das Konto pusht eine Richtlinie auf das Gerät, die eine Geräteverschlüsselung erfordert.
In jedem dieser Szenarien beginnt das Gerät automatisch mit der Verschlüsselung der Hauptbetriebssystem- und internen Benutzerdatenspeicherpartitionen, nachdem die Änderung der Geräteverschlüsselungsrichtlinie auf dem Gerät konfiguriert wurde. Die Geräteverschlüsselung wird gedrosselt, um die Auswirkungen auf Endbenutzer zu minimieren.
Es gibt keine Aktivierungsaufgaben für OEMs, die für die Geräteverschlüsselung spezifisch sind. OEMs müssen jedoch die Anweisungen zum Aktivieren von Secure Boot befolgen.
Nachdem die Geräteverschlüsselung auf einem Gerät aktiviert wurde, können Apps, die außerhalb des Hauptbetriebssystems ausgeführt werden (z. B. Kundendienst-Apps in UEFI), keine Daten in die verschlüsselten Partitionen auf dem Gerät schreiben. Nur Apps im Hauptbetriebssystem oder im Update-Betriebssystem können Daten in die verschlüsselten Partitionen schreiben.