Arranque seguro

El arranque seguro es un estándar de seguridad desarrollado por miembros del sector de equipos PC para ayudar a garantizar que un dispositivo arranca solo con el software de confianza para el fabricante de equipo original (OEM). Cuando se inicia el equipo, el firmware comprueba la firma de cada fragmento de software de arranque, incluidos los controladores de firmware UEFI (también conocidos como ROM de opción), las aplicaciones EFI y el sistema operativo. Si las firmas son válidas, el equipo arranca y el firmware proporciona control al sistema operativo.

El OEM puede usar instrucciones del fabricante del firmware para crear claves de arranque seguras y almacenarlas en el firmware del equipo. Al agregar controladores UEFI, también deberá asegurarse de que están firmados e incluidos en la base de datos de arranque seguro.

Para obtener información sobre cómo funciona el proceso de arranque seguro, incluido el arranque seguro y el arranque medido, consulte Protección del proceso de arranque Windows 10.

Requisitos de arranque seguro

Para admitir el arranque seguro, debe proporcionar lo siguiente.

Requisito de hardware Detalles
Variables de ERRATA C de ueFI versión 2.3.1 Las variables deben establecerse en SecureBoot=1 y SetupMode=0 con una base de datos de firma (EFI_IMAGE_SECURITY_DATABASE) necesaria para arrancar la máquina previamente aprovisionada de forma segura e incluir una PK establecida en una base de datos KEK válida. Para obtener más información, busque los requisitos del sistema System.Fundamentals.Firmware.UEFISecureBoot en la descarga en PDF de las especificaciones y directivas del programa de compatibilidad de hardware de Windows.
UeFI v2.3.1 Sección 27 La plataforma debe exponer una interfaz que se adhiere al perfil de UEFI v2.3.1 Sección 27.
Base de datos de firma UEFI La plataforma debe aprovisionarse con las claves correctas en la base de datos de firma ueFI (db) para permitir que se inicie Windows. También debe admitir actualizaciones autenticadas seguras en las bases de datos. Storage de variables seguras deben aislarse del sistema operativo en ejecución de modo que no se puedan modificar sin detección.
Firma de firmware Todos los componentes de firmware deben estar firmados con al menos RSA-2048 con SHA-256.
Administrador de arranque Cuando la alimentación está activada, el sistema debe empezar a ejecutar código en el firmware y usar la criptografía de clave pública según la directiva de algoritmo para comprobar las firmas de todas las imágenes de la secuencia de arranque, hasta y hasta el administrador de arranque de Windows.
Protección contra reversión El sistema debe protegerse contra la reversión del firmware a versiones anteriores.
EFI_HASH_PROTOCOL La plataforma proporciona el EFI_HASH_PROTOCOL (por UEFI v2.3.1) para descargar las operaciones hash criptográficas y la EFI_RNG_PROTOCOL (definida por Microsoft) para acceder a la entropía de la plataforma.

Claves y bases de datos de firma

Antes de implementar el equipo, usted como oem almacena las bases de datos de arranque seguro en el equipo. Esto incluye la base de datos de firmas (db), la base de datos de firmas revocadas (dbx) y la base de datos de clave de inscripción de claves (KEK). Estas bases de datos se almacenan en la RAM no volátil del firmware (NV-RAM) en tiempo de fabricación.

La base de datos de firmas (db) y la base de datos de firmas revocadas (dbx) enumeran los firmantes o los hashes de imagen de las aplicaciones UEFI, los cargadores de sistema operativo (como el cargador de sistema operativo de Microsoft o el Administrador de arranque) y los controladores UEFI que se pueden cargar en el dispositivo. La lista revocada contiene elementos que ya no son de confianza y que no se pueden cargar. Si un hash de imagen está en ambas bases de datos, la base de datos de firmas revocadas (dbx) toma precedentes.

La base de datos clave de clave de inscripción (KEK) es una base de datos independiente de claves de firma que se puede usar para actualizar la base de datos de firmas y la base de datos de firmas revocadas. Microsoft requiere que se incluya una clave especificada en la base de datos KEK para que en el futuro Microsoft pueda agregar nuevos sistemas operativos a la base de datos de firmas o agregar imágenes incorrectas conocidas a la base de datos de firmas revocadas.

Una vez agregadas estas bases de datos y después de la validación y las pruebas finales del firmware, el OEM bloquea la edición del firmware, excepto las actualizaciones firmadas con la clave correcta o las actualizaciones realizadas por un usuario presente físicamente que usa menús de firmware y, a continuación, genera una clave de plataforma (PK). que se puede usar para firmar las actualizaciones del KEK o para desactivar Arranque seguro.

Debe ponerse en contacto con el fabricante del firmware para obtener herramientas y ayuda para crear estas bases de datos.

Secuencia de arranque

  1. Una vez activado el equipo, las bases de datos de firma se comprueban con la clave de plataforma.
  2. Si el firmware no es de confianza, el firmware de UEFI debe iniciar la recuperación específica del OEM para restaurar el firmware de confianza.
  3. Si hay un problema con Windows Administrador de arranque, el firmware intentará arrancar una copia de seguridad de Windows Administrador de arranque. Si también se produce un error, el firmware debe iniciar la corrección específica del OEM.
  4. Después de que Windows Administrador de arranque haya empezado a ejecutarse, si hay un problema con los controladores o el kernel de NTOS, se carga Windows Recovery Environment (Windows RE) para que se puedan recuperar estos controladores o la imagen del kernel.
  5. Windows carga software antimalware.
  6. Windows carga otros controladores de kernel e inicializa los procesos del modo de usuario.