Boot aman
Boot aman adalah standar keamanan yang dikembangkan oleh anggota industri PC untuk membantu memastikan bahwa perangkat boot hanya menggunakan perangkat lunak yang dipercaya oleh Original Equipment Manufacturer (OEM). Ketika PC dimulai, firmware memeriksa tanda tangan setiap bagian perangkat lunak boot, termasuk driver firmware UEFI (juga dikenal sebagai Option ROMs), aplikasi EFI, dan sistem operasi. Jika tanda tangan valid, boot PC, dan firmware memberikan kontrol ke sistem operasi.
OEM dapat menggunakan instruksi dari produsen firmware untuk membuat kunci boot Aman dan menyimpannya di firmware PC. Saat menambahkan driver UEFI, Anda juga harus memastikan driver ini ditandatangani dan disertakan dalam database Boot Aman.
Untuk informasi tentang cara kerja proses boot aman termasuk Boot Tepercaya dan Boot Terukur, lihat Mengamankan proses boot Windows 10.
Persyaratan boot aman
Untuk mendukung boot Aman, Anda harus memberikan hal berikut.
| Persyaratan perangkat keras | Detail |
|---|---|
| Variabel Errata C UEFI Versi 2.3.1 | Variabel harus diatur ke SecureBoot=1 dan SetupMode=0 dengan database tanda tangan (EFI_IMAGE_SECURITY_DATABASE) yang diperlukan untuk mem-boot komputer yang telah disediakan dengan aman, dan termasuk PK yang diatur dalam database KEK yang valid. Untuk informasi selengkapnya, cari persyaratan sistem System.Fundamentals.Firmware.UEFISecureBoot dalam unduhan PDF Spesifikasi dan Kebijakan Program Kompatibilitas Perangkat Keras Windows. |
| UEFI v2.3.1 Bagian 27 | Platform harus mengekspos antarmuka yang mematuhi profil UEFI v2.3.1 Bagian 27. |
| Database tanda tangan UEFI | Platform harus disediakan dengan kunci yang benar dalam database Tanda Tangan UEFI (db) untuk memungkinkan Windows melakukan booting. Ini juga harus mendukung pembaruan terautentikasi yang aman ke database. Penyimpanan variabel aman harus diisolasi dari sistem operasi yang berjalan sehingga tidak dapat dimodifikasi tanpa deteksi. |
| Penandatanganan firmware | Semua komponen firmware harus ditandatangani menggunakan setidaknya RSA-2048 dengan SHA-256. |
| Manajer boot | Ketika daya dinyalakan, sistem harus mulai menjalankan kode di firmware dan menggunakan kriptografi kunci publik sesuai kebijakan algoritma untuk memverifikasi tanda tangan semua gambar dalam urutan boot, hingga dan termasuk Windows Boot Manager. |
| Perlindungan pembatalan | Sistem harus melindungi dari pemutaran kembali firmware ke versi yang lebih lama. |
| EFI_HASH_PROTOCOL | Platform ini menyediakan EFI_HASH_PROTOCOL (per UEFI v2.3.1) untuk membongkar operasi hash kriptografi dan EFI_RNG_PROTOCOL (ditentukan Microsoft) untuk mengakses entropi platform. |
Database dan Kunci Tanda Tangan
Sebelum PC disebarkan, Anda sebagai OEM menyimpan database Boot Aman di PC. Ini termasuk database tanda tangan (db), database tanda tangan yang dicabut (dbx), dan database Kunci Pendaftaran Kunci (KEK). Database ini disimpan pada RAM nonvolatile firmware (NV-RAM) pada waktu manufaktur.
Database tanda tangan (db) dan database tanda tangan yang dicabut (dbx) mencantumkan penanda tangan atau hash gambar aplikasi UEFI, pemuat sistem operasi (seperti Microsoft Operating System Loader, atau Boot Manager), dan driver UEFI yang dapat dimuat di perangkat. Daftar yang dicabut berisi item yang tidak lagi dipercaya dan mungkin tidak dimuat. Jika hash gambar berada di kedua database, database tanda tangan (dbx) yang dicabut akan diawali.
Database Kunci Pendaftaran Kunci (KEK) adalah database terpisah dari kunci penandatanganan yang dapat digunakan untuk memperbarui database tanda tangan dan database tanda tangan yang dicabut. Microsoft memerlukan kunci tertentu untuk disertakan dalam database KEK sehingga di masa mendatang Microsoft dapat menambahkan sistem operasi baru ke database tanda tangan atau menambahkan gambar buruk yang diketahui ke database tanda tangan yang dicabut.
Setelah database ini ditambahkan, dan setelah validasi dan pengujian firmware akhir, OEM mengunci firmware dari pengeditan, kecuali untuk pembaruan yang ditandatangani dengan kunci atau pembaruan yang benar oleh pengguna yang hadir secara fisik yang menggunakan menu firmware, dan kemudian menghasilkan kunci platform (PK). PK dapat digunakan untuk menandatangani pembaruan ke KEK atau untuk mematikan Boot Aman.
Anda harus menghubungi produsen firmware Anda untuk alat dan bantuan dalam membuat database ini.
Urutan boot
- Setelah PC diaktifkan, database tanda tangan masing-masing diperiksa terhadap kunci platform.
- Jika firmware tidak tepercaya, firmware UEFI harus memulai pemulihan khusus OEM untuk memulihkan firmware tepercaya.
- Jika ada masalah dengan Windows Boot Manager, firmware akan mencoba mem-boot salinan cadangan Windows Boot Manager. Jika ini juga gagal, firmware harus memulai remediasi khusus OEM.
- Setelah Windows Boot Manager mulai berjalan, jika ada masalah dengan driver atau kernel NTOS, Windows Recovery Environment (Windows RE) dimuat sehingga driver atau gambar kernel ini dapat dipulihkan.
- Windows memuat perangkat lunak antimalware.
- Windows memuat pengandar kernel lainnya dan menginisialisasi proses mode pengguna.