중요합니다
Microsoft는 Windows 디바이스가 신뢰할 수 있는 부팅 소프트웨어를 계속 확인할 수 있도록 2011년에 처음 발급된 보안 부팅 인증서를 업데이트하고 있습니다. 이러한 이전 인증서는 2026년 6월에 만료되기 시작합니다. 중단을 방지하려면 지침을 검토하고 사전에 인증서를 업데이트하는 작업을 수행합니다.
보안 부팅은 OEM(원본 장비 제조업체)에서 신뢰할 수 있는 소프트웨어만 사용하여 디바이스가 부팅되도록 하기 위해 PC 업계의 구성원이 개발한 보안 표준입니다. PC가 시작되면 펌웨어는 UEFI 펌웨어 드라이버(옵션 ROM이라고도 함), EFI 애플리케이션 및 운영 체제를 포함하여 부팅 소프트웨어의 각 부분의 서명을 확인합니다. 서명이 유효한 경우 PC가 부팅되고 펌웨어가 운영 체제를 제어합니다.
OEM은 펌웨어 제조업체의 지침을 사용하여 보안 부팅 키를 만들고 PC 펌웨어에 저장할 수 있습니다. UEFI 드라이버를 추가할 때 보안 부팅 데이터베이스에 서명되고 포함되었는지도 확인해야 합니다.
보안 부팅 프로세스 작동 방식에 대한 자세한 내용은 신뢰할 수 있는 부팅 및 측정 부팅을 포함하며 Windows 10 부팅 프로세스 보안을 참조하세요.
보안 부팅 요구 사항
보안 부팅을 지원하려면 다음을 제공해야 합니다.
| 하드웨어 요구 사항 | 세부 정보 |
|---|---|
| UEFI 버전 2.3.1의 Errata C 변수 | 변수는 안전하게 미리 프로비전된 컴퓨터를 부팅하는 데 필요한 서명 데이터베이스(EFI_IMAGE_SECURITY_DATABASE)와 유효한 KEK 데이터베이스에 설정된 PK를 포함하는 SecureBoot=1 및 SetupMode=0 으로 설정해야 합니다. 자세한 내용은 Windows 하드웨어 호환성 프로그램 사양 및 정책의 PDF 다운로드에서 System.Fundamentals.Firmware.UEFISecureBoot 시스템 요구 사항을 검색합니다. |
| UEFI v2.3.1 섹션 27 | 플랫폼은 UEFI v2.3.1 섹션 27의 프로필을 준수하는 인터페이스를 노출해야 합니다. |
| UEFI 서명 데이터베이스 | Windows 부팅을 허용하려면 플랫폼이 UEFI 서명 데이터베이스(db)에 올바른 키로 프로비전되어야 합니다. 또한 데이터베이스에 대한 보안 인증 업데이트를 지원해야 합니다. 보안 변수의 스토리지는 검색 없이 수정할 수 없도록 실행 중인 운영 체제에서 격리되어야 합니다. |
| 펌웨어 서명 | 모든 펌웨어 구성 요소는 SHA-256에서 RSA-2048 이상을 사용하여 서명해야 합니다. |
| 부팅 관리자 | 전원이 켜지면 시스템은 펌웨어에서 코드 실행을 시작하고 알고리즘 정책에 따라 공개 키 암호화를 사용하여 Windows 부팅 관리자까지 부팅 시퀀스에 있는 모든 이미지의 서명을 확인해야 합니다. |
| 롤백 보호 | 시스템은 펌웨어를 이전 버전으로 롤백하지 않도록 보호해야 합니다. |
| EFI_HASH_PROTOCOL | 플랫폼은 암호화 해시 작업을 오프로드하기 위한 EFI_HASH_PROTOCOL(UEFI v2.3.1당) 및 플랫폼 엔트로피에 액세스하기 위한 EFI_RNG_PROTOCOL(Microsoft 정의)를 제공합니다. |
서명 데이터베이스 및 키
PC를 배포하기 전에 OEM으로 PC에 보안 부팅 데이터베이스를 저장합니다. 여기에는 서명 데이터베이스(db), 해지된 서명 데이터베이스(dbx) 및 KEK(키 등록 키 데이터베이스)가 포함됩니다. 이러한 데이터베이스는 제조 시 펌웨어 비휘발성 RAM(NV-RAM)에 저장됩니다.
서명 데이터베이스(db) 및 해지된 서명 데이터베이스(dbx)에는 UEFI 애플리케이션, 운영 체제 로더(예: Microsoft 운영 체제 로더 또는 부팅 관리자) 및 디바이스에 로드할 수 있는 UEFI 드라이버의 서명자 또는 이미지 해시가 나열됩니다. 해지된 목록에는 더 이상 신뢰할 수 없고 로드되지 않을 수 있는 항목이 포함되어 있습니다. 이미지 해시가 두 데이터베이스에 모두 있는 경우 취소된 서명 데이터베이스(dbx)는 선행을 사용합니다.
KEK(키 등록 키 데이터베이스)는 서명 데이터베이스 및 해지된 서명 데이터베이스를 업데이트하는 데 사용할 수 있는 별도의 서명 키 데이터베이스입니다. Microsoft는 향후 Microsoft에서 서명 데이터베이스에 새 운영 체제를 추가하거나 해지된 서명 데이터베이스에 알려진 잘못된 이미지를 추가할 수 있도록 지정된 키를 KEK 데이터베이스에 포함해야 합니다.
이러한 데이터베이스를 추가한 후 최종 펌웨어 유효성 검사 및 테스트 후에 OEM은 올바른 키로 서명된 업데이트 또는 펌웨어 메뉴를 사용하는 실제 사용자가 업데이트한 업데이트를 제외하고 펌웨어의 편집을 잠근 다음 PK(플랫폼 키)를 생성합니다. PK를 사용하여 KEK에 대한 업데이트에 서명하거나 보안 부팅을 해제할 수 있습니다.
이러한 데이터베이스를 만드는 데 도움이 필요하면 펌웨어 제조업체에 문의해야 합니다.
부팅 시퀀스
- PC가 켜지면 서명 데이터베이스가 각각 플랫폼 키에 대해 검사됩니다.
- 펌웨어를 신뢰할 수 없는 경우 UEFI 펌웨어는 신뢰할 수 있는 펌웨어를 복원하기 위해 OEM 관련 복구를 시작해야 합니다.
- Windows 부팅 관리자에 문제가 있는 경우 펌웨어는 Windows 부팅 관리자의 백업 복사본을 부팅하려고 시도합니다. 이 경우에도 실패하면 펌웨어는 OEM 관련 수정을 시작해야 합니다.
- Windows 부팅 관리자가 실행되기 시작한 후 드라이버 또는 NTOS 커널에 문제가 있는 경우 이러한 드라이버 또는 커널 이미지를 복구할 수 있도록 Windows RE(Windows 복구 환경)가 로드됩니다.
- Windows는 맬웨어 방지 소프트웨어를 로드합니다.
- Windows는 다른 커널 드라이버를 로드하고 사용자 모드 프로세스를 초기화합니다.