Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Microsoft, Windows cihazlarının güvenilen önyükleme yazılımını doğrulamaya devam ettiğinden emin olmak için ilk olarak 2011'de verilen Güvenli Önyükleme sertifikalarını güncelleştirmektedir. Bu eski sertifikaların süresi Haziran 2026'da dolmaya başlar. Kesintiyi önlemek için kılavuzu gözden geçirin ve sertifikaları önceden güncelleştirmek için işlem yapın.
Güvenli önyükleme, bir cihazın yalnızca Orijinal Donanım Üreticisi (OEM) tarafından güvenilen yazılımları kullanarak önyüklendiğinden emin olmak için bilgisayar sektörünün üyeleri tarafından geliştirilen bir güvenlik standardıdır. Bilgisayar başlatıldığında, donanım yazılımı UEFI donanım yazılımı sürücüleri (Seçenek ROM'ları olarak da bilinir), EFI uygulamaları ve işletim sistemi de dahil olmak üzere her bir önyükleme yazılımının imzasını denetler. İmzalar geçerliyse, bilgisayar önizlenir ve üretici yazılımı işletim sistemine denetim verir.
OEM, güvenli önyükleme anahtarları oluşturmak ve bunları bilgisayar üretici yazılımında depolamak için üretici yazılımı üreticisinin yönergelerini kullanabilir. UEFI sürücülerini eklediğinizde, bunların imzalandığından ve Güvenli Önyükleme veritabanına eklendiğinden de emin olmanız gerekir.
Güvenli önyükleme işleminin Güvenilir Önyükleme ve Ölçülen Önyükleme dahil nasıl çalıştığı hakkında bilgi için bkz. Windows 10 önyükleme işleminin güvenliğini sağlama.
Güvenli önyükleme gereksinimleri
Güvenli önyüklemeyi desteklemek için aşağıdakileri sağlamanız gerekir.
| Donanım gereksinimi | Ayrıntılar |
|---|---|
| UEFI Sürüm 2.3.1 Errata C değişkenleri | Değişkenlerin SecureBoot=1 ve SetupMode=0 olarak ayarlanması ve makinenin önceden güvenli bir şekilde önyüklenmesini sağlamak için gereken bir imza veritabanı (EFI_IMAGE_SECURITY_DATABASE) ve geçerli bir KEK veritabanında ayarlanmış bir PK dahil edilmelidir. Daha fazla bilgi için Windows Donanım Uyumluluk Programı Belirtimleri ve İlkeleri'nin PDF indirmesinde System.Fundamentals.Firmware.UEFISecureBoot sistem gereksinimlerini arayın. |
| UEFI v2.3.1 Bölüm 27 | Platform, UEFI v2.3.1 Bölüm 27 profiline uygun bir arabirimi kullanıma sunmalıdır. |
| UEFI imza veritabanı | Platformun, Windows'un önyüklemesine izin vermek için UEFI İmza veritabanında (db) doğru anahtarlarla birlikte gelmesi gerekir. Ayrıca veritabanlarında güvenli kimliği doğrulanmış güncelleştirmeleri desteklemelidir. Güvenli değişkenlerin depolanması, çalışan işletim sisteminden algılanmadan değiştirilemeyecek şekilde yalıtılmalıdır. |
| Donanım yazılımı imzalama | Tüm üretici yazılımı bileşenleri en az RSA-2048 ile SHA-256 kullanılarak imzalanmalıdır. |
| Önyükleme yöneticisi | Güç açık olduğunda, sistemin üretici yazılımında kod yürütmeye başlaması ve Windows Önyükleme Yöneticisi dahil olmak üzere önyükleme sırasındaki tüm görüntülerin imzalarını doğrulamak için algoritma ilkesine göre ortak anahtar şifrelemesini kullanması gerekir. |
| Geri alma koruması | Sistem, üretici yazılımının eski sürümlere geri alınmasına karşı koruma yapmalıdır. |
| EFI_HASH_PROTOCOL | Platform, şifreleme karma işlemlerini gerçekleştirme için EFI_HASH_PROTOCOL'ü (UEFI v2.3.1'e göre) ve platform entropisine erişmek için EFI_RNG_PROTOCOL'ü (Microsoft tarafından tanımlanmış) sağlar. |
İmza Veritabanları ve Anahtarları
Bilgisayar dağıtılmadan önce, OEM olarak güvenli önyükleme veritabanlarını bilgisayarda depolarsınız. Buna imza veritabanı (db), iptal edilen imzalar veritabanı (dbx) ve Anahtar Kayıt Anahtarı veritabanı (KEK) dahildir. Bu veritabanları, üretim aşamasında firmware kalıcı RAM'de (NV-RAM) depolanır.
İmza veritabanı (db) ve iptal edilen imzalar veritabanı (dbx) UEFI uygulamalarının, işletim sistemi yükleyicilerinin (Microsoft İşletim Sistemi Yükleyicisi veya Önyükleme Yöneticisi gibi) ve cihaza yüklenebilen UEFI sürücülerinin imzalayanlarını veya görüntü karmalarını listeler. İptal edilen liste artık güvenilir olmayan ve yüklenmemiş öğeler içeriyor. Her iki veritabanında da görüntü karması varsa, iptal edilen imzalar veritabanı (dbx) önceliklidir.
Anahtar Kayıt Anahtarı veritabanı (KEK), imza veritabanını güncelleştirmek ve imzalar veritabanını iptal etmek için kullanılabilecek ayrı bir imzalama anahtarları veritabanıdır. Microsoft, gelecekte Microsoft'un imza veritabanına yeni işletim sistemleri ekleyebilmesi veya iptal edilen imzalar veritabanına bilinen hatalı görüntüler ekleyebilmesi için KEK veritabanına belirli bir anahtarın eklenmesini gerektirir.
Bu veritabanları eklendikten ve son üretici yazılımı doğrulama ve testinden sonra, OEM üretici yazılımını düzenlemeye karşı kilitler. Ancak, doğru anahtarla imzalanmış güncellemeler veya üretici yazılımı menülerini kullanan fiziksel olarak mevcut bir kullanıcı tarafından gerçekleştirilen güncellemeler bu kilidin dışında tutulur. Daha sonra bir platform anahtarı (PK) oluşturulur. PK, KEK güncelleştirmelerini imzalamak veya Güvenli Önyükleme'yi kapatmak için kullanılabilir.
Bu veritabanlarını oluşturmak için araçlar ve yardım almak amacıyla firmware üreticinize başvurmalısınız.
Önyükleme sırası
- Bilgisayar açıldıktan sonra, imza veritabanlarının her biri platform anahtarına göre denetleniyor.
- Üretici yazılımı güvenilir değilse, güvenilir üretici yazılımını geri yüklemek için UEFI üretici yazılımının OEM'e özgü kurtarma başlatması gerekir.
- Windows Önyükleme Yöneticisi ile ilgili bir sorun varsa, üretici yazılımı Windows Önyükleme Yöneticisi'nin yedek bir kopyasını önyüklemeyi dener. Bu da başarısız olursa üretici yazılımının OEM'e özgü düzeltmeyi başlatması gerekir.
- Windows Önyükleme Yöneticisi çalışmaya başladıktan sonra, sürücülerde veya NTOS çekirdeğinde bir sorun varsa, bu sürücülerin veya çekirdek görüntüsünün kurtarılabilmesi için Windows Kurtarma Ortamı (Windows RE) yüklenir.
- Windows kötü amaçlı yazılımdan koruma yazılımı yükler.
- Windows diğer çekirdek sürücülerini yükler ve kullanıcı modu işlemlerini başlatır.