Windows 10 UEFI 安全启动原理

Windows 10 UEFI 安全启动原理

安全启动是一项由微软和其他厂商开发的安全标准，用于确保计算机只能被信任的程序启动。Windows 10操作系统中的安全启动基于UEFI固件来实现其功能。

在没有使用UEFI固件的计算机中，操作系统在启动加载前有漏洞，可通过比较BIOS 和UEFI的启动过程可以看得出来。

传统的BIOS计算机启动的过程中由于没有保护机制，可以将启动加载程序重定向到恶意加载程序。而加载程序无法通过操作系统安全措施和反恶意软件进行检测。

由于UEFI支持固件实施安全策略，所以Windows 10操作系统借助UEFI安全启动，解决了操作系统启动时任意程序都能被加载的漏洞。

计算机在被制造时，厂商将安全启动策略签名数据库存储到NVRAM (非易失性随机访问存储器）中，策略签名数据库主要包括签名数据库（DB）、吊销的签名数据库（DBX）和密钥加密密码数据库（KEK）。

当计算机使用安全启动功能启动时，UEFI将按照存储在NVRAM中的策略签名数据库检查每个所要加载的程序，包括UEFI驱动程序以及Windows 10操作系统。如果程序有效，UEFI允许程序加载运行，同时将计算机控制权交给操作系统完成启动。如果UEFI驱动程序不受信任，UEFI将启动由设备厂商提供的恢复程序恢复受信任的UEFI。如果操作系统启动程序无效，则UEFI尝试使用备份的启动程序启动，如果还原备份过程失败，UEFI将启动WinRE工具进行修复。

注意：开启安全启动功能必须确保UEFI固件为2.3.1以上的版本。