Arranque seguro

El arranque seguro es un estándar de seguridad desarrollado por miembros del sector de equipos PC para ayudar a garantizar que un dispositivo arranca solo con el software de confianza para el fabricante de equipo original (OEM). Cuando se inicia el equipo, el firmware comprueba la firma de cada parte del software de arranque, incluidos los controladores de firmware UEFI (también conocidos como ROMs de opción), las aplicaciones EFI y el sistema operativo. Si las firmas son válidas, el equipo arranca y el firmware proporciona control al sistema operativo.

El OEM puede usar instrucciones del fabricante del firmware para crear claves de arranque seguras y almacenarlas en el firmware del equipo. Al agregar controladores UEFI, también deberá asegurarse de que están firmados e incluidos en la base de datos de arranque seguro.

Para obtener información sobre cómo funciona el proceso de arranque seguro, consulte Arranque de confianza y Arranque medido, consulte Secure the Windows 10 boot process (Proteger el Windows 10 de arranque seguro).

Requisitos de arranque seguro

Para admitir el arranque seguro, debe proporcionar lo siguiente.

Requisito de hardware Detalles
UeFI versión 2.3.1 Errata C variables Las variables deben establecerse en SecureBoot=1 y SetupMode=0 con una base de datos de firma (EFI_IMAGE_SECURITY_DATABASE) necesaria para arrancar la máquina aprovisionada previamente de forma segura e incluir un PK establecido en una base de datos KEK válida. Para obtener más información, busque los requisitos del sistema System.Fundamentals.Firmware.UEFISecureBoot en la descarga en PDF de Windows Hardware Compatibility Program Specifications and Policies (Especificaciones y directivas del programa de compatibilidad de hardware de Windows).
UEFI v2.3.1 Sección 27 La plataforma debe exponer una interfaz que se ajuste al perfil de UEFI v2.3.1 Sección 27.
Base de datos de firma UEFI La plataforma debe estar aprovisionada con las claves correctas en la base de datos de firma UEFI (db) para permitir Windows arranque. También debe admitir actualizaciones autenticadas seguras en las bases de datos. Storage de variables seguras deben aislarse del sistema operativo en ejecución para que no se puedan modificar sin detección.
Firma de firmware Todos los componentes de firmware deben firmarse con al menos RSA-2048 con SHA-256.
Administrador de arranque Cuando la energía está activada, el sistema debe empezar a ejecutar código en el firmware y usar la criptografía de clave pública según la directiva de algoritmo para comprobar las firmas de todas las imágenes de la secuencia de arranque, hasta e incluir el administrador de arranque de Windows.
Protección de reversión El sistema debe protegerse contra la reversión del firmware a versiones anteriores.
EFI_HASH_PROTOCOL La plataforma proporciona el EFI_HASH_PROTOCOL (según UEFI v2.3.1) para descargar operaciones hash criptográficas y el EFI_RNG_PROTOCOL (definido por Microsoft) para acceder a la entropía de la plataforma.

Bases de datos y claves de firma

Antes de implementar el equipo, usted como OEM almacena las bases de datos de arranque seguro en el equipo. Esto incluye la base de datos de firma (db), la base de datos de firmas revocadas (dbx) y la base de datos de clave de inscripción de claves (KEK). Estas bases de datos se almacenan en la RAM no volátil (NV-RAM) del firmware en el momento de la fabricación.

La base de datos de firma (db) y la base de datos de firmas revocadas (dbx) enumera los firmantes o hashes de imagen de las aplicaciones UEFI, los cargadores de sistema operativo (como el cargador de sistema operativo de Microsoft o el administrador de arranque) y los controladores UEFI que se pueden cargar en el dispositivo. La lista revocada contiene elementos que ya no son de confianza y que no se pueden cargar. Si un hash de imagen está en ambas bases de datos, la base de datos de firmas revocadas (dbx) tiene precedentes.

La base de datos de clave de inscripción de claves (KEK) es una base de datos independiente de claves de firma que se puede usar para actualizar la base de datos de firmas y la base de datos de firmas revocadas. Microsoft requiere que se incluya una clave especificada en la base de datos KEK para que, en el futuro, Microsoft pueda agregar nuevos sistemas operativos a la base de datos de firmas o agregar imágenes no válidas conocidas a la base de datos de firmas revocadas.

Una vez agregadas estas bases de datos y después de la validación y prueba finales del firmware, el OEM bloquea la edición del firmware, excepto las actualizaciones firmadas con la clave correcta o las actualizaciones por un usuario físicamente presente que usa menús de firmware y, a continuación, genera una clave de plataforma (PK). que se puede usar para firmar las actualizaciones del KEK o para desactivar Arranque seguro.

Debe ponerse en contacto con el fabricante del firmware para obtener herramientas y ayuda para crear estas bases de datos.

Secuencia de arranque

  1. Una vez activado el equipo, las bases de datos de firma se comprueban con la clave de plataforma.
  2. Si el firmware no es de confianza, el firmware UEFI debe iniciar la recuperación específica del OEM para restaurar el firmware de confianza.
  3. Si hay un problema con Windows Boot Manager, el firmware intentará arrancar una copia de seguridad de Windows Boot Manager. Si también se produce un error, el firmware debe iniciar una corrección específica del OEM.
  4. Una vez que Windows Boot Manager ha empezado a ejecutarse, si hay un problema con los controladores o el kernel de NTOS, se carga Windows Recovery Environment (Windows RE) para que se puedan recuperar estos controladores o la imagen del kernel.
  5. Windows el software antimalware.
  6. Windows carga otros controladores de kernel e inicializa los procesos de modo de usuario.