安全開機和受信任的開機
本文說明安全開機和受信任開機、內建於 Windows 11 的安全性措施。
安全開機和受信任開機可協助防止在 Windows 11 裝置啟動時載入惡意代碼和損毀的元件。 安全開機會從初始開機保護開始,然後受信任開機會接管該程序。 安全開機和受信任開機一起有助於確保 Windows 11 系統安全地開機。
安全開機
保護操作系統的第一個步驟是確保在初始硬體和韌體開機順序安全地完成其早期開機順序之後,安全地開機。 安全開機會透過 Windows 核心的受信任開機順序,從整合可擴展固件介面 (UEFI) 建立安全且受信任的路徑。 在 UEFI、開機載入器、核心和應用程式環境之間的開機順序中,簽章強制交握會封鎖 Windows 開機順序上的惡意代碼攻擊。
當計算機開始開機程式時,它會先驗證韌體是否經過數字簽署,以降低韌體rootkit的風險。 安全開機接著會檢查操作系統之前執行的所有程式碼,並檢查 OS 開機載入器的數位簽名,以確保它受到安全開機原則的信任,而且未遭到竄改。
信任式開機
信任的開機會挑選開始使用安全開機的程式。 Windows 開機載入器會先驗證 Windows 核心的數位簽名,再載入它。 接著,Windows 核心會驗證 Windows 啟動程式的所有其他元件,包括開機驅動程式、啟動檔案,以及反惡意代碼產品的早期啟動反惡意代碼, (ELAM) 驅動程式。 如果其中任何檔案遭到竄改,開機載入器會偵測到問題,並拒絕載入損毀的元件。 UEFI、開機載入器、核心和應用程式環境之間的簽章強制交握會封鎖 Windows 開機順序的竄改或惡意代碼攻擊。
Windows 通常可以自動修復損毀的元件、還原 Windows 的完整性,並讓 Windows 11 裝置正常啟動。
Windows 版本和授權需求
下表列出支援安全開機和受信任開機的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
安全開機和受信任開機授權權利由下列授權授與:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應