Arranque seguro
El arranque seguro es un estándar de seguridad desarrollado por miembros del sector de equipos PC para ayudar a garantizar que un dispositivo arranca solo con el software de confianza para el fabricante de equipo original (OEM). Cuando se inicia el equipo, el firmware comprueba la firma de cada parte del software de arranque, incluidos los controladores de firmware UEFI (también conocidos como ROM de opción), las aplicaciones EFI y el sistema operativo. Si las firmas son válidas, el equipo arrancará y el firmware proporcionará el control al sistema operativo.
El OEM puede usar las instrucciones del fabricante del firmware para crear claves de arranque seguro (Secure Boot) y almacenarlas en el firmware del equipo. Al agregar controladores UEFI, también deberá asegurarse de que están firmados e incluidos en la base de datos de arranque seguro.
Para obtener información sobre cómo funciona el proceso de arranque seguro, incluido el arranque de confianza (Trusted Boot) y el arranque medido (Measured Boot), consulte Proteger el proceso de arranque de Windows 10.
Requisitos de arranque seguro
Para admitir el arranque seguro, debe proporcionar lo siguiente.
Requisito de hardware | Detalles |
---|---|
Variables de Errata C de UEFI versión 2.3.1 | Las variables deben establecerse en SecureBoot=1 y SetupMode=0 con una base de datos de firma (EFI_IMAGE_SECURITY_DATABASE) necesaria para arrancar la máquina previamente aprovisionada de forma segura e incluir una PK (clave de plataforma) establecida en una base de datos KEK (clave de inscripción de claves) válida. Para obtener más información, busque los requisitos del sistema System.Fundamentals.Firmware.UEFISecureBoot en la descarga en PDF de las Especificaciones y directivas del Programa de compatibilidad de hardware con Windows. |
UEFI v2.3.1 Sección 27 | La plataforma debe exponer una interfaz que se ajuste al perfil de UEFI v2.3.1, sección 27. |
Base de datos de firma UEFI | La plataforma debe estar aprovisionada con las claves correctas en la base de datos de firma (db) UEFI para permitir que Windows arranque. También debe admitir actualizaciones autenticadas seguras en las bases de datos. El almacenamiento de variables seguras debe aislarse del sistema operativo en ejecución para que no se puedan modificar sin detección. |
Firma de firmware | Todos los componentes de firmware deben firmarse usando al menos RSA-2048 con SHA-256. |
Administrador de arranque | Cuando la alimentación está activada, el sistema debe empezar a ejecutar código en el firmware y usar la criptografía de clave pública según la directiva de algoritmo para comprobar las firmas de todas las imágenes de la secuencia de arranque, hasta el Administrador de arranque de Windows incluido. |
Protección de reversión | El sistema debe protegerse contra la reversión del firmware a versiones anteriores. |
EFI_HASH_PROTOCOL | La plataforma proporciona el EFI_HASH_PROTOCOL (según UEFI v2.3.1) para descargar operaciones hash criptográficas y el EFI_RNG_PROTOCOL (definido por Microsoft) para acceder a la entropía de la plataforma. |
Bases de datos y claves de firma
Antes de implementar el equipo, tanto usted como el OEM almacena las bases de datos de arranque seguro en el equipo. Esto incluye la base de datos de firma (db), la base de datos de firmas revocadas (dbx) y la base de datos de clave de inscripción de claves (KEK). Estas bases de datos se almacenan en la RAM no volátil (NV-RAM) del firmware en el momento de la fabricación.
La base de datos de firma (db) y la base de datos de firmas revocadas (dbx) enumeran los firmantes o hashes de imagen de las aplicaciones UEFI, los cargadores de sistema operativo (como el Gestor del sistema operativo de Microsoft o el Administrador de arranque) y los controladores UEFI que se pueden cargar en el dispositivo. La lista revocada contiene elementos que ya no son de confianza y que no se pueden cargar. Si un hash de imagen está en ambas bases de datos, la base de datos de firmas revocadas (dbx) tiene prioridad.
La base de datos de clave de inscripción de claves (KEK) es una base de datos independiente de claves de firma que se puede usar para actualizar la base de datos de firmas y la base de datos de firmas revocadas. Microsoft requiere que se incluya una clave especificada en la base de datos KEK para que en el futuro Microsoft pueda agregar nuevos sistemas operativos a la base de datos de firmas o agregar imágenes malas conocidas a la base de datos de firmas revocadas.
Una vez agregadas estas bases de datos y después de la validación y prueba finales del firmware, el OEM bloquea la edición del firmware, excepto las actualizaciones firmadas con la clave correcta o las actualizaciones hechas por un usuario físicamente presente que usa menús de firmware y, a continuación, genera una clave de plataforma (PK). que se puede usar para firmar las actualizaciones del KEK o para desactivar Arranque seguro.
Debería ponerse en contacto con el fabricante del firmware para obtener herramientas y ayuda para crear estas bases de datos.
Secuencia de arranque
- Una vez activado el equipo, las bases de datos de firma se comprueban con la clave de plataforma.
- Si el firmware no es de confianza, el firmware UEFI debe iniciar la recuperación específica del OEM para restaurar el firmware de confianza.
- Si hay un problema con el Administrador de arranque de Windows, el firmware intentará arrancar una copia de seguridad del Administrador de arranque de Windows. Si esto también falla, el firmware debe iniciar una corrección específica del OEM.
- Después de que el Administrador de arranque de Windows haya empezado a ejecutarse, si hay un problema con los controladores o el kernel de NTOS, se carga el Entorno de recuperación de Windows (Windows RE) para que se puedan recuperar estos controladores o la imagen del kernel.
- Windows carga software antimalware.
- Windows carga otros controladores de kernel e inicializa los procesos de modo de usuario.