安全启动和受信任启动

本文介绍 Windows 11 中内置的安全启动和受信任启动安全措施。

安全启动和受信任的启动有助于防止在 Windows 11 设备启动时加载恶意软件和损坏的组件。 安全启动从初始启动保护开始,然后受信任的启动将选取进程。 安全启动和受信任的启动共同有助于确保 Windows 11 系统安全可靠地启动。

安全启动

保护操作系统的第一步是确保它在初始硬件和固件启动序列安全完成其早期启动序列后安全启动。 安全启动通过 Windows 内核的受信任启动序列,从统一可扩展固件接口 (UEFI) 创建一个安全且受信任的路径。 在 UEFI、启动加载程序、内核和应用程序环境之间的整个启动序列中,签名强制握手会阻止对 Windows 启动序列的恶意软件攻击。

当电脑开始启动过程时,它首先验证固件是否已进行数字签名,从而降低固件 rootkit 的风险。 然后,安全启动会检查操作系统之前运行的所有代码,并检查 OS 启动加载程序的数字签名,以确保它受安全启动策略信任且未被篡改。

受信任的引导

受信任启动选取从安全启动开始的进程。 Windows 引导加载程序在加载 Windows 内核之前验证其数字签名。 反过来,Windows 内核会验证 Windows 启动过程的其他每个组件,包括启动驱动程序、启动文件和反恶意软件产品的早期启动反恶意软件 (ELAM) 驱动程序。 如果这些文件中的任何一个被篡改,引导加载程序将检测到问题并拒绝加载损坏的组件。 UEFI、引导加载程序、内核和应用程序环境之间的签名强制握手会阻止 Windows 启动序列上的篡改或恶意软件攻击。

通常,Windows 可以自动修复损坏的组件,还原 Windows 的完整性并允许 Windows 11 设备正常启动。

Windows 版本和许可要求

下表列出了支持安全启动和受信任启动的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

安全启动和受信任的启动许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

另请参阅

保护 Windows 启动过程