强烈建议启用安全启动功能,同时,不认同对于该问题下一些“无所谓”或“关闭”的观点。以下是原因解释:
安全启动是确保整个可信启动过程完整性的关键一环。这意味着,与TPM和全盘加密结合,它能够在硬件和软件均未遭篡改的情况下,保障用户访问硬盘内容的权限,并保障操作系统对设备的完整控制权,避免被恶意篡改。
安全启动的核心原理在于验证启动过程中加载的EFI可执行文件(通常是操作系统的内核或EFI兼容的引导加载程序)是否经过授权。如果验证通过,则授权其接管整个系统的控制权;若验证失败(如文件被恶意篡改),则拒绝其引导。
安全启动之所以至关重要,是因为它确保了每一步启动过程都像链条中的一环,相互保障,从而确保整个系统的安全性。若未启用安全启动,最先加载的EFI可执行文件可能被具有管理员权限的程序随意篡改。这可能导致恶意程序先于操作系统加载,进而获取对硬件的完全控制权,甚至监听和窃取用户的键盘和鼠标输入,因为此时整个系统的控制权已被恶意程序接管,操作系统无法进行有效监控。
举例来说,如果恶意软件利用TPM请求密钥,从而绕过加密限制访问和修改硬盘内容(即便全盘加密已启用),或在驱动中植入木马以监听用户输入并上传至远程服务器(驱动签名的有效性依赖于内核的完整性),都将对用户数据安全构成严重威胁。此外,即便没有管理员权限,任何能够物理接触关闭状态电脑的人都有可能发起攻击。
在启用全盘加密的情况下,Windows和Linux在之前已启用安全启动的前提下,若关闭安全启动,TPM将拒绝释放密钥,从而保护硬盘主密钥不被恶意EFI可执行文件读取。这也有助于用户及时发现并谨慎应对系统配置更改。
全部评论 (0)