对于完全不启用 Secure Boot 的电脑,日常运行一般不会受到直接影响。 不过,Secure Boot 自出生以来也曾遭受包含“PKfail”在内的多起严重安然事宜,裸露出实现与治理上的挑衅。 尽管如斯,该机制正日益成为部分收集游戏与 MOBA 的强迫请求,这使得运行 Linux 或较老但机能仍然足够的游戏硬件的用户在介入这些新一代游戏时,可能面对被清除或应用门槛进步的处境。
Secure Boot 是作为 UEFI 规范一部分引入的固件级安然功能,核心目标是在操作体系启动前阻拦潜在的恶意启动代码加载,是以其信赖根(证书与密钥)须要按期更新,以避免老旧凭证因暗码学老化而成为进击脆弱点。 微软 Windows 办事与交付部分项目经理 Nuno Costa 在官方博客中表示,退役旧证书、引入新证书是行业的标准做法,有助于让平台始终相符现代安然预期。
微软实际上已在 2023 年就宣布了新版 Secure Boot 证书,不过自 Windows 8 以来,原始证书一向在负责验证启动过程。 用户与企业可以经由过程多种受信渠道获取新证书,包含主板厂商宣布的 UEFI 固件更新。 与此同时,微软还会把新证书集成到每月的补丁和安然更新中,经由过程 Windows Update 主动分发,企业情况则可借助各类治理对象自定义推送流程。 微软将此次证书更新形容为 Windows 生态中范围最大年夜的一次调和安然保护行动之一。
因为 Secure Boot 运行在固件层,直接影响 PC 的启动方法,此次进级须要微软与硬件厂商、OEM 以及其他合作伙伴慎密合营,为数以百万计的 Windows 设备更新固件,以避免出现大年夜范围启动故障等连锁反响。 仍在微软支撑周期内的设备(包含 Windows 11 和参加扩大安然更新筹划的 Windows 10 机械)可以经由过程 Windows Update 接收新证书,而更老的 PC 将无法安装这一更新,安然性相对会被减弱。
Costa 指出,仍然依附 2011 年旧证书的设备在短期内仍会正常启动,但会被视为处于“降级”的安然状况,这类设备将来可能无法获得新的固件级防护才能。 跟着新的启动层马脚被发明,假如无法安装响应缓解办法,相干体系的裸露面会持续扩大年夜,长远来看甚至可能激发兼容性问题,例如更新的操作体系、固件、硬件,或依附 Secure Boot 的软件将无法加载。 PC 厂商如戴尔已供给检查体系是否支撑新 Secure Boot 证书的操作指引,便应用户确认自身设备状况。
发表评论 取消回复