Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Microsoft aktualisiert die ursprünglich 2011 ausgestellten Zertifikate für den sicheren Start, um sicherzustellen, dass Windows-Geräte weiterhin vertrauenswürdige Startsoftware überprüfen. Diese älteren Zertifikate laufen im Juni 2026 ab. Um Unterbrechungen zu vermeiden, überprüfen Sie die Anleitungen , und ergreifen Sie Maßnahmen, um Zertifikate im Voraus zu aktualisieren.
Sicherer Start ist ein Sicherheitsstandard, der von Mitgliedern der PC-Branche entwickelt wird, um sicherzustellen, dass ein Gerät nur mit Software startet, die vom Originalgerätehersteller (ORIGINAL Equipment Manufacturer, OEM) vertrauenswürdig ist. Beim Starten des PCs überprüft die Firmware die Signatur der einzelnen Startsoftwareelemente, einschließlich der UEFI-Firmware-Treiber (auch Option-ROMs genannt), der EFI-Anwendungen und des Betriebssystems. Sind die Signaturen gültig, startet der PC und die Firmware übergibt die Kontrolle an das Betriebssystem.
Der OEM kann Anweisungen vom Firmwarehersteller verwenden, um sichere Startschlüssel zu erstellen und sie in der PC-Firmware zu speichern. Wenn Sie UEFI-Treiber hinzufügen, müssen Sie auch sicherstellen, dass diese signiert und in der Datenbank für den sicheren Start enthalten sind.
Informationen zur Funktionsweise des sicheren Startvorgangs finden Sie unter "Vertrauenswürdiger Start" und "Kontrollierter Start" unter "Sichern des Windows 10-Startvorgangs".
Anforderungen für den sicheren Start
Um den sicheren Start zu unterstützen, müssen Sie Folgendes angeben.
| Hardwareanforderung | Einzelheiten |
|---|---|
| UEFI Version 2.3.1 Errata C-Variablen | Variablen müssen auf SecureBoot=1 und SetupMode=0 gesetzt werden, wobei eine Signaturdatenbank (EFI_IMAGE_SECURITY_DATABASE) erforderlich ist, um den Computer sicher und vorbereitet zu starten. Zudem muss eine PK in einer gültigen KEK-Datenbank vorhanden sein. Weitere Informationen finden Sie, indem Sie im PDF-Download der Windows-Hardwarekompatibilitätsprogrammspezifikationen und -richtlinien nach den Systemanforderungen für System.Fundamentals.Firmware.UEFISecureBoot suchen. |
| UEFI v2.3.1 Abschnitt 27 | Die Plattform muss eine Schnittstelle verfügbar machen, die dem Profil von UEFI v2.3.1 Section 27 entspricht. |
| UEFI-Signaturdatenbank | Die Plattform muss mit den richtigen Schlüsseln in der UEFI-Signaturdatenbank (db) bereitgestellt werden, damit Windows starten kann. Sie muss auch sichere authentifizierte Updates für die Datenbanken unterstützen. Der Speicher sicherer Variablen muss vom ausgeführten Betriebssystem isoliert werden, sodass sie ohne Erkennung nicht geändert werden können. |
| Firmwaresignatur | Alle Firmwarekomponenten müssen mit mindestens RSA-2048 mit SHA-256 signiert werden. |
| Start-Manager | Wenn die Stromversorgung eingeschaltet wird, muss das System damit beginnen, Code in der Firmware auszuführen. Es soll die öffentliche Schlüsselkryptographie gemäß der Algorithmus-Richtlinie verwenden, um die Signaturen aller Abbilder in der Startsequenz zu überprüfen, bis hin zu und einschließlich des Windows-Start-Managers. |
| Rollbackschutz | Das System muss vor dem Rollback der Firmware auf ältere Versionen schützen. |
| EFI_HASH_PROTOCOL | Die Plattform bietet das EFI_HASH_PROTOCOL (gemäß UEFI v2.3.1) zur Auslagerung kryptografischer Hash-Operationen und das EFI_RNG_PROTOCOL (von Microsoft definiert) für den Zugriff auf die Plattformentropie. |
Signaturdatenbanken und Schlüssel
Bevor der PC bereitgestellt wird, speichern Sie als OEM die Datenbanken für den sicheren Start auf dem PC. Dazu gehören die Signaturdatenbank (db), die Datenbank für widerrufene Signaturen (dbx) und die Schlüsselregistrierungsschlüsseldatenbank (KEK). Diese Datenbanken werden zum Zeitpunkt der Herstellung im Firmware-Nonvolatile-RAM (NV-RAM) gespeichert.
Die Signaturdatenbank (db) und die widerrufene Signaturendatenbank (dbx) listen die Signierer oder Imagehashes von UEFI-Anwendungen, Betriebssystemladeprogramme (z. B. microsoft Operating System Loader oder Boot Manager) und UEFI-Treiber auf, die auf dem Gerät geladen werden können. Die widerrufene Liste enthält Elemente, die nicht mehr vertrauenswürdig sind und möglicherweise nicht geladen werden. Wenn sich ein Bildhash in beiden Datenbanken befindet, hat die datenbank für widerrufene Signaturen (dbx) Vorrang.
Die Schlüsselregistrierungsschlüsseldatenbank (KEY Enrollment Key Database, KEK) ist eine separate Datenbank mit Signaturschlüsseln, die zum Aktualisieren der Signaturdatenbank und der widerrufenen Signaturdatenbank verwendet werden können. Microsoft erfordert, dass ein angegebener Schlüssel in die KEK-Datenbank aufgenommen wird, damit Microsoft in Zukunft der Signaturdatenbank neue Betriebssysteme hinzufügen oder der Datenbank für widerrufene Signaturen bekannte fehlerhafte Bilder hinzufügen kann.
Nachdem diese Datenbanken hinzugefügt wurden, und nach der endgültigen Firmwareüberprüfung und -tests sperrt der OEM die Firmware vor der Bearbeitung, mit Ausnahme von Updates, die mit dem richtigen Schlüssel oder Updates von einem physisch vorhandenen Benutzer signiert wurden, der Firmwaremenüs verwendet, und generiert dann einen Plattformschlüssel (PK). Die PK kann verwendet werden, um Updates des KEK zu signieren oder Secure Boot zu deaktivieren.
Wenden Sie sich an Ihren Firmwarehersteller, um Tools und Unterstützung beim Erstellen dieser Datenbanken zu erhalten.
Startsequenz
- Nachdem der PC aktiviert wurde, werden die Signaturdatenbanken jeweils anhand des Plattformschlüssels überprüft.
- Wenn die Firmware nicht vertrauenswürdig ist, muss die UEFI-Firmware OEM-spezifische Wiederherstellung initiieren, um vertrauenswürdige Firmware wiederherzustellen.
- Wenn ein Problem mit dem Windows-Start-Manager auftritt, versucht die Firmware, eine Sicherungskopie des Windows-Start-Managers zu starten. Wenn dies ebenfalls fehlschlägt, muss die Firmware oemspezifische Korrekturen initiieren.
- Nachdem der Windows-Start-Manager ausgeführt wurde, wird windows Recovery Environment (Windows RE) geladen, wenn ein Problem mit den Treibern oder dem NTOS-Kernel vorliegt, sodass diese Treiber oder das Kernelimage wiederhergestellt werden können.
- Windows lädt Antischadsoftware.
- Windows lädt andere Kerneltreiber und initialisiert die Benutzermodusprozesse.