Exporteren (0) Afdrukken
Alles uitvouwen

Overzicht van Beveiligd opstarten

Gepubliceerd: februari 2012

Bijgewerkt: mei 2012

Van toepassing op: Windows 8, Windows Server 2012

Beveiligd opstarten helpt voorkomen dat ongewenste firmware, besturingssystemen of UEFI-stuurprogramma's (ook wel optie-ROM's genoemd) tijdens het opstarten worden uitgevoerd. Hiertoe worden databases bijgehouden met softwareondertekenaars en -installatiekopieën die vooraf zijn goedgekeurd om op de desbetreffende computer te worden uitgevoerd.

Door de firmware worden twee databases bijgehouden. In de ene database worden de ondertekenaars of installatiekopiehashcodes opgeslagen van UEFI-toepassingen, laadprogramma's van het besturingssysteem en UEFI-stuurprogramma's die op de desbetreffende computer kunnen worden geladen. In de andere database worden de ingetrokken installatiekopieën opgeslagen voor items die niet meer worden vertrouwd en niet mogen worden geladen. Deze databases worden respectievelijk de handtekeningdatabase (db) en de database met ingetrokken handtekeningen (dbx) genoemd.

Microsoft Operating System Loader (genaamd Opstartbeheer) wordt door Microsoft® ondertekend met een ondertekenaar die in de database moet zijn opgenomen wanneer systemen worden samengesteld.

De KEK-database (Key Enrollment Key) is een afzonderlijke database met ondertekeningssleutels waarmee de handtekeningdatabase en de database met ingetrokken handtekeningen kunnen worden bijgewerkt. Microsoft vereist dat een opgegeven sleutel in de KEK-database is opgenomen, zodat Microsoft in de toekomst nieuwe besturingssystemen aan de handtekeningdatabase kan toevoegen of bekende beschadigde installatiekopieën aan de database met ingetrokken handtekeningen kan toevoegen.

De handtekeningdatabase, de database met ingetrokken handtekeningen en de KEK-handtekeningdatabase worden door de OEM-partner tijdens het samenstellen opgeslagen in het niet-vluchtige RAM (NV-RAM) van de firmware. Deze handtekeningdatabases moeten worden opgenomen, zodat Windows kan worden opgestart met Beveiligd opstarten.

Nadat deze databases zijn toegevoegd en een laatste validatie en test van de firmware zijn uitgevoerd, wordt deze door de OEM-partner vergrendeld zodat deze niet kan worden bewerkt. Dit geldt echter niet voor updates die zijn ondertekend met de juiste sleutel of updates die via de firmwaremenu's worden toegepast door een fysiek aanwezige gebruiker die vervolgens een platformsleutel (PK) genereert. Met de platformsleutel kunnen updates worden ondertekend in de KEK-database of kan Beveiligd opstarten worden uitgeschakeld.

Nadat de computer is ingeschakeld, wordt elke handtekeningdatabase vergeleken met de platformsleutel.

Als de firmware niet wordt vertrouwd, moet OEM-specifiek herstel worden geïnitieerd door de UEFI-firmware, zodat vertrouwde firmware kan worden hersteld.

Als er een probleem is met Windows Opstartbeheer, wordt door de firmware geprobeerd een back-upexemplaar van Windows Opstartbeheer op te starten. Als deze poging ook mislukt, moet specifiek ingrijpen door de OEM-partner worden geïnitieerd door de firmware.

Wanneer Windows Opstartbeheer is gestart en er is een probleem met de stuurprogramma's of de NTOS-kernel, wordt de Windows Herstelomgeving (Windows RE) geladen zodat deze stuurprogramma's of de kernel-installatiekopie kunnen worden hersteld.

Hierna wordt antimalwaresoftware geladen door Windows.

Ten slotte worden andere kernelstuurprogramma's geladen en worden de gebruikersmodusprocessen geïnitialiseerd.

Voor Beveiligd opstarten is een computer vereist die voldoet aan de specificaties van UEFI 2.3.1.

Beveiligd opstarten wordt ondersteund door computers met UEFI-klasse 2 of 3. Op computers met UEFI-klasse 2 moet CSM (Compatibility Support Module) worden uitgeschakeld zodat op de computer alleen op UEFI gebaseerde besturingssystemen kunnen worden gestart.

noteOpmerking
Voor Beveiligd opstarten is TPM (Trusted Platform Module) niet vereist.

Zie ook

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2014 Microsoft