UEFI固件增强Linux安全性并带来全新优势.pdf

UEFI 固件增强 Linux* 安全性并带 来全新优势 龙勤, 软件架构师，英特尔 Jeff Bobzin, 副总裁，系微股份有限公司 胡立聖, BIOS工程师, 科能软件股份有限公司 PTAS001 议程 ? 针对 Linux* 的 UEFI 注意事项 ? 针对企业系统的安全启动– Insyde* ? Ubuntu* UEFI/安全启动的实现与工具 ? 总结 本课程演示文稿（PDF）发布在技术课程目录网站: /go/idfsessionsBJ 该网址同时打印于会议指南中专题讲座日程页的上方 2 针对 Linux* 的 UEFI 注意事项 ? UEFI 安全启动概述 Agenda? Linux* 下安全启动面临的挑战 Item 1 ? Linux 发行版安全启动支持的最新进展 3 UEFI 安全启动技术概述 ? 系统启动面临的问题 – 越来越多的恶意软件开始以启动路径为攻击目标 – 通常情况下，唯一的解决办法是重新安装操作系统 ? UEFI 安全启动使启动过程更安全 – 利用固件策略对OS加载程序、Option Cards等进行验证 – 为用户提供一种阻止外部入侵的系统保护方式 – 减少 rootkits, bootkits 和其它恶意软件的可能性 4 Linux* 支持安全启动所面临的挑战 ? 双操作系统部署挑战 – 用户可以通过禁用 UEFI 安全启动进行 Linux* 的安装，但这并非最佳 部署方案 – 当其它操作系统已经启用 UEFI 安全启动时，用户必须有一个其它方 案继续安装 Linux ? 如果满足以下条件，Linux 亦可受益于 UEFI 安全启动技术 – 客户能够在无需禁用该功能情况下安装 Linux – 平台所有者能够设置安全策略并定制系统 ? 对于UEFI，Linux 发行版还存在其它注意事项 – 内核如何处理已签名和未签名的代码 – 驱动程序从传统的 BIOS 调用（ INT中断处理）迁移到 UEFI Linux 发行版必须确定如何实现安全启动技术 5 来自 Linux* 发行版的进展信息 ? Ubuntu* 12.10 –已发布的64位 Ubuntu 12.10 利用Shim方 案支持UEFI安全启动 ? Fedora* 18 – 已包含支持 MOK(Machine Owned Key) 功能 的 Shim 解决方案 ? Red Hat* 和 SUSE* 都将在各自的发布版本中加入对第三方签 名的支持 ? OpenSuse* 12.3 发布版支持 MOK 管理器和多签名的Shim 加 载器 ? Linux Foundation 安全启动系统已发布 ? Linux 社区采用 UEFI 技术? 结合 MOK 提供第三方签名支持的 Linux 发行版已经实现 ? /news/home/20130319006268/en/UEFI-Technology-Adopted-Linux-Community 6 UEFI，安全启动和企业版系统 Agenda Item 1 Jeff Bobzin 副总裁, 系微股份有限公司 7 议程 ? 保护企业系统的启动过程 ? 为什么企业用户需要安全启动 ? 安全启动功能的技术解析 ? Linux*系统上的安全系统软件更新 ? 我的平台为Linux的安全启动做好准备了吗？ 8 2012的进展 Windows* 8 和 Windows Server 2012 的推出 “我想补充的是，安全机制的改进，可能成为许多企业用户购买的理由。 [...] 例如 Windows 8 和 Windows Server 2012 已取代了传统的ROM-BIOS，运用的就是新的、 改进的被称为UEFI安全强化的 2.3.1 版本的业界启动标准”