日本成年免费观看视频120秒,亚洲欧洲国产日产综合,久久久久国产精品不卡免费,国产中文字幕第一页

    1. <menu id="vztht"></menu>
      <label id="vztht"></label>

      如果你屬于日常生活中繼續(xù)使用Windows設(shè)備的人

      導(dǎo)讀 基于Windows的操作系統(tǒng)不再是移動(dòng)環(huán)境中的默認(rèn)和主要選擇。安卓的開(kāi)源性吸引了很多OEM的粉絲,所以現(xiàn)在用Windows的手機(jī)越來(lái)越少了。但是,

      基于Windows的操作系統(tǒng)不再是移動(dòng)環(huán)境中的默認(rèn)和主要選擇。安卓的開(kāi)源性吸引了很多OEM的粉絲,所以現(xiàn)在用Windows的手機(jī)越來(lái)越少了。但是,如果你屬于日常生活中繼續(xù)使用Windows設(shè)備的人,你會(huì)發(fā)現(xiàn)一些新聞。是好是壞,取決于你的立場(chǎng)和對(duì)這個(gè)新聞?dòng)美慕庾x。

      據(jù)Ars Technica和TheRegister報(bào)道,這個(gè)消息來(lái)自網(wǎng)站,可能會(huì)讓你頭疼(別開(kāi)玩笑了)。一些開(kāi)發(fā)人員(@never_released和@ the pack 0 Lian)發(fā)現(xiàn),微軟為調(diào)試而創(chuàng)建的后門(mén)已經(jīng)打開(kāi)了在Windows設(shè)備上禁用安全啟動(dòng)的可能性。

      安全起步,這是什么?

      第一次啟動(dòng)Windows設(shè)備時(shí),啟動(dòng)過(guò)程一般按照以下順序:UEFI(統(tǒng)一可擴(kuò)展固件接口,是BIOS的替代品)-Boot Manager-Boot Loader-Windows。UEFI是有安全啟動(dòng)功能的地方。顧名思義,它與安全引導(dǎo)結(jié)合使用,通過(guò)在后續(xù)步驟中要求數(shù)字簽名來(lái)提高安全性。本質(zhì)上,如果引導(dǎo)加載程序沒(méi)有使用UEFI期望使用的密鑰進(jìn)行簽名,則引導(dǎo)設(shè)備的過(guò)程將不會(huì)完成。

      安全引導(dǎo)是一項(xiàng)可選功能,但微軟已強(qiáng)制啟用該功能,以便從Windows 8及更高版本獲得Windows認(rèn)證。原因是安全啟動(dòng)使得惡意軟件作者很難在啟動(dòng)期間插入代碼。但是,安全引導(dǎo)的一個(gè)副作用是,它讓W(xué)indows機(jī)器上的雙引導(dǎo)有點(diǎn)復(fù)雜,因?yàn)榈诙€(gè)操作系統(tǒng)及其所有必要的組件也需要數(shù)字簽名,否則,需要禁用安全引導(dǎo)。還有很多其他的問(wèn)題,有經(jīng)驗(yàn)的雙首發(fā)知道的比我一段話能解釋的還要多。

      現(xiàn)在,即使用戶(hù)想禁用安全引導(dǎo),一些設(shè)備也不能禁用。在這個(gè)領(lǐng)域,我們的話題已經(jīng)從所有的Windows設(shè)備(包括臺(tái)式機(jī))急劇減少到特定的Windows設(shè)備,比如Windows Phone設(shè)備、Windows RT設(shè)備、一些Surface設(shè)備甚至HoloLens。這些最終用戶(hù)設(shè)備已經(jīng)鎖定了安全引導(dǎo),這意味著最終用戶(hù)不能修改或禁用與安全引導(dǎo)相關(guān)的方面,并且通過(guò)擴(kuò)展,他們不能以未經(jīng)授權(quán)的方式訪問(wèn)微軟的最終用戶(hù)操作系統(tǒng)。

      但是,出于正在進(jìn)行的官方開(kāi)發(fā)的目的,安全啟動(dòng)需要放松一點(diǎn)。鎖定的設(shè)備上有一個(gè)安全引導(dǎo)策略,它可以幫助授權(quán)開(kāi)發(fā),而無(wú)需禁用安全引導(dǎo)。正如研究用戶(hù)提到的,這個(gè)安全啟動(dòng)策略文件是在Windows啟動(dòng)期間由啟動(dòng)管理器加載的。策略文件還可以包含注冊(cè)表規(guī)則,而注冊(cè)表規(guī)則又可以包含策略本身的配置。同樣,策略文件必須經(jīng)過(guò)簽名,并且存在其他適當(dāng)?shù)脑O(shè)置,以確保只有Microsoft可以設(shè)置這些更改。

      簽名元素還依賴(lài)于應(yīng)用程序中使用的所謂的設(shè)備標(biāo)識(shí)。我就讓博文在這里解釋一下,因?yàn)橛行┎糠治也惶宄?

      另外,還有一個(gè)東西叫DeviceID。這是一些UEFI PRNG輸出的加鹽SHA-256散列的第一個(gè)64位。在Windows Phone和Windows RT上應(yīng)用策略時(shí)使用它(mobilestaRTup在Phone上設(shè)置它,在RT上首次啟動(dòng)時(shí)在SecureBootDebug.efi上設(shè)置它)。

      在電話上,策略必須位于EFIESP分區(qū)上的特定位置,其文件名包括十六進(jìn)制形式的DeviceID。(對(duì)于紅石,它已被更改為UnlockID,由bootmgr設(shè)置,并且只有原始的UEFI PRNG輸出)。

      基本上,bootmgr在加載時(shí)會(huì)檢查策略,如果它包含的DeviceID與運(yùn)行bootmgr的設(shè)備的DeviceID不匹配,則無(wú)法加載策略。任何允許啟用測(cè)試簽名的策略(微軟稱(chēng)之為“零售設(shè)備解鎖/RDU策略”并安裝為解鎖設(shè)備)都應(yīng)鎖定為設(shè)備標(biāo)識(shí)(在紅石和更高版本上解鎖)。的確,我有幾個(gè)類(lèi)似的政策(由Windows Phone生產(chǎn)證書(shū)簽名),唯一的區(qū)別就是包含了DeviceID和簽名。如果沒(méi)有安裝有效的策略,bootmgr將使用位于其資源中的默認(rèn)策略。此策略是使用BCD規(guī)則來(lái)防止啟用測(cè)試簽名等的策略。

      這是事情有趣的部分。在Windows 10 v1607的開(kāi)發(fā)過(guò)程中,微軟出于內(nèi)部測(cè)試和調(diào)試的目的,創(chuàng)造了一種新的安全啟動(dòng)策略(以下簡(jiǎn)稱(chēng)SBP)。這個(gè)策略本質(zhì)上是“互補(bǔ)”的,沒(méi)有DeviceID,會(huì)導(dǎo)致其設(shè)置合并到現(xiàn)有的啟動(dòng)策略中。引導(dǎo)管理器加載舊的SBP,驗(yàn)證其簽名和真實(shí)性,然后加載這些輔助引導(dǎo)策略。這里的問(wèn)題是,補(bǔ)充政策本身并沒(méi)有得到進(jìn)一步的驗(yàn)證。此外,早于Windows 10 v1511的啟動(dòng)管理器不知道這些策略的互補(bǔ)性是否存在,因此它們的反應(yīng)就像加載了完全有效和簽名的策略一樣。同樣,這種行為很可能是內(nèi)部開(kāi)發(fā)的結(jié)果,所以開(kāi)發(fā)人員不必做每一個(gè)操作

      作系統(tǒng)版本都進(jìn)行簽名,而不必在設(shè)備上進(jìn)行小的更改。

      此SBP被稱(chēng)為“金鑰匙”,因?yàn)樗旧鲜购灻麢z查的目的無(wú)效。盡管此SBP處于停用狀態(tài),但無(wú)意中將其運(yùn)輸?shù)搅闶墼O(shè)備上。開(kāi)發(fā)人員找到了此SBP,并告知了他們的發(fā)現(xiàn)。現(xiàn)在,可以在Internet上找到 SBP 了,該特定的zip用于在Windows RT設(shè)備上安裝SBP。

      這是什么意思?

      如果加載了補(bǔ)充SBP,則可以為Windows啟用測(cè)試簽名,以允許您加載未簽名的驅(qū)動(dòng)程序。此外,由于這些策略在引導(dǎo)過(guò)程的引導(dǎo)管理器階段之前起作用,因此您可以損害整個(gè)訂單的安全性并運(yùn)行未經(jīng)授權(quán)的(讀取自簽名)代碼。這給打算修改授權(quán)范圍以外的Windows部分的用戶(hù)以及惡意軟件創(chuàng)建者都提供了很多可能性。

      這一發(fā)現(xiàn)的作者集中于整個(gè)慘敗的諷刺。Microsoft鎖定了某些設(shè)備上的安全啟動(dòng),以防止未經(jīng)授權(quán)的更改,但是它內(nèi)置了一個(gè)后門(mén),可以讓它們繼續(xù)進(jìn)行開(kāi)發(fā)和調(diào)試。但是,這種后門(mén)為在所有運(yùn)行Windows的設(shè)備上禁用安全啟動(dòng)鋪平了道路,使整個(gè)過(guò)程變得毫無(wú)意義。

      現(xiàn)在,不愿意的用戶(hù)不僅可以在僅Windows的平板電腦和手機(jī)上安裝Linux發(fā)行版(甚至可以在Android上),不愿意的用戶(hù)還可以通過(guò)破壞對(duì)設(shè)備的物理訪問(wèn)來(lái)安裝惡意的引導(dǎo)程序。盡管前者是我們可以躍躍欲試的事情,但后者并沒(méi)有真正灌輸很多信心。這是雙向的,它向我們展示了為什么安全是一把雙刃劍。此外,SBP本質(zhì)上是通用的,無(wú)論其體系結(jié)構(gòu)如何,都可以在任何設(shè)備上使用。對(duì)于可以輕松關(guān)閉安全啟動(dòng)的臺(tái)式機(jī)來(lái)說(shuō),它并不是特別有用,但是對(duì)于您不能隨意使用安全啟動(dòng)的設(shè)備來(lái)說(shuō),它的作用范圍很大。

      那么,解決方法是什么?

      微軟確實(shí)發(fā)布了一些補(bǔ)丁,但開(kāi)發(fā)人員堅(jiān)持認(rèn)為該問(wèn)題尚未完全解決。您可以檢出這些修補(bǔ)程序(MS16-094和MS16-100),然后在博客文章本身上閱讀它們?yōu)槭裁床荒芙鉀Q問(wèn)題的信息。如果它們是正確的,則此問(wèn)題尚無(wú)解決方法或修補(bǔ)程序,盡管這不會(huì)阻止Microsoft嘗試在路上設(shè)置更多的障礙。

      接下來(lái)是什么?

      有很多可能性,其中一些正在我們的Windows論壇上醞釀。您可以查看有關(guān)Windows Phone 8開(kāi)發(fā)和黑客的論壇以及有關(guān)Windows 8,Windows RT和Surface開(kāi)發(fā)和黑客的論壇。您還可以在其他用戶(hù)正在討論的某些設(shè)備上找到指令線程。

      此調(diào)試后門(mén)的存在和SBP的泄漏不僅對(duì)于鎖定Windows設(shè)備的第三方開(kāi)發(fā)很重要,而且還向我們顯示了一個(gè)嚴(yán)峻的提示:如果留有故意的后門(mén)會(huì)發(fā)生什么。最近對(duì)安全的關(guān)注已轉(zhuǎn)向調(diào)查機(jī)構(gòu),要求存在此類(lèi)后門(mén)以協(xié)助其合法調(diào)查目的。但是這些方法遲早會(huì)落入錯(cuò)誤的手中。原本打算用作打擊和司法協(xié)助的工具,后來(lái)有一天將成為本身的工具。