基于Windows的操作系統(tǒng)不再是移動(dòng)環(huán)境中的默認(rèn)和主要選擇。安卓的開(kāi)源性吸引了很多OEM的粉絲，所以現(xiàn)在用Windows的手機(jī)越來(lái)越少了。但是，如果你屬于日常生活中繼續(xù)使用Windows設(shè)備的人，你會(huì)發(fā)現(xiàn)一些新聞。是好是壞，取決于你的立場(chǎng)和對(duì)這個(gè)新聞?dòng)美慕庾x。

據(jù)Ars Technica和TheRegister報(bào)道，這個(gè)消息來(lái)自網(wǎng)站，可能會(huì)讓你頭疼(別開(kāi)玩笑了)。一些開(kāi)發(fā)人員(@never_released和@ the pack 0 Lian)發(fā)現(xiàn)，微軟為調(diào)試而創(chuàng)建的后門已經(jīng)打開(kāi)了在Windows設(shè)備上禁用安全啟動(dòng)的可能性。

安全起步，這是什么？

第一次啟動(dòng)Windows設(shè)備時(shí)，啟動(dòng)過(guò)程一般按照以下順序：UEFI(統(tǒng)一可擴(kuò)展固件接口，是BIOS的替代品)-Boot Manager-Boot Loader-Windows。UEFI是有安全啟動(dòng)功能的地方。顧名思義，它與安全引導(dǎo)結(jié)合使用，通過(guò)在后續(xù)步驟中要求數(shù)字簽名來(lái)提高安全性。本質(zhì)上，如果引導(dǎo)加載程序沒(méi)有使用UEFI期望使用的密鑰進(jìn)行簽名，則引導(dǎo)設(shè)備的過(guò)程將不會(huì)完成。

安全引導(dǎo)是一項(xiàng)可選功能，但微軟已強(qiáng)制啟用該功能，以便從Windows 8及更高版本獲得Windows認(rèn)證。原因是安全啟動(dòng)使得惡意軟件作者很難在啟動(dòng)期間插入代碼。但是，安全引導(dǎo)的一個(gè)副作用是，它讓W(xué)indows機(jī)器上的雙引導(dǎo)有點(diǎn)復(fù)雜，因?yàn)榈诙€(gè)操作系統(tǒng)及其所有必要的組件也需要數(shù)字簽名，否則，需要禁用安全引導(dǎo)。還有很多其他的問(wèn)題，有經(jīng)驗(yàn)的雙首發(fā)知道的比我一段話能解釋的還要多。

現(xiàn)在，即使用戶想禁用安全引導(dǎo)，一些設(shè)備也不能禁用。在這個(gè)領(lǐng)域，我們的話題已經(jīng)從所有的Windows設(shè)備(包括臺(tái)式機(jī))急劇減少到特定的Windows設(shè)備，比如Windows Phone設(shè)備、Windows RT設(shè)備、一些Surface設(shè)備甚至HoloLens。這些最終用戶設(shè)備已經(jīng)鎖定了安全引導(dǎo)，這意味著最終用戶不能修改或禁用與安全引導(dǎo)相關(guān)的方面，并且通過(guò)擴(kuò)展，他們不能以未經(jīng)授權(quán)的方式訪問(wèn)微軟的最終用戶操作系統(tǒng)。

但是，出于正在進(jìn)行的官方開(kāi)發(fā)的目的，安全啟動(dòng)需要放松一點(diǎn)。鎖定的設(shè)備上有一個(gè)安全引導(dǎo)策略，它可以幫助授權(quán)開(kāi)發(fā)，而無(wú)需禁用安全引導(dǎo)。正如研究用戶提到的，這個(gè)安全啟動(dòng)策略文件是在Windows啟動(dòng)期間由啟動(dòng)管理器加載的。策略文件還可以包含注冊(cè)表規(guī)則，而注冊(cè)表規(guī)則又可以包含策略本身的配置。同樣，策略文件必須經(jīng)過(guò)簽名，并且存在其他適當(dāng)?shù)脑O(shè)置，以確保只有Microsoft可以設(shè)置這些更改。

簽名元素還依賴于應(yīng)用程序中使用的所謂的設(shè)備標(biāo)識(shí)。我就讓博文在這里解釋一下，因?yàn)橛行┎糠治也惶宄?

另外，還有一個(gè)東西叫DeviceID。這是一些UEFI PRNG輸出的加鹽SHA-256散列的第一個(gè)64位。在Windows Phone和Windows RT上應(yīng)用策略時(shí)使用它(mobilestaRTup在Phone上設(shè)置它，在RT上首次啟動(dòng)時(shí)在SecureBootDebug.efi上設(shè)置它)。

在電話上，策略必須位于EFIESP分區(qū)上的特定位置，其文件名包括十六進(jìn)制形式的DeviceID。(對(duì)于紅石，它已被更改為UnlockID，由bootmgr設(shè)置，并且只有原始的UEFI PRNG輸出)。

基本上，bootmgr在加載時(shí)會(huì)檢查策略，如果它包含的DeviceID與運(yùn)行bootmgr的設(shè)備的DeviceID不匹配，則無(wú)法加載策略。任何允許啟用測(cè)試簽名的策略(微軟稱之為“零售設(shè)備解鎖/RDU策略”并安裝為解鎖設(shè)備)都應(yīng)鎖定為設(shè)備標(biāo)識(shí)(在紅石和更高版本上解鎖)。的確，我有幾個(gè)類似的政策(由Windows Phone生產(chǎn)證書(shū)簽名)，唯一的區(qū)別就是包含了DeviceID和簽名。如果沒(méi)有安裝有效的策略，bootmgr將使用位于其資源中的默認(rèn)策略。此策略是使用BCD規(guī)則來(lái)防止啟用測(cè)試簽名等的策略。

這是事情有趣的部分。在Windows 10 v1607的開(kāi)發(fā)過(guò)程中，微軟出于內(nèi)部測(cè)試和調(diào)試的目的，創(chuàng)造了一種新的安全啟動(dòng)策略(以下簡(jiǎn)稱SBP)。這個(gè)策略本質(zhì)上是“互補(bǔ)”的，沒(méi)有DeviceID，會(huì)導(dǎo)致其設(shè)置合并到現(xiàn)有的啟動(dòng)策略中。引導(dǎo)管理器加載舊的SBP，驗(yàn)證其簽名和真實(shí)性，然后加載這些輔助引導(dǎo)策略。這里的問(wèn)題是，補(bǔ)充政策本身并沒(méi)有得到進(jìn)一步的驗(yàn)證。此外，早于Windows 10 v1511的啟動(dòng)管理器不知道這些策略的互補(bǔ)性是否存在，因此它們的反應(yīng)就像加載了完全有效和簽名的策略一樣。同樣，這種行為很可能是內(nèi)部開(kāi)發(fā)的結(jié)果，所以開(kāi)發(fā)人員不必做每一個(gè)操作

此SBP被稱為“金鑰匙”，因?yàn)樗旧鲜购灻麢z查的目的無(wú)效。盡管此SBP處于停用狀態(tài)，但無(wú)意中將其運(yùn)輸?shù)搅闶墼O(shè)備上。開(kāi)發(fā)人員找到了此SBP，并告知了他們的發(fā)現(xiàn)。現(xiàn)在，可以在Internet上找到 SBP 了，該特定的zip用于在Windows RT設(shè)備上安裝SBP。

這是什么意思?

如果加載了補(bǔ)充SBP，則可以為Windows啟用測(cè)試簽名，以允許您加載未簽名的驅(qū)動(dòng)程序。此外，由于這些策略在引導(dǎo)過(guò)程的引導(dǎo)管理器階段之前起作用，因此您可以損害整個(gè)訂單的安全性并運(yùn)行未經(jīng)授權(quán)的(讀取自簽名)代碼。這給打算修改授權(quán)范圍以外的Windows部分的用戶以及惡意軟件創(chuàng)建者都提供了很多可能性。

這一發(fā)現(xiàn)的作者集中于整個(gè)慘敗的諷刺。Microsoft鎖定了某些設(shè)備上的安全啟動(dòng)，以防止未經(jīng)授權(quán)的更改，但是它內(nèi)置了一個(gè)后門，可以讓它們繼續(xù)進(jìn)行開(kāi)發(fā)和調(diào)試。但是，這種后門為在所有運(yùn)行Windows的設(shè)備上禁用安全啟動(dòng)鋪平了道路，使整個(gè)過(guò)程變得毫無(wú)意義。

現(xiàn)在，不愿意的用戶不僅可以在僅Windows的平板電腦和手機(jī)上安裝Linux發(fā)行版(甚至可以在Android上)，不愿意的用戶還可以通過(guò)破壞對(duì)設(shè)備的物理訪問(wèn)來(lái)安裝惡意的引導(dǎo)程序。盡管前者是我們可以躍躍欲試的事情，但后者并沒(méi)有真正灌輸很多信心。這是雙向的，它向我們展示了為什么安全是一把雙刃劍。此外，SBP本質(zhì)上是通用的，無(wú)論其體系結(jié)構(gòu)如何，都可以在任何設(shè)備上使用。對(duì)于可以輕松關(guān)閉安全啟動(dòng)的臺(tái)式機(jī)來(lái)說(shuō)，它并不是特別有用，但是對(duì)于您不能隨意使用安全啟動(dòng)的設(shè)備來(lái)說(shuō)，它的作用范圍很大。

那么，解決方法是什么?

微軟確實(shí)發(fā)布了一些補(bǔ)丁，但開(kāi)發(fā)人員堅(jiān)持認(rèn)為該問(wèn)題尚未完全解決。您可以檢出這些修補(bǔ)程序(MS16-094和MS16-100)，然后在博客文章本身上閱讀它們?yōu)槭裁床荒芙鉀Q問(wèn)題的信息。如果它們是正確的，則此問(wèn)題尚無(wú)解決方法或修補(bǔ)程序，盡管這不會(huì)阻止Microsoft嘗試在路上設(shè)置更多的障礙。

接下來(lái)是什么?

有很多可能性，其中一些正在我們的Windows論壇上醞釀。您可以查看有關(guān)Windows Phone 8開(kāi)發(fā)和黑客的論壇以及有關(guān)Windows 8，Windows RT和Surface開(kāi)發(fā)和黑客的論壇。您還可以在其他用戶正在討論的某些設(shè)備上找到指令線程。

此調(diào)試后門的存在和SBP的泄漏不僅對(duì)于鎖定Windows設(shè)備的第三方開(kāi)發(fā)很重要，而且還向我們顯示了一個(gè)嚴(yán)峻的提示：如果留有故意的后門會(huì)發(fā)生什么。最近對(duì)安全的關(guān)注已轉(zhuǎn)向調(diào)查機(jī)構(gòu)，要求存在此類后門以協(xié)助其合法調(diào)查目的。但是這些方法遲早會(huì)落入錯(cuò)誤的手中。原本打算用作打擊和司法協(xié)助的工具，后來(lái)有一天將成為本身的工具。