基于Windows的操作系統(tǒng)不再是移動環(huán)境中的默認(rèn)和主要選擇。安卓的開源性吸引了很多OEM的粉絲，所以現(xiàn)在用Windows的手機越來越少了。但是，如果你屬于日常生活中繼續(xù)使用Windows設(shè)備的人，你會發(fā)現(xiàn)一些新聞。是好是壞，取決于你的立場和對這個新聞用例的解讀。

據(jù)Ars Technica和TheRegister報道，這個消息來自網(wǎng)站，可能會讓你頭疼(別開玩笑了)。一些開發(fā)人員(@never_released和@ the pack 0 Lian)發(fā)現(xiàn)，微軟為調(diào)試而創(chuàng)建的后門已經(jīng)打開了在Windows設(shè)備上禁用安全啟動的可能性。

安全起步，這是什么？

第一次啟動Windows設(shè)備時，啟動過程一般按照以下順序：UEFI(統(tǒng)一可擴展固件接口，是BIOS的替代品)-Boot Manager-Boot Loader-Windows。UEFI是有安全啟動功能的地方。顧名思義，它與安全引導(dǎo)結(jié)合使用，通過在后續(xù)步驟中要求數(shù)字簽名來提高安全性。本質(zhì)上，如果引導(dǎo)加載程序沒有使用UEFI期望使用的密鑰進行簽名，則引導(dǎo)設(shè)備的過程將不會完成。

安全引導(dǎo)是一項可選功能，但微軟已強制啟用該功能，以便從Windows 8及更高版本獲得Windows認(rèn)證。原因是安全啟動使得惡意軟件作者很難在啟動期間插入代碼。但是，安全引導(dǎo)的一個副作用是，它讓W(xué)indows機器上的雙引導(dǎo)有點復(fù)雜，因為第二個操作系統(tǒng)及其所有必要的組件也需要數(shù)字簽名，否則，需要禁用安全引導(dǎo)。還有很多其他的問題，有經(jīng)驗的雙首發(fā)知道的比我一段話能解釋的還要多。

現(xiàn)在，即使用戶想禁用安全引導(dǎo)，一些設(shè)備也不能禁用。在這個領(lǐng)域，我們的話題已經(jīng)從所有的Windows設(shè)備(包括臺式機)急劇減少到特定的Windows設(shè)備，比如Windows Phone設(shè)備、Windows RT設(shè)備、一些Surface設(shè)備甚至HoloLens。這些最終用戶設(shè)備已經(jīng)鎖定了安全引導(dǎo)，這意味著最終用戶不能修改或禁用與安全引導(dǎo)相關(guān)的方面，并且通過擴展，他們不能以未經(jīng)授權(quán)的方式訪問微軟的最終用戶操作系統(tǒng)。

但是，出于正在進行的官方開發(fā)的目的，安全啟動需要放松一點。鎖定的設(shè)備上有一個安全引導(dǎo)策略，它可以幫助授權(quán)開發(fā)，而無需禁用安全引導(dǎo)。正如研究用戶提到的，這個安全啟動策略文件是在Windows啟動期間由啟動管理器加載的。策略文件還可以包含注冊表規(guī)則，而注冊表規(guī)則又可以包含策略本身的配置。同樣，策略文件必須經(jīng)過簽名，并且存在其他適當(dāng)?shù)脑O(shè)置，以確保只有Microsoft可以設(shè)置這些更改。

簽名元素還依賴于應(yīng)用程序中使用的所謂的設(shè)備標(biāo)識。我就讓博文在這里解釋一下，因為有些部分我不太清楚：

另外，還有一個東西叫DeviceID。這是一些UEFI PRNG輸出的加鹽SHA-256散列的第一個64位。在Windows Phone和Windows RT上應(yīng)用策略時使用它(mobilestaRTup在Phone上設(shè)置它，在RT上首次啟動時在SecureBootDebug.efi上設(shè)置它)。

在電話上，策略必須位于EFIESP分區(qū)上的特定位置，其文件名包括十六進制形式的DeviceID。(對于紅石，它已被更改為UnlockID，由bootmgr設(shè)置，并且只有原始的UEFI PRNG輸出)。

基本上，bootmgr在加載時會檢查策略，如果它包含的DeviceID與運行bootmgr的設(shè)備的DeviceID不匹配，則無法加載策略。任何允許啟用測試簽名的策略(微軟稱之為“零售設(shè)備解鎖/RDU策略”并安裝為解鎖設(shè)備)都應(yīng)鎖定為設(shè)備標(biāo)識(在紅石和更高版本上解鎖)。的確，我有幾個類似的政策(由Windows Phone生產(chǎn)證書簽名)，唯一的區(qū)別就是包含了DeviceID和簽名。如果沒有安裝有效的策略，bootmgr將使用位于其資源中的默認(rèn)策略。此策略是使用BCD規(guī)則來防止啟用測試簽名等的策略。

這是事情有趣的部分。在Windows 10 v1607的開發(fā)過程中，微軟出于內(nèi)部測試和調(diào)試的目的，創(chuàng)造了一種新的安全啟動策略(以下簡稱SBP)。這個策略本質(zhì)上是“互補”的，沒有DeviceID，會導(dǎo)致其設(shè)置合并到現(xiàn)有的啟動策略中。引導(dǎo)管理器加載舊的SBP，驗證其簽名和真實性，然后加載這些輔助引導(dǎo)策略。這里的問題是，補充政策本身并沒有得到進一步的驗證。此外，早于Windows 10 v1511的啟動管理器不知道這些策略的互補性是否存在，因此它們的反應(yīng)就像加載了完全有效和簽名的策略一樣。同樣，這種行為很可能是內(nèi)部開發(fā)的結(jié)果，所以開發(fā)人員不必做每一個操作

此SBP被稱為“金鑰匙”，因為它基本上使簽名檢查的目的無效。盡管此SBP處于停用狀態(tài)，但無意中將其運輸?shù)搅闶墼O(shè)備上。開發(fā)人員找到了此SBP，并告知了他們的發(fā)現(xiàn)?，F(xiàn)在，可以在Internet上找到 SBP 了，該特定的zip用于在Windows RT設(shè)備上安裝SBP。

這是什么意思?

如果加載了補充SBP，則可以為Windows啟用測試簽名，以允許您加載未簽名的驅(qū)動程序。此外，由于這些策略在引導(dǎo)過程的引導(dǎo)管理器階段之前起作用，因此您可以損害整個訂單的安全性并運行未經(jīng)授權(quán)的(讀取自簽名)代碼。這給打算修改授權(quán)范圍以外的Windows部分的用戶以及惡意軟件創(chuàng)建者都提供了很多可能性。

這一發(fā)現(xiàn)的作者集中于整個慘敗的諷刺。Microsoft鎖定了某些設(shè)備上的安全啟動，以防止未經(jīng)授權(quán)的更改，但是它內(nèi)置了一個后門，可以讓它們繼續(xù)進行開發(fā)和調(diào)試。但是，這種后門為在所有運行Windows的設(shè)備上禁用安全啟動鋪平了道路，使整個過程變得毫無意義。

現(xiàn)在，不愿意的用戶不僅可以在僅Windows的平板電腦和手機上安裝Linux發(fā)行版(甚至可以在Android上)，不愿意的用戶還可以通過破壞對設(shè)備的物理訪問來安裝惡意的引導(dǎo)程序。盡管前者是我們可以躍躍欲試的事情，但后者并沒有真正灌輸很多信心。這是雙向的，它向我們展示了為什么安全是一把雙刃劍。此外，SBP本質(zhì)上是通用的，無論其體系結(jié)構(gòu)如何，都可以在任何設(shè)備上使用。對于可以輕松關(guān)閉安全啟動的臺式機來說，它并不是特別有用，但是對于您不能隨意使用安全啟動的設(shè)備來說，它的作用范圍很大。

那么，解決方法是什么?

微軟確實發(fā)布了一些補丁，但開發(fā)人員堅持認(rèn)為該問題尚未完全解決。您可以檢出這些修補程序(MS16-094和MS16-100)，然后在博客文章本身上閱讀它們?yōu)槭裁床荒芙鉀Q問題的信息。如果它們是正確的，則此問題尚無解決方法或修補程序，盡管這不會阻止Microsoft嘗試在路上設(shè)置更多的障礙。

接下來是什么?

有很多可能性，其中一些正在我們的Windows論壇上醞釀。您可以查看有關(guān)Windows Phone 8開發(fā)和黑客的論壇以及有關(guān)Windows 8，Windows RT和Surface開發(fā)和黑客的論壇。您還可以在其他用戶正在討論的某些設(shè)備上找到指令線程。

此調(diào)試后門的存在和SBP的泄漏不僅對于鎖定Windows設(shè)備的第三方開發(fā)很重要，而且還向我們顯示了一個嚴(yán)峻的提示：如果留有故意的后門會發(fā)生什么。最近對安全的關(guān)注已轉(zhuǎn)向調(diào)查機構(gòu)，要求存在此類后門以協(xié)助其合法調(diào)查目的。但是這些方法遲早會落入錯誤的手中。原本打算用作打擊和司法協(xié)助的工具，后來有一天將成為本身的工具。