Ich verstehe, dass PXE durch die Verwendung von TFTP über UDP implementiert wird. Keines dieser Protokolle überprüft die Integrität, was für etwas wie das Betriebssystem wichtig zu sein scheint. Gibt es vor dem Booten des Betriebssystems irgendwo anders eine Art Integritätsprüfung? Wird von jedem Betriebssystem erwartet, dass es zuerst seine eigene Integritätsprüfung durchführt? (Das scheint keine gute Idee zu sein) – oder ist es aus irgendeinem Grund einfach nicht wichtig genug?
Antwort1
PXE ist nur ein Teil Ihrer „netzwerkbasierten Bereitstellungsumgebung“ … PXE kann heute durch Secure Boot (UEFI) oder in der Vergangenheit durch die BIS-Spezifikation geschützt werden.
Die PXE-Rolle wird beendet, wenn das letzte NBP (Network Boot Program) in der Boot-Kette die Verwendung der PXE-APIs (Application Program Interface) beendet. Ab diesem Moment muss die Sicherheit durch die gebootete/bereitgestellte Software-Assembly implementiert werden.
Heutzutage verfügen „netzwerkbasierte Bereitstellungsumgebungen“ wie WDS/MDT/SCCM über zahlreiche Sicherheitsfunktionen wie DHCP-MAC- und Architekturfilter, Domäneneinschränkungen usw. usw. usw. …