當安全啟動已停用時,是否可以從終端刪除 PK 金鑰?我知道要更改按鍵,您需要進入設定模式。並且要進入設定模式,您需要刪除 PK 金鑰。現在,是否可以不透過 BIOS 而透過作業系統的終端刪除 PK 金鑰?請記住,安全啟動已停用。
我問這個問題的原因是因為我想安裝 2 個作業系統。首先是使用我自己的金鑰簽署的 Linux,然後是 Windows。在 BIOS 中,我將只有我的自訂按鍵,因此沒有 Microsoft 按鍵。當啟動 Linux 時,我將開啟安全啟動,當啟動 Windows 時,我將關閉安全啟動(因為我不會註冊 Microsoft 金鑰,只有我的自訂金鑰)。
Linux 對我來說是一個重要的作業系統,這就是為什麼我會在打開安全啟動的情況下啟動它;但Windows我不會用於任何重要的事情,所以在沒有安全啟動的情況下啟動它就可以了。
但是,假設我的 Windows 作業系統上安裝了惡意應用程式。如果我在關閉安全啟動的情況下啟動 Windows,此惡意應用程式是否能夠更改我的安全啟動金鑰?這就是我想要理解的。
答案1
啟用安全啟動後,安全啟動金鑰用於在執行所有二進位物件之前驗證它們(直到作業系統啟動,之後安全性由作業系統負責)。這包括始終使用主機板製造商的金鑰(儲存在安全啟動的平台金鑰或 PK 中)或金鑰Microsoft UEFI CA 2011(儲存在金鑰交換金鑰或KEK 中,通常與儲存在主機板製造商的金鑰相同的金鑰)進行簽署的 BIOS 更新。
因此,啟用安全啟動時不會發生 BIOS 的隨機更新。
當 PK 被移除/刪除時,將進入安全啟動setup mode(與啟用安全啟動並強制檢查的情況相反user mode),直到新增平台金鑰。設定模式允許修改安全啟動配置,而無需先前的限制和檢查。
MS 文件第 1.3.2 節標題為Windows 安全啟動金鑰建立與管理指南提供了有關按鍵如何相互互動以及整體啟動的更多詳細資訊。