ADMIN 03/14 stellt Erste-Hilfe-Tipps zu Windows-Rettung, Backup und Recovery bei Datenbanken vor und verrät wie man Linux-Systeme vollständig sichert und ... (mehr)

Analyse

Da die Secure-Boot-Technologie weitreichende Auswirkungen auf die Installation von alternativen Betriebssystemen in Stand-Alone- und Dual-Boot-Umgebungen hat, haben die Autoren des vorliegenden Artikels die Möglichkeiten und Probleme in diesen Umgebungen analysiert.

Erstes Ziel war die Analyse der in der UEFI-PreBoot-Umgebung hinterlegten Module, Schlüssel und Variablen und ihren Einfluss auf den Start des Betriebssystems. Betrachtungsgegenstand waren je eine 64-Bit-x86-kompatible Plattform der Hersteller HP, Dell, Lenovo und Medion. Anschließend wurde die Einflussmöglichkeit des Eigentümers einer solchen Hardware-Plattform auf das durch Secure Boot kontrollierte Bootverfahren untersucht. Hierbei standen besonders die folgenden Fragen im Vordergrund  Kann der Anwender Secure Boot deaktivieren?

  • Kann der Anwender alternatives Schlüsselmaterial in der UEFI-Firmware hinterlegen?
  • Welche Möglichkeiten bietet der Hardware-Hersteller für die Modifikation des Schlüsselmaterials?

Darüber hinaus wurde untersucht, inwieweit sich die Betriebssysteme Windows 8 Pro, Red Hat Enterprise Linux 6.4, Ubuntu 13.04, Debian 7.1.0 und Fedora 19 bei aktivem Secure Boot installieren und nutzen lassen. Gegebenenfalls wurden Anpassungsschritte erarbeitet, um das jeweilige Betriebssystem zusammen mit Secure Boot benutzen zu können.

Abschließend wurde der Einsatz von Secure Boot in einer Dual-Boot-Umgebung bestehend aus Windows 8 Pro und Debian 7.1.0 untersucht. Hier wurde unter anderem analysiert, wie Änderungen an der Secure-Boot-Konfiguration durch ein Betriebssystem unterbunden werden können und wie ausgeschlossen werden kann, dass sich die Betriebssysteme untereinander beeinflussen.

Hardware-Plattformen

Alle untersuchten Systeme ermöglichen die Veränderung der Zertifikatsspeicher, die dem Secure-Boot-Vorgang zugrunde liegen. Dazu ist aber oft zusätzliche Software nötig, etwa die unter einer freien Lizenz stehenden EFI-Tools.Mittels des UEFI-Setups können bei allen Systemen die ursprünglich vom Hersteller ausgelieferten Schlüssel in den Zertifikatsspeicher geladen werden und so in den vom Hersteller definierten Ausgangszustand versetzt werden. Auch ermöglicht das UEFI-Setup in allen Fällen den Wechsel in den Setup-Mode und somit eine anschließende Modifizierung der Zertifikatsspeicher.

Das gezielte Einfügen oder Entfernen einzelner Zertifikate oder Hashes mithilfe des UEFI-Setups ermöglichte jedoch nur das System von Dell. Bei allen Rechnern war es aber zumindest möglich, die Zertifikatsspeicher im Setup Mode mittels der EFI-Tools zu modifizieren.

Darüber hinaus boten alle Systeme die Möglichkeit, Secure Boot zu deaktivieren. Ferner lieferten alle Hersteller der untersuchten Systeme die durch die Windows Hardware Certification Requirements vorgeschriebenen Zertifikate einschließlich des optionalen Zertifikats Microsoft Corporation UEFI CA 2011 mit. Einige Hersteller installierten darüber hinaus eigene Zertifikate.

Die auf der EFI-Partition vorinstallierte Software beschränkt sich im Wesentlichen auf Diagnose-Software der Hersteller.

Auf allen zur Verfügung gestellten Systemen ist der Anwender somit in der Lage, auf die Secure-Boot-Funktionalität Einfluss zu nehmen. Er kann Secure Boot deaktivieren, in den Setup Modus versetzen und eigenes Schlüsselmaterial laden. Hierzu kann er teilweise die Werkzeuge aus dem UEFI-Setup nutzen. In den meisten Fällen muss jedoch auf weitere Werkzeuge, wie zum Beispiel die EFI-Tools, zurückgegriffen werden.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020