Fel*_*lor 22 bios laptop bootloader uefi desktop-computer
手机制造商总是锁定其设备的引导加载程序 - 也就是说,他们阻止您获得设备的 root 访问权限,或卸载默认操作系统并安装其他系统。有多种方法可以解锁引导加载程序,但您必须克服重重困难才能完成(难度因品牌而异,甚至不可能)。
与此同时,PC 的引导加载程序始终处于解锁状态。您可以将 USB 记忆棒插入全新设备(无需额外步骤)并安装您想要的任何内容。我没有 Mac 设备,所以我可能是错的,但我听说 Mac 引导加载程序也没有锁定;这就是 Asahi Linux 成为可能的原因。
对于 PC 制造商(还有 Mac,如果我是对的?)来说,像手机制造商那样锁定引导加载程序是完全有意义的,即控制哪些软件可以在其设备上运行,从而保持市场份额。他们为什么不呢?如果许多 PC 品牌也生产手机,但他们的 PC 在手机锁定时解锁了引导加载程序,那就更没有意义了。为什么会出现这种差距呢?
是否有经济激励措施鼓励公司保持 PC 引导加载程序解锁(例如企业客户)?
是否存在不得锁定 PC 引导加载程序的法律要求(例如反垄断法)?
当使用需要经过安全标准认证的设备时,由于所处理的数据的敏感性,有关于如何应用设备安全性(也称为锁定设备)的指导文档。除了其他答案中的安全启动之外,您可能还需要考虑 TPM 和 DMA 保护。例如英国 NCSC设备安全指南 - 选择设备包括:
经过现代待机认证的设备必须满足 UEFI 安全启动的所有要求,并在出厂时启用它。它们不应具有允许 DMA 访问的端口,并且应具有TPM 2.0或更高版本。
TPM是一个独立的加密协处理器,提供硬件支持的安全功能。这些显着提高了设备的物理安全性,并且是在最安全的配置中使用静态数据加密所必需的。如果可能,应首选包含 TPM 2.0 的设备。
由于某些设备锁定取决于操作系统,例如为了支持 静态数据加密, Bitlocker 用于 Windows。UKS/dm-crypt 用于 Ubuntu 的磁盘加密,可以理解为什么 PC 制造商提供未锁定的设备。
| 归档时间: |
|
| 查看次数: |
9053 次 |
| 最近记录: |