当芯片“罢工”

当芯片“罢工”

    安装了Vista的系统开机后，首先启动的是TPM，它是主板上密码算法芯片中内置的固件。PC一旦加电，TPM芯片就会立即检查Bios和相关硬件，利用哈希算法为平台配置注册表（PCR）中的各个硬件组件计算安全缓存容量。TPM还会检测系统Rom，硬件驱动的主引导记录（MBR）以及分区表，将它们的哈希值存储在TPM的注册表中。这些值将会和上次启动记录的值进行比较，如果结果产生矛盾，TPM就不允许对系统分区进行访问；如果比较后通过，TPM将允许启动过程继续进行。接下来，主引导记录（MBR）会控制启动进程，其指定活动分区，加载首个扇区到系统内存中，之后由启动扇区控制。

    更严苛的安全性，比如安全启动加密整个系统分区（如图1），完整磁盘卷加密（FVE）选项提供了比Windows XP Professional集成的加密文件系统（EFS）更多的功能，EFS只对文档和文件夹进行加密而不是整个分区。现在系统存在的一个很大的问题就是文件包含敏感的系统数据，比如分页文件，注册表以及隐藏文件，这些都是未被加密的，很容易被黑客获取。

　安全启动模式将启动进程分为层层递进的若干阶段，最大的革新就是过去操作系统中没有的安全保护。

    而FVE的优势在于对整个系统分区进行加密。最好的解决方案为FVE和EFS的结合，这样会利用EFS对数据分区上的重要文件夹进行加密，而相关的密钥存储在被FVE保护的系统区上。如果TPM启动系统时没有问题，那么继续会对系统分区解密。

    微软兑现了其要实现Windows安全中心的承诺。安全启动不是必选项，用户可以轻易将其关闭，当然你至少要有本地管理员的权限才行。这就意味着你不能在公司背着系统管理员对安全启动做过多的操作。