Wie viele EFI-Systempartitionen (ESP) kann ein Computer haben?

11

Ich versuche, Dual / Multiboot auf einem UEFI-Laptop einzurichten, auf dem Windows 8 installiert ist. Ich möchte mit aktiviertem Secure Boot arbeiten. Ich kann Betriebssysteme mit deaktiviertem SecureBoot installieren / konfigurieren (aber ich arbeite nicht im CSM-Modus). Ich bin mit dem Ausblasen von Windows 8 einverstanden, aber irgendwann muss auf dem Laptop Windows 8 Pro (x64) installiert sein, um meine Windows Phone-Entwicklungsausrüstung zu unterstützen.

Ich habe die Microsoft-Dokumentation zu UEFI und Partitionierung unter Windows und GPT-FAQ gelesen . Mir ist nicht klar, wie viele EFI-Systempartitionen (ESP) auf einer Festplatte vorhanden sein können. Da das UEFI den Zugriff auf eine bestimmte Partition autorisieren kann, gilt meines Erachtens Folgendes:

  • Der Plattformschlüssel (PK) von Microsoft wird in UEFI geladen
  • MS PK ermöglicht den Zugriff auf Microsoft-Partitionen
  • MS verwendet 4 Partitionen: ESP, MSR, Daten, Wiederherstellung
  • Boot to MS, wenn die Boot-Option ausgewählt ist (von UEFI erzwungen)

Oben ist ESP die UEFI-Systempartition. MSR ist Microsoft System Reserved für zusätzliche Nicht-Preboot-Dateien und OEM-Dateien. Die Daten beziehen sich auf übliche Betriebssystemdateien, die vom Loader geladen werden. und Wiederherstellung ist nur ein Mehrwert für Betriebssysteme.

Wenn ich der Platform Key (PK) -Datenbank den Plattformschlüssel eines Linux-Betriebssystems hinzufüge, glaube ich, dass ich (mindestens) Folgendes benötigen würde:

  • Eine weitere ESP-Partition zum Booten / Laden des Linux-Betriebssystems
  • Eine weitere Datenpartition für die üblichen Linux-Betriebssystemdateien

Das zusätzliche ESP wäre erforderlich, da UEFI Boot / Loader-Dateien benötigt, die unter der PK für die jeweilige Boot-Option signiert sind. und UEFI erlaubt beim Booten des Linux-Betriebssystems keinen Zugriff auf Microsoft-Partitionen.

Wie viele EFI-Systempartitionen (ESP) kann ein Computer haben? Ist Multi-ESP korrekt?

linux windows-8 boot partitioning uefi jww
quelle

Antworten:

8

Sie arbeiten unter dem Missverständnis, dass PKs an ESPs gebunden sind. sie sind nicht. Für die kryptografischen Funktionen von Secure Boot müssen einzelne Bootloader-Dateien signiert werden. Diese Dateien werden jedoch auf normalen FAT-Dateisystemen gespeichert, die selbst nicht signiert, verschlüsselt oder auf andere Weise kryptografisch interessant sind. Eine signierte Bootloader-Datei kann von einer Partition auf eine andere verschoben werden und funktioniert zumindest aus Sicht des sicheren Starts weiterhin einwandfrei. (Das Verschieben einer solchen Datei kann zum Fehlschlagen führen, da sie natürlich von kritischen Konfigurationsdateien oder Ähnlichem getrennt wurde, aber das ist eine andere Sache.)

Um die Frage direkter zu beantworten, ist in der EFI-Spezifikation die Anzahl der ESPs, die auf einem Computer oder einer Festplatte vorhanden sein können, unbegrenzt. Sie könnten Dutzende davon haben, wenn Sie wollten, und das wäre aus Sicht des EFI in Ordnung. Leider ist Microsoft nicht so flexibel. Windows unterstützt offiziell nur ein ESP pro Festplatte (möglicherweise pro Computer; ich bin in diesem Detail etwas neblig). Ich weiß nichts über Windows 8, aber das Windows 7-Installationsprogramm wird ausgeblendet, wenn mehr als ein ESP auf einer Festplatte angezeigt wird. Die Installation wird teilweise fortgesetzt und schlägt dann fehl. (Zumindest das ist , was es in meinen Tests fertig ist.) Das heißt, wenn Sie ein zweites erstellen ESP nachBei der Installation von Windows wird Windows weiterhin gestartet und funktioniert ordnungsgemäß, zumindest soweit ich das gesehen habe. (Ich kann nicht versprechen, dass es sich nicht schlecht verhält, wenn Sie eine bestimmte Funktion verwenden.)

Insgesamt empfehle ich daher in einer Multi-Boot-Umgebung, sich auf ein ESP zu beschränken. Ich empfehle auch, es ziemlich groß zu machen - 550 MB sind meine übliche Empfehlung, aus verschiedenen technischen Gründen, die mit seltenen Fehlern und FAT-Größen zu tun haben. Das heißt, wenn Sie eine vorhandene Installation mit einem kleineren ESP haben, ist es wahrscheinlich in Ordnung, einfach dabei zu bleiben. In beiden Fällen können Linux und Windows ein einziges ESP problemlos gemeinsam nutzen. Ich empfehle jedoch, es früh und häufig zu sichern - auf jeden Fall vor der Installation eines neuen Betriebssystems. Da das ESP Ihre Bootloader enthält, wird Ihr Computer durch versehentliches Löschen nicht mehr bootfähig sein.

Rod Smith
quelle
Danke Rod. "Sie arbeiten unter dem Missverständnis, dass PKs an ESPs gebunden sind." Microsoft gibt an, dass "der Zugriff auf eine Partition von der Systemfirmware gesteuert wird, bevor das System das Betriebssystem startet". Wie kann die Firmware den Zugriff auf eine Partition für eine Startoption einschränken, wenn nicht durch einen bestimmten Plattformschlüssel? Ich verstehe das Signieren, aber wie wäre es, wenn PK1, PK2 usw. als Prinzipal in einer einfachen ACL verwendet werden (ich versuche herauszufinden, wie das authz-Subsystem hier funktioniert).
JWW
1
"Die EFI-Spezifikation begrenzt die Anzahl der ESPs, die auf einem Computer oder einer Festplatte vorhanden sein können, nicht." Perfekt danke.
JWW
1
"Microsoft ist nicht so flexibel; Windows unterstützt offiziell nur ein ESP pro Festplatte." Microsoft hat dies nicht angegeben, aber ich dachte, dass dies aufgrund ihrer zwielichtigen Sprache der Fall ist. Die gleichen Leute schreiben wahrscheinlich "Die NSA hat keinen direkten Zugriff auf die Daten unserer Kunden".
JWW
3
In Bezug auf das Zitat, dass "der Zugriff auf eine Partition von der Systemfirmware gesteuert wird", interpretieren Sie zu viel. Dies bezieht sich nicht auf kryptografische Steuerelemente, sondern auf die Tatsache, dass das EFI Treiber bereitstellt, mit denen EFI-Programme auf Partitionen zugreifen können. Microsoft sagt , dass es nur ein ESP unterstützt. Zum Beispiel hier: "F: Können sich zwei ESPs auf einer einzelnen Festplatte befinden? A: Eine solche Konfiguration sollte nicht erstellt werden und wird in Windows nicht unterstützt."
Rod Smith
Windows 10 konnte nicht installiert werden, während ich zwei Festplatten mit jeweils einem ESP hatte. Als ich den anderen vom Computer getrennt habe, konnte das Installationsprogramm fehlerfrei fortfahren und das vorhandene ESP auf der einzigen Festplatte wiederverwenden, die ich noch angeschlossen hatte (einschließlich der Root-Partition des Zielfensters).
Opatut