Сколько системных разделов EFI (ESP) может иметь компьютер?

11

Я пытаюсь настроить двойную / мультизагрузку на ноутбуке UEFI, который поставляется с установленной Windows 8. Я хотел бы работать с включенной безопасной загрузкой. Я могу установить / настроить ОС с отключенной SecureBoot (но я не буду работать в режиме CSM). У меня все в порядке с выходом Windows 8, но в конечном итоге на ноутбуке потребуется Windows 8 Pro (x64) для поддержки моего механизма разработки Windows Phone.

Я прочитал документацию Microsoft по UEFI и разделы в Windows и GPT FAQ . Мне не ясно, сколько системных разделов EFI (ESP) может присутствовать на диске. Поскольку UEFI может разрешить доступ к определенному разделу, я думаю, что имеет место следующее:

  • Ключ платформы Microsoft (PK) загружен в UEFI
  • MS PK позволяет получить доступ к разделам Microsoft
  • MS использует 4 раздела: ESP, MSR, Data, Recovery
  • Boot to MS, когда выбран вариант загрузки (применяется UEFI)

Выше ESP - системный раздел UEFI; MSR - это Microsoft System Reserved для дополнительных файлов без предварительной загрузки и файлов OEM; Данные для обычных файлов ОС, загружаемых загрузчиком; Восстановление - это просто добавленная стоимость ОС.

Если я добавлю ключ платформы операционной системы Linux в базу данных Platform Key (PK), то я считаю, что мне потребуется (как минимум):

  • Еще один раздел ESP для загрузки / загрузки ОС Linux
  • Еще один раздел данных для обычных файлов ОС Linux

Потребуется дополнительный ESP, потому что UEFI потребуются файлы загрузчика / загрузчика, подписанные под PK для конкретной опции загрузки; и UEFI не разрешит доступ к разделам Microsoft при загрузке ОС Linux.

Сколько системных разделов EFI (ESP) может иметь компьютер? Является ли мульти-ESP правильным?

jww
источник

Ответы:

9

Вы работаете в заблуждении, что ПК привязаны к ESP; они не. Криптографические функции Secure Boot требуют, чтобы отдельные файлы загрузчика были подписаны, но эти файлы хранятся в обычных файловых системах FAT, которые сами не подписаны, не зашифрованы или иным образом криптографически интересны. Подписанный файл загрузчика может быть перемещен из одного раздела в другой и продолжать работать нормально, по крайней мере, с точки зрения безопасной загрузки. (Перемещение такого файла может привести к сбою, поскольку он отделен от критических файлов конфигурации и т. П., Конечно, но это другой вопрос.)

Чтобы более прямо ответить на вопрос, спецификация EFI не накладывает ограничений на количество ESP, которые могут присутствовать на компьютере или на жестком диске; Вы могли бы иметь десятки из них, если бы захотели, и это было бы хорошо с точки зрения EFI. К сожалению, Microsoft не так гибка; Windows официально поддерживает только один ESP на диск (может быть, на компьютер; я немного запутался в этой детали). Я не знаю насчет Windows 8, но установщик Windows 7 вылетит, если увидит более одного ESP на диске; установка пройдет часть пути, а затем потерпит неудачу. (По крайней мере, так было сделано в моих тестах.) Тем не менее, если вы создадите второй ESP послеустановив Windows, Windows продолжит загружаться и работать правильно, по крайней мере, насколько я видел. (Однако я не могу обещать, что если вы используете какую-то особую функцию, это не будет плохо себя вести.)

В целом, в среде с множественной загрузкой я рекомендую ограничиться одним ESP. Я также рекомендую сделать его довольно большим - 550MiB - моя обычная рекомендация по разным техническим причинам, связанным с редкими ошибками и размерами FAT. Тем не менее, если у вас есть существующая установка с меньшим ESP, то, вероятно, хорошо просто придерживаться ее. В любом случае, Linux и Windows могут совместно использовать один ESP. Однако я рекомендую делать резервное копирование пораньше и часто - обязательно сделайте резервную копию перед установкой новой ОС. Поскольку ESP содержит ваши загрузчики, его случайное удаление приведет к тому, что ваш компьютер не загрузится.

Род Смит
источник
Спасибо, Род. «Вы работаете в заблуждении, что ПК привязаны к ESP». Microsoft заявляет: «Доступ к разделу контролируется микропрограммой системы до того, как система загрузит операционную систему». Как встроенное ПО может ограничить доступ к разделу для параметра загрузки, если не с помощью определенного ключа платформы? Я понимаю подписание, но как насчет того, если PK1, PK2 и т. Д. Используются в качестве принципала в простом ACL (я пытаюсь выяснить, как подсистема authz работает здесь).
jww
1
«Спецификация EFI не налагает ограничений на количество ESP, которые могут присутствовать на компьютере или на жестком диске». Отлично, спасибо.
jww
1
«Microsoft не так гибка; Windows официально поддерживает только один ESP на диск». Microsoft не заявляла об этом, но я думал, что это так из-за их теневого языка. Те же парни, вероятно, пишут: «У АНБ нет прямого доступа к данным наших клиентов».
jww
3
Что касается цитаты о том, что «доступ к разделу контролируется микропрограммой системы», вы интерпретируете слишком сильно. Это относится не к криптографическим элементам управления, а к тому факту, что EFI предоставляет драйверы для доступа программ EFI к разделам. Microsoft делает сказать , что он поддерживает только один ESP. Например, здесь: «В: Может ли быть два ESP на одном диске? A: Такая конфигурация не должна создаваться и не поддерживается в Windows».
Род Смит
Windows 10 не удалось установить, в то время как у меня было два диска с ESP каждый. Когда я отключил другой, установщик смог продолжить без ошибок, повторно используя существующий ESP на единственном диске, который я оставил подключенным (который также включал корневой раздел целевого окна).
Опатут