Quantas Partições de Sistema EFI (ESP) um computador pode ter?

11

Estou tentando configurar a inicialização dupla / múltipla em um laptop UEFI que acompanha o Windows 8 instalado. Eu gostaria de operar com o Secure Boot ativado. Posso instalar / configurar sistemas operacionais com o SecureBoot desativado (mas não operarei no modo CSM). Eu estou bem com o lançamento do Windows 8, mas eventualmente o laptop precisará do Windows 8 Pro (x64) instalado para dar suporte ao meu equipamento de desenvolvimento do Windows Phone.

Eu li a documentação da Microsoft sobre UEFI e particionamento nas perguntas frequentes do Windows e GPT . Não sei ao certo quantas ESP (Partições de Sistema EFI) podem estar presentes em um disco. Como o UEFI pode autorizar o acesso a uma partição específica, acho que o seguinte vale:

  • A chave de plataforma (PK) da Microsoft é carregada no UEFI
  • MS PK permite acessar partições da Microsoft
  • O MS usa 4 partições: ESP, MSR, Dados, Recuperação
  • Inicialize no MS quando a opção de inicialização estiver selecionada (aplicada pela UEFI)

Acima, o ESP é a partição do sistema UEFI; MSR é Microsoft System Reserved para arquivos adicionais que não são de pré-inicialização e arquivos OEM; Os dados são para arquivos habituais do SO carregados pelo carregador; e Recuperação são apenas coisas de valor agregado ao SO.

Se eu adicionar uma chave de plataforma do sistema operacional Linux ao banco de dados Platform Key (PK), acredito que precisaria (no mínimo):

  • Outra partição ESP para inicializar / carregar o sistema operacional Linux
  • Outra partição de dados para os arquivos habituais do Linux OS

O ESP adicional seria necessário porque o UEFI precisará de arquivos de inicialização / carregador assinados sob o PK para a opção de inicialização específica; e UEFI não permitirá acesso às partições da Microsoft ao inicializar o sistema operacional Linux.

Quantas Partições de Sistema EFI (ESP) um computador pode ter? O multi-ESP está correto?

jww
fonte

Respostas:

8

Você está operando sob a má compreensão de que as PKs estão vinculadas às ESPs; eles não são. Os recursos criptográficos do Secure Boot exigem que arquivos individuais do carregador de inicialização sejam assinados, mas esses arquivos são armazenados em sistemas de arquivos FAT comuns que não são assinados, criptografados ou de outro modo criptograficamente interessantes. Um arquivo do carregador de inicialização assinado pode ser movido de uma partição para outra e continuar funcionando corretamente, pelo menos da perspectiva do Secure Boot. (Mover um arquivo como esse pode causar uma falha porque foi separado de arquivos de configuração críticos ou similares, é claro, mas isso é outra questão.)

Para responder mais diretamente à pergunta, a especificação EFI não impõe limite no número de ESPs que podem estar presentes em um computador ou disco rígido; você poderia ter dezenas deles, se quisesse, e isso seria bom da perspectiva da EFI. Infelizmente, a Microsoft não é tão flexível; O Windows suporta oficialmente apenas um ESP por disco (talvez por computador; estou um pouco nebuloso com esse detalhe). Não conheço o Windows 8, mas o instalador do Windows 7 será desativado se houver mais de um ESP em um disco; a instalação continuará parte do caminho e falhará. (Pelo menos, é o que é feito nos meus testes.) Dito isto, se você criar um segundo ESP apósinstalando o Windows, o Windows continuará inicializando e operando corretamente, pelo menos até onde eu já vi. (Não posso prometer que não se comportará mal se você usar algum recurso em particular.)

No geral, então, em um ambiente de inicialização múltipla, recomendo restringir-se a um ESP. Também recomendo torná-lo bastante grande - 550MiB é a minha recomendação habitual, por diversas razões técnicas relacionadas a bugs raros e tamanhos de FAT. Dito isto, se você possui uma instalação existente com um ESP menor, provavelmente é bom ficar com ela. Em qualquer um dos casos, o Linux e o Windows podem compartilhar um único ESP muito bem. No entanto, recomendo fazer o backup antecipado e frequente - definitivamente, antes de instalar um novo sistema operacional. Como o ESP mantém seus carregadores de inicialização, uma eliminação acidental dele tornará seu computador não inicializável.

Rod Smith
fonte
Obrigado Rod. "Você está operando sob a má compreensão de que os PKs estão vinculados aos ESPs". A Microsoft declara "O acesso a uma partição é controlado pelo firmware do sistema antes que o sistema inicialize o sistema operacional". Como o firmware pode limitar o acesso a uma partição para uma opção de inicialização, se não por uma chave de plataforma específica? Eu entendo a assinatura, mas e se PK1, PK2, etc, são usados ​​como principal em uma ACL simples (estou tentando descobrir como o subsistema authz funciona aqui).
JWW
1
"a especificação EFI não impõe limite ao número de ESPs que podem estar presentes em um computador ou em um disco rígido". Perfeito, obrigado.
JWW
1
"A Microsoft não é tão flexível; o Windows suporta oficialmente apenas um ESP por disco". A Microsoft não afirmou isso, mas eu pensei que era o caso devido à sua linguagem obscura. Os mesmos funcionários provavelmente estão escrevendo "a NSA não tem acesso direto aos dados de nossos clientes".
JWW
3
Em relação à citação de que "o acesso a uma partição é controlada pelo firmware do sistema", você está interpretando demais. Isso não se refere aos controles criptográficos, mas ao fato de a EFI fornecer drivers para dar acesso aos programas EFI às partições. Microsoft não dizer que ele suporta apenas um ESP. Por exemplo, aqui: "P: Pode haver dois ESPs em um único disco? R: Essa configuração não deve ser criada e não é suportada no Windows".
Rod Smith
O Windows 10 falhou ao instalar enquanto eu tinha dois discos com um ESP cada. Quando desconectei o outro, o instalador pôde continuar sem erros, reutilizando o ESP existente no único disco que eu deixei conectado (que também incluía a partição raiz da janela de destino).
Opatut 13/10/19