¿Cuántas particiones del sistema EFI (ESP) puede tener una computadora?

11

Estoy tratando de configurar el arranque dual / múltiple en una computadora portátil UEFI que viene con Windows 8 instalado. Me gustaría operar con Secure Boot habilitado. Puedo instalar / configurar OS con SecureBoot deshabilitado (pero no operaré en modo CSM). Estoy de acuerdo con volar Windows 8, pero eventualmente la computadora portátil necesitará Windows 8 Pro (x64) instalado para admitir mi equipo de desarrollo de Windows Phone.

He leído la documentación de Microsoft sobre UEFI y particionamiento en las preguntas frecuentes de Windows y GPT . No tengo claro cuántas particiones del sistema EFI (ESP) pueden estar presentes en un disco. Dado que el UEFI puede autorizar el acceso a una partición en particular, creo que se cumple lo siguiente:

  • La clave de plataforma (PK) de Microsoft se carga en UEFI
  • MS PK permite acceder a particiones de Microsoft
  • MS usa 4 particiones: ESP, MSR, Datos, Recuperación
  • Arrancar en MS cuando se selecciona la opción de arranque (forzada por UEFI)

Arriba, ESP es la partición del sistema UEFI; MSR es el sistema de Microsoft reservado para archivos adicionales que no sean de prearranque y archivos OEM; Los datos son para archivos de sistema operativo habituales cargados por el cargador; y la recuperación es solo un valor agregado del sistema operativo.

Si agrego la clave de plataforma de un sistema operativo Linux a la base de datos de Clave de plataforma (PK), creo que necesitaría (como mínimo):

  • Otra partición ESP para arrancar / cargar el sistema operativo Linux
  • Otra partición de datos para los archivos habituales del sistema operativo Linux

Se requeriría el ESP adicional porque UEFI necesitará archivos de arranque / cargador firmados bajo la PK para la Opción de arranque particular; y UEFI no permitirá el acceso a las particiones de Microsoft al arrancar el sistema operativo Linux.

¿Cuántas particiones del sistema EFI (ESP) puede tener una computadora? ¿Es correcto el multi-ESP?

linux windows-8 boot partitioning uefi jww
fuente

Respuestas:

8

Estás operando bajo la idea errónea de que las PK están vinculadas a ESP; no lo son Las características criptográficas de arranque seguro requieren que se firmen los archivos individuales del cargador de arranque , pero esos archivos se almacenan en sistemas de archivos FAT comunes que no están firmados, encriptados o criptográficamente interesantes. Un archivo de cargador de arranque firmado se puede mover de una partición a otra y continuar funcionando bien, al menos desde una perspectiva de arranque seguro. (Mover un archivo de este tipo puede hacer que falle porque se ha separado de los archivos de configuración críticos o similares, por supuesto, pero eso es otro asunto).

Para responder más directamente a la pregunta, la especificación EFI no impone ningún límite en el número de ESP que pueden estar presentes en una computadora o en un disco duro; podrías tener docenas de ellos si quisieras, y eso estaría bien desde la perspectiva de EFI. Desafortunadamente, Microsoft no es tan flexible; Windows oficialmente admite solo una ESP por disco (tal vez por computadora; estoy un poco confuso en ese detalle). No sé acerca de Windows 8, pero el instalador de Windows 7 fallará si ve más de un ESP en un disco; la instalación continuará parte del camino y luego fallará. (Al menos, eso es lo que se hace en mis pruebas). Dicho eso, si creas un segundo ESP después instalación de Windows, Windows continuará arrancando y funcionando correctamente, al menos por lo que he visto. (Sin embargo, no puedo prometer que no se comportará mal si usa alguna característica en particular).

En general, entonces, en un entorno de arranque múltiple, recomiendo restringirse a un ESP. También recomiendo hacerlo bastante grande: 550MiB es mi recomendación habitual, por diversas razones técnicas que tienen que ver con errores raros y tamaños FAT. Dicho esto, si tiene una instalación existente con un ESP más pequeño, probablemente esté bien seguir con ella. En cualquier caso, Linux y Windows pueden compartir un solo ESP muy bien. Sin embargo, recomiendo hacer una copia de seguridad temprano y con frecuencia, definitivamente haga una copia de seguridad antes de instalar un nuevo sistema operativo. Debido a que el ESP retiene sus cargadores de arranque, un borrado accidental hará que su computadora no se pueda arrancar.

Rod Smith
fuente
Gracias Rod. "Estás operando bajo el malentendido de que las PK están vinculadas a ESP". Microsoft declara "El acceso a una partición es controlado por el firmware del sistema antes de que el sistema inicie el sistema operativo". ¿Cómo puede el firmware limitar el acceso a una partición para una opción de arranque si no es por una clave de plataforma en particular? Entiendo la firma, pero ¿qué tal si PK1, PK2, etc. se utilizan como un principal en una ACL simple (estoy tratando de averiguar cómo funciona el subsistema authz aquí).
jww
1
"la especificación EFI no impone ningún límite en el número de ESP que pueden estar presentes en una computadora o en un disco duro". Perfecto gracias.
jww
1
"Microsoft no es tan flexible; Windows admite oficialmente solo un ESP por disco". Microsoft no dijo esto, pero pensé que era el caso debido a su lenguaje sombrío. Los mismos tipos probablemente escriben "la NSA no tiene acceso directo a los datos de nuestros clientes".
jww
3
Con respecto a la cita de que "el acceso a una partición está controlado por el firmware del sistema", está sobreinterpretando. Eso no se refiere a los controles criptográficos, sino al hecho de que el EFI proporciona controladores para que los programas EFI tengan acceso a las particiones. Microsoft no decir que es compatible con un solo ESP. Por ejemplo, aquí: "P: ¿Puede haber dos ESP en un solo disco? R: Tal configuración no debe crearse y no es compatible con Windows".
Rod Smith
Windows 10 no se pudo instalar mientras tenía dos discos con un ESP cada uno. Cuando desconecté el otro, el instalador pudo continuar sin errores, reutilizando el ESP existente en el único disco que dejé enchufado (que también incluía la partición raíz de la ventana de destino).
Opatut