9Aug
dodávají s funkcí povolenou funkci "Secure Boot".Jedná se o platformu v UEFI, která nahrazuje tradiční PC BIOS.Pokud chce výrobce počítače umístit do svého počítače nálepku s nálepkou "Windows 10" nebo "Windows 8", vyžaduje společnost Microsoft, aby povolila funkci Secure Boot a dodržovala některé pokyny.
Bohužel také zabraňuje instalaci některých distribucí Linuxu, což může být docela potíže.
Jak bezpečná spoušť zajišťuje proces zavádění počítače
Secure Boot není určen pouze pro ztížení běžícího systému Linux. Existují skutečné bezpečnostní výhody, pokud má zabezpečené spouštění povoleno, a dokonce i uživatelé Linuxu mohou těžit z nich.
Tradiční BIOS spustí jakýkoli software. Při spuštění počítače zkontroluje hardwarová zařízení podle pořadí zavádění, které jste nakonfigurovali, a pokusí se je spustit. Typické počítače běžně vyhledají a spouštějí zavaděč systému Windows, který spouští úplný operační systém Windows. Pokud používáte systém Linux, systém BIOS najde a spustí zaváděcí zavaděč GRUB, který používá většina distribucí Linuxu.
Je však možné, že malware, například rootkit, nahradí zavaděč.Rootkit by mohl načíst váš normální operační systém bez indikace, že se nic nestalo, takže zůstane zcela neviditelný a nedetekovatelný ve vašem systému. Systém BIOS nezná rozdíl mezi škodlivým softwarem a důvěryhodným zavaděčem zaváděcího zařízení - právě se obléká, co zjistí.
Secure Boot je navržen tak, aby to zastavil. Počítače se systémem Windows 8 a 10 jsou dodávány s certifikátem společnosti Microsoft uloženým v systému UEFI.UEFI zkontroluje zavaděč před jeho spuštěním a zajistí, aby byl podepsán společností Microsoft. Pokud rootkit nebo jiný malware nahradí váš zavaděč nebo jej manipuluje, UEFI mu nedovolí zavést systém. To zabraňuje tomu, aby malware napadl váš zaváděcí proces a aby se z vašeho operačního systému zatajil.
Jak společnost Microsoft povoluje spouštění distribucí Linux se zabezpečeným zaváděním
Tato funkce je teoreticky navržena pouze pro ochranu před malwarem. Takže Microsoft nabízí způsob, jak pomáhat Linux distribucí bootovat stejně.To je důvod, proč některé moderní distribuce Linuxu, jako jsou Ubuntu a Fedora, "budou fungovat" pouze na moderních počítačích, a to i se zapnutým zabezpečením. Distribuce systému Linux mohou platit jednorázový poplatek ve výši 99 USD za účelem přístupu k portálu Microsoft Sysdev, kde mohou požádat o podpis svých zavaděčů.Distribuce
Linuxu mají obecně "podložku".Podložka je malý zavaděč, který jednoduše spouští hlavní distributor distribucí systému Linux GRUB.Kontrola shifu podepsaná společností Microsoft ověří, zda je zaváděcí zavaděč podepsaný distribucí systému Linux a distribuce systému Linux distribuuje běžně.
Ubuntu, Fedora, Red Hat Enterprise Linux a openSUSE aktuálně podporují Secure Boot a budou fungovat bez vylepšení moderního hardwaru. Mohou jít o jiné, ale tohle jsou ty, o kterých víme. Některé distribuce systému Linux jsou filozoficky protipřístupné podání žádosti o podpis společnosti Microsoft.
Jak můžete vypnout nebo ovládat zabezpečené spouštění
Pokud by to bylo vše, co jste udělali, nebylo by možné spustit na vašem počítači žádný operační systém schválený společností Microsoft. Ovšem pravděpodobně můžete řídit Secure Boot z firmwaru UEFI vašeho PC, což je jako starší počítače BIOS jako BIOS.
Existují dva způsoby, jak ovládat zabezpečené spuštění.Nejjednodušší metodou je přejít na firmware UEFI a úplně ji deaktivovat. Firmware UEFI nezkontroluje, zda máte spuštěnou podepsanou zaváděcí jednotku, a vše se spustí.Můžete spustit libovolnou distribuci Linuxu nebo dokonce nainstalovat systém Windows 7, který nepodporuje funkci Secure Boot. Windows 8 a 10 budou fungovat dobře, ztratíte bezpečnostní výhody, pokud máte zabezpečený spouštěcí proces.
Můžete také dále přizpůsobit funkci Secure Boot. Můžete řídit, které podpisové certifikáty nabízí Secure Boot. Můžete si nainstalovat nové certifikáty i stávající certifikáty. Organizace, která spustila systém Linux na svých počítačích, se například může rozhodnout odebrat certifikáty společnosti Microsoft a nainstalovat vlastní certifikát organizace na místo. Tyto počítače by pak zaváděly zavaděče pouze schválené a podepsané touto konkrétní organizací.
Jeden by mohl udělat i tohle - mohl by si podepsat svůj vlastní zavaděč systému Linux a zajistit, aby počítač mohl spouštět pouze bootloadery, které jste osobně sestavili a podepsali. To je druh kontroly a napájení Secure Boot nabízí.
Co společnost Microsoft vyžaduje od výrobců počítačů
Společnost Microsoft nejen požaduje, aby prodejci počítačů povolili funkci Secure Boot, pokud chtějí na svých počítačích peknou certifikační štítek "Windows 10" nebo "Windows 8".Společnost Microsoft vyžaduje, aby výrobci počítačů implementovali konkrétní řešení.
Pro počítače se systémem Windows 8 museli výrobci poskytnout způsob, jak vypnout funkci Secure Boot. Společnost Microsoft požadovala od výrobců počítačů, aby v rukách uživatelů vložili přepínač Secure Boot kill.
Pro počítače se systémem Windows 10 není toto již povinné.Výrobci počítačů se mohou rozhodnout povolit funkci Secure Boot a neposkytnout uživatelům způsob, jak je vypnout. Nevíme nic o výrobcích PC, kteří to dělají.
Podobně, zatímco výrobci počítačů musí zahrnovat hlavní klíč "Microsoft Windows PCA", aby mohl systém Windows zavádět, nemusí zahrnovat klíč "Microsoft Corporation UEFI CA".Tento druhý klíč se doporučuje pouze. Je to druhý, nepovinný klíč, který společnost Microsoft používá k podepsání zavaděčů systému Linux. Dokumentace Ubuntu vysvětluje tuto skutečnost.
Jinými slovy, ne všechny počítače budou nutně spouštět podepsané distribuce Linux se zapnutou funkcí Secure Boot. Opět v praxi jsme neviděli žádné počítače, které by to udělaly. Možná, že žádný výrobce počítačů nechce vytvořit jediný řádek notebooků, na které nemůžete nainstalovat Linux.
Přinejmenším by měly běžné Windows PC umožnit zakázat Secure Boot, pokud se vám líbí, a měli by spustit distribuce Linuxu, které byly podepsány společností Microsoft, i když neaktivujete Secure Boot.
Secure Boot nelze vypnout v systému Windows RT, ale Windows RT je mrtvý
Všechno výše uvedené platí pro běžné operační systémy Windows 8 a 10 na standardním hardware Intel x86.Je to rozdílné pro ARM.
V systému Windows RT - verze systému Windows 8 pro hardware ARM, který byl dodáván na povrchy Microsoft Surface RT a Surface 2, mezi dalšími zařízeními - Secure Boot nelze zakázat. Secure Boot nemůže být dnes deaktivován na hardwaru Windows 10 Mobile - jinými slovy na telefonech se systémem Windows 10.
Protože společnost Microsoft chtěla, abyste si mysleli, že systémy Windows RT založené na ARM jsou "zařízení", nikoliv počítače. Microsoft uvedl Mozilla, Windows RT "již není Windows."
Windows RT je však nyní mrtvý.Neexistuje žádná verze operačního systému Windows 10 pro ARM-hardware, takže se nejedná o něco, o co byste se už museli starat. Ale pokud společnost Microsoft vrátí zpět hardware Windows RT 10, pravděpodobně nebudete moci na něm vypnout funkci Secure Boot.
Image Credit: Velvyslanec Base, John Bristowe
