9Aug

Hvor sikker start fungerer på Windows 8 og 10, og hvad det betyder for Linux

Moderne pc'er leveres med en funktion kaldet "Secure Boot" aktiveret. Dette er en platformsfunktion i UEFI, som erstatter det traditionelle PC BIOS.Hvis en pc-producent ønsker at placere et "Windows 10" eller "Windows 8" -logo på deres pc, kræver Microsoft, at de aktiverer Secure Boot og følger nogle retningslinjer.

Desværre forhindrer det dig også i at installere nogle Linux-distributioner, hvilket kan være noget besvær.

Sådan sikret Boot sikrer pc'ens opstartsproces

Secure Boot er ikke kun designet til at gøre kørslen af ​​Linux vanskeligere. Der er reelle sikkerhedsfordele ved at have Secure Boot aktiveret, og endda Linux-brugere kan have gavn af dem.

En traditionel BIOS starter enhver software. Når du starter din pc, kontrollerer den hardwareenhederne i henhold til den opstartsrækkefølge, du har konfigureret, og forsøger at starte fra dem. Typiske pc'er vil normalt finde og starte Windows boot loader, som fortsætter med at starte det fulde Windows-operativsystem. Hvis du bruger Linux, vil BIOS finde og starte GRUB boot loader, som de fleste Linux distributioner bruger.

Det er dog muligt for malware, som en rootkit, at erstatte din boot loader. Rootkit kunne indlæse dit normale operativsystem uden at indikere noget var forkert, forbliver helt usynligt og uopdageligt på dit system. BIOS kender ikke forskellen mellem malware og en pålidelig boot loader-den støtter bare, hvad den finder.

Secure Boot er designet til at stoppe dette. Windows 8 og 10 pc'er leveres med Microsofts certifikat, der er gemt i UEFI.UEFI vil kontrollere boot loader før lanceringen det og sikre det er underskrevet af Microsoft. Hvis en rootkit eller et andet stykke malware erstatter din boot loader eller manipulerer med det, vil UEFI ikke tillade det at starte. Dette forhindrer malware fra at kapre din opstartsproces og skjule sig fra dit operativsystem.

Hvordan Microsoft tillader Linux-distributioner at starte med Secure Boot

Denne funktion er i teorien kun designet til at beskytte mod malware. Så Microsoft tilbyder en måde at hjælpe Linux distributioner boot alligevel. Derfor vil nogle moderne Linux-distributioner - som Ubuntu og Fedora - "justere" på moderne pc'er, selv med Secure Boot aktiveret. Linux-distributioner kan betale et engangsgebyr på $ 99 for at få adgang til Microsoft Sysdev-portalen, hvor de kan søge at få deres bootloaders underskrevet.

Linux distributioner har generelt en "shim" underskrevet. Shim er en lille boot loader, der simpelthen starter Linux GRUB boot loader. Den Microsoft-underskrevne shim kontrollerer, at det starter en bootloader, der er underskrevet af Linux-distributionen, og derefter Linux-distributionstøvlerne normalt.

Ubuntu, Fedora, Red Hat Enterprise Linux og openSUSE understøtter i øjeblikket Secure Boot, og vil arbejde uden nogen tweaks på moderne hardware. Der kan være andre, men det er dem, vi er opmærksomme på.Nogle Linux-distributioner er filosofisk imod at anmode om at blive underskrevet af Microsoft.

Sådan kan du deaktivere eller kontrollere Secure Boot

Hvis det var alt Secure Boot, kunne du ikke køre et andet Microsoft-godkendt operativsystem på din pc. Men du kan sandsynligvis kontrollere Secure Boot fra din pc's UEFI-firmware, som er som BIOS i ældre pc'er.

Der er to måder at kontrollere Secure Boot på.Den nemmeste metode er at gå til UEFI-firmwaren og deaktivere den helt. UEFI-firmwaren kontrollerer ikke, at du kører en signeret boot loader, og noget vil starte. Du kan starte en Linux-distribution eller endda installere Windows 7, som ikke understøtter Secure Boot. Windows 8 og 10 fungerer fint, du vil bare miste sikkerhedsfordelene ved at have Secure Boot beskytte din opstartsproces.

Du kan også yderligere tilpasse Secure Boot. Du kan kontrollere, hvilke signaturcertifikater Secure Boot tilbyder. Du kan både installere nye certifikater og fjerne eksisterende certifikater. En organisation, der kørte Linux på sine pc'er, kunne for eksempel vælge at fjerne Microsofts certifikater og installere organisationens eget certifikat på stedet. Disse pc'er ville da kun starte opstartslæssere godkendt og underskrevet af den pågældende organisation.

En person kunne også gøre dette - du kunne underskrive din egen Linux boot loader og sikre, at din pc kun kunne starte boot loader du personligt kompileret og underskrevet. Det er den slags kontrol og magt Secure Boot tilbud.

Hvad Microsoft kræver af pc-producenter

Microsoft kræver ikke kun, at pc-leverandører aktiverer Secure Boot, hvis de vil have den gode "Windows 10" eller "Windows 8" -certificeringsklister på deres pc'er. Microsoft kræver, at pc-producenter implementerer det på en bestemt måde.

For Windows 8-pc'er måtte fabrikanterne give dig mulighed for at slukke for Secure Boot. Microsoft krævede pc-producenter at sætte en Secure Boot kill-switch i brugernes hænder.

For Windows 10 pc'er er dette ikke længere obligatorisk. PC-producenter kan vælge at aktivere Secure Boot og ikke give brugerne mulighed for at slukke det. Men vi er faktisk ikke klar over nogen pc-producenter, der gør dette.

På samme måde, mens pc-producenter skal inkludere Microsofts vigtigste "Microsoft Windows Production PCA" -tast, så Windows kan starte, skal de ikke medtage "Microsoft Corporation UEFI CA" -tasten. Denne anden nøgle anbefales kun. Det er den anden valgfri nøgle, som Microsoft bruger til at underskrive Linux-opstartslæsere. Ubuntu's dokumentation forklarer dette.

Med andre ord vil ikke alle pc'er nødvendigvis starte bootede Linux-distributioner med Secure Boot tændt. I praksis har vi ikke set nogen pc'er, der gjorde dette. Måske ønsker ingen pc-producent at lave den eneste linje af bærbare computere, som du ikke kan installere Linux på.

For nuværende skal i det mindste almindelige Windows-pc'er tillade dig at deaktivere Secure Boot, hvis du vil, og de skal starte Linux-distributioner, der er blevet underskrevet af Microsoft, selvom du ikke deaktiverer Secure Boot.

Secure Boot kunne ikke deaktiveres på Windows RT, men Windows RT er Dead

Alt det ovenstående gælder for standard Windows 8 og 10 operativsystemer på standard Intel x86 hardware. Det er anderledes for ARM.

På Windows RT-versionen af ​​Windows 8 til ARM-hardware, som blev sendt på Microsofts Surface RT og Surface 2, kunne andre enheder - Secure Boot ikke deaktiveres. I dag kan Secure Boot stadig ikke deaktiveres på Windows 10 Mobile-hardware - med andre ord, telefoner, der kører Windows 10.

Det var fordi Microsoft ønskede, at du skulle tænke på ARM-baserede Windows RT-systemer som "enheder", ikke pc'er. Som Microsoft fortalte Mozilla, er Windows RT "ikke Windows længere."

Windows RT er imidlertid nu død. Der er ingen version af Windows 10-desktop-operativsystemet til ARM-hardware, så dette er ikke noget, du skal bekymre dig om mere. Men hvis Microsoft bringer tilbage Windows RT 10-hardware, vil du sandsynligvis ikke kunne deaktivere Secure Boot på den.

Billedkredit: Ambassadør Base, John Bristowe