9Aug
Moderne PCs werden mit einer Funktion namens "Secure Boot" ausgeliefert. Dies ist eine Plattformfunktion in UEFI, die das herkömmliche PC-BIOS ersetzt. Wenn ein PC-Hersteller einen "Windows 10" - oder "Windows 8" -Logo-Aufkleber auf seinem PC anbringen möchte, verlangt Microsoft, dass sie Secure Boot aktivieren und einige Richtlinien befolgen.
Leider verhindert es auch, dass Sie einige Linux-Distributionen installieren, was ziemlich mühsam sein kann.
Wie Secure Boot den Boot-Prozess Ihres PCs sichert
Secure Boot ist nicht nur dazu gedacht, laufendes Linux zu erschweren. Es gibt echte Sicherheitsvorteile, wenn Secure Boot aktiviert ist und sogar Linux-Benutzer davon profitieren können.
Ein herkömmliches BIOS startet jede Software. Wenn Sie Ihren PC booten, überprüft er die Hardwaregeräte entsprechend der von Ihnen konfigurierten Startreihenfolge und versucht, von ihnen zu booten. Typische PCs finden und booten normalerweise den Windows-Bootloader, der anschließend das vollständige Windows-Betriebssystem bootet. Wenn Sie Linux verwenden, sucht und bootet das BIOS den GRUB-Bootloader, den die meisten Linux-Distributionen verwenden.
Es ist jedoch möglich, dass Malware wie ein Rootkit Ihren Bootloader ersetzt. Das Rootkit könnte Ihr normales Betriebssystem laden, ohne dass irgendetwas darauf hindeutete, dass etwas nicht in Ordnung war, und auf Ihrem System vollständig unsichtbar und nicht nachweisbar bleibt. Das BIOS kennt den Unterschied zwischen Malware und einem vertrauenswürdigen Bootloader nicht - es startet nur das, was es findet.
Secure Boot wurde entwickelt, um dies zu stoppen. Windows 8 und 10 PCs werden mit dem in UEFI gespeicherten Microsoft-Zertifikat ausgeliefert. UEFI überprüft den Bootloader vor dem Start und stellt sicher, dass er von Microsoft signiert ist. Wenn ein Rootkit oder eine andere Malware den Bootloader ersetzt oder manipuliert, lässt UEFI das Starten nicht zu. Auf diese Weise wird verhindert, dass Malware den Startvorgang hemmt und sich von Ihrem Betriebssystem versteckt.
So ermöglicht Microsoft Linux-Distributionen das Booten mit Secure Boot
Diese Funktion ist theoretisch nur zum Schutz vor Malware gedacht. Daher bietet Microsoft eine Möglichkeit, Linux-Distributionen trotzdem zu booten. Aus diesem Grund werden einige moderne Linux-Distributionen - wie Ubuntu und Fedora - auch auf modernen PCs "funktionieren", selbst wenn Secure Boot aktiviert ist. Linux-Distributionen können eine einmalige Gebühr von 99 US-Dollar für den Zugriff auf das Microsoft Sysdev-Portal bezahlen, wo sie ihre Bootloader signieren lassen können.
Linux-Distributionen haben in der Regel eine "shim" signiert. Der Shim ist ein kleiner Bootloader, der einfach den GRUB-Bootloader der Linux-Distributionen startet. Die von Microsoft signierten Shim-Prüfungen stellen sicher, dass ein von der Linux-Distribution signierter Bootloader gestartet wird. Anschließend wird die Linux-Distribution normal gestartet.
Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE unterstützen derzeit Secure Boot und funktionieren ohne jegliche Verbesserungen auf moderner Hardware. Es mögen andere sein, aber diese sind uns bewusst. Einige Linux-Distributionen sind philosophisch gegen eine Bewerbung von Microsoft zu unterzeichnen.
Wie Sie Secure Boot deaktivieren oder steuern können
Wenn dies alles bei Secure Boot der Fall wäre, könnten Sie kein von Microsoft nicht zugelassenes Betriebssystem auf Ihrem PC ausführen. Aber Sie können Secure Boot wahrscheinlich von der UEFI-Firmware Ihres PCs aus steuern, die wie das BIOS älterer PCs aussieht.
Es gibt zwei Möglichkeiten, den sicheren Start zu steuern. Die einfachste Methode besteht darin, zur UEFI-Firmware zu wechseln und sie vollständig zu deaktivieren. Die UEFI-Firmware überprüft nicht, ob Sie einen signierten Bootloader ausführen und alles wird gestartet. Sie können jede Linux-Distribution starten oder sogar Windows 7 installieren, das Secure Boot nicht unterstützt. Windows 8 und 10 funktionieren einwandfrei, Sie verlieren nur die Sicherheitsvorteile, wenn Secure Boot Ihren Bootvorgang schützt.
Sie können Secure Boot auch weiter anpassen. Sie können steuern, welche Signaturzertifikate Secure Boot bietet. Sie können sowohl neue Zertifikate installieren als auch vorhandene Zertifikate entfernen. Eine Organisation, die beispielsweise Linux auf ihren PCs ausführt, kann Microsoft-Zertifikate entfernen und stattdessen das eigene Zertifikat des Unternehmens installieren. Diese PCs würden dann nur Bootlader starten, die von dieser spezifischen Organisation genehmigt und signiert wurden.
Eine Einzelperson könnte dies auch tun - Sie könnten Ihren eigenen Linux-Bootloader signieren und sicherstellen, dass Ihr PC nur Bootloader starten kann, die Sie selbst kompiliert und signiert haben. Das ist die Art von Kontrolle und Power, die Secure Boot bietet.
Was Microsoft von PC-Herstellern
benötigtMicrosoft fordert von den PC-Anbietern nicht nur Secure Boot, wenn sie diesen schönen "Windows 10" oder "Windows 8" -Zertifikat auf ihren PCs haben wollen. Microsoft fordert von PC-Herstellern eine spezifische Implementierung.
Für Windows 8 PCs mussten Hersteller Ihnen eine Möglichkeit geben, Secure Boot auszuschalten. Microsoft forderte PC-Hersteller auf, den Benutzern einen Secure Boot-Kill-Switch zur Verfügung zu stellen.
Für Windows 10 PCs ist dies nicht mehr zwingend erforderlich. PC-Hersteller können wählen, Secure Boot zu aktivieren und Benutzern keine Möglichkeit zu geben, sie zu deaktivieren. Allerdings sind uns PC-Hersteller, die dies tun, nicht wirklich bewusst.
In ähnlicher Weise müssen PC-Hersteller den Hauptschlüssel "Microsoft Windows Production PCA" von Microsoft einbeziehen, damit Windows booten kann. Sie müssen jedoch nicht den Schlüssel "Microsoft Corporation UEFI CA" enthalten. Dieser zweite Schlüssel wird nur empfohlen. Es ist der zweite optionale Schlüssel, den Microsoft zum Signieren von Linux-Bootloadern verwendet. Die Dokumentation von Ubuntu erklärt dies.
Mit anderen Worten: Nicht alle PCs booten signierte Linux-Distributionen mit aktiviertem Secure Boot. Auch in der Praxis haben wir noch keine PCs gesehen, die das getan haben. Vielleicht möchte kein PC-Hersteller die einzige Reihe von Laptops herstellen, auf denen Sie Linux nicht installieren können.
Momentan sollten Mainstream-Windows-PCs es Ihnen ermöglichen, Secure Boot zu deaktivieren, wenn Sie möchten, und sie sollten Linux-Distributionen starten, die von Microsoft signiert wurden, auch wenn Sie Secure Boot nicht deaktivieren.
Secure Boot konnte unter Windows RT nicht deaktiviert werden, Windows RT ist jedoch tot.
Alle oben genannten Punkte gelten für Windows 8 und 10-Standardbetriebssysteme auf der Standard-Intel x86-Hardware. Für ARM ist das anders.
Unter Windows RT - der Version von Windows 8 für ARM-Hardware, die unter anderem auf Microsoft Surface RT und Surface 2 ausgeliefert wurde - konnte Secure Boot nicht deaktiviert werden. Heutzutage kann Secure Boot auf Windows 10 Mobile-Hardware, also auf Telefonen mit Windows 10, nicht deaktiviert werden.
Das liegt daran, dass Microsoft Windows-RTM-Systeme auf ARM-Basis als "Geräte" und nicht als PCs verstehen wollte. Wie Microsoft Mozilla sagte, Windows RT "ist nicht mehr Windows."
Windows RT ist jetzt jedoch tot. Es gibt keine Version des Windows 10-Desktop-Betriebssystems für ARM-Hardware. Sie müssen sich also nicht weiter darum kümmern. Wenn Microsoft jedoch Windows RT 10-Hardware zurückbringt, ist es wahrscheinlich nicht möglich, Secure Boot darauf zu deaktivieren.
Bildkredit: Botschafter-Basis, John Bristowe