9Aug

Πώς Ασφαλής εκκίνηση λειτουργεί στα Windows 8 και 10, και τι σημαίνει για το Linux

Οι

σύγχρονοι υπολογιστές διαθέτουν ένα χαρακτηριστικό που ονομάζεται "Secure Boot" ενεργοποιημένο.Πρόκειται για μια πλατφόρμα στην UEFI, η οποία αντικαθιστά το παραδοσιακό BIOS του υπολογιστή.Εάν ένας κατασκευαστής PC θέλει να τοποθετήσει ένα αυτοκόλλητο "Windows 10" ή "Windows 8" στο PC, η Microsoft απαιτεί να ενεργοποιήσει την Ασφαλής εκκίνηση και να ακολουθήσει ορισμένες οδηγίες.

Δυστυχώς, σας εμποδίζει επίσης να εγκαταστήσετε κάποιες διανομές Linux, κάτι που μπορεί να είναι πολύ ενοχλητικό.

Πόσο ασφαλή εκκίνηση διασφαλίζει τη διαδικασία εκκίνησης του υπολογιστή σας Το

Secure Boot δεν είναι απλώς σχεδιασμένο για να δυσκολεύει τη λειτουργία του Linux.Υπάρχουν πραγματικά πλεονεκτήματα ασφαλείας για την ενεργοποίηση του Secure Boot και ακόμη και οι χρήστες του Linux μπορούν να επωφεληθούν από αυτά.

Ένα παραδοσιακό BIOS θα εκκινήσει οποιοδήποτε λογισμικό.Όταν εκκινείτε τον υπολογιστή σας, ελέγχει τις συσκευές υλικού σύμφωνα με τη σειρά εκκίνησης που έχετε ρυθμίσει και προσπαθεί να εκκινήσει από αυτές.Τυπικοί υπολογιστές συνήθως βρίσκουν και εκκινούν τον φορτωτή εκκίνησης των Windows, ο οποίος συνεχίζει να εκκινεί το πλήρες λειτουργικό σύστημα των Windows.Εάν χρησιμοποιείτε το Linux, το BIOS θα εντοπίσει και εκκινήσει τον φορτωτή εκκίνησης GRUB, τον οποίο χρησιμοποιούν οι περισσότερες διανομές Linux.

Ωστόσο, είναι πιθανό το κακόβουλο λογισμικό, όπως το rootkit, να αντικαταστήσει τον φορτωτή εκκίνησης.Το rootkit θα μπορούσε να φορτώσει το κανονικό λειτουργικό σας σύστημα χωρίς καμία ένδειξη ότι δεν ήταν λάθος, παραμένοντας εντελώς αόρατο και ανιχνεύσιμο στο σύστημά σας.Το BIOS δεν γνωρίζει τη διαφορά μεταξύ του κακόβουλου λογισμικού και ενός αξιόπιστου φορτωτή εκκίνησης - απλώς εκκινεί ό, τι βρίσκει.

Ασφαλής εκκίνηση έχει σχεδιαστεί για να σταματήσει αυτό.Τα Windows 8 και 10 υπολογιστές μεταφέρονται με το πιστοποιητικό της Microsoft που είναι αποθηκευμένο στο UEFI.Το UEFI θα ελέγξει τον φορτωτή εκκίνησης πριν το εκκινήσει και θα εξασφαλίσει ότι είναι υπογεγραμμένο από τη Microsoft.Εάν ένα rootkit ή άλλο κομμάτι κακόβουλου λογισμικού αντικαθιστά τον φορτωτή εκκίνησης ή παραβιάζει το, το UEFI δεν θα του επιτρέψει να εκκινήσει.Αυτό αποτρέπει το κακόβουλο λογισμικό από την πειρατεία της διαδικασίας εκκίνησης και την απόκρυψη από το λειτουργικό σας σύστημα.

Πώς η Microsoft επιτρέπει στις διανομές Linux να εκκινήσουν με ασφαλή εκκίνηση

Αυτή η λειτουργία είναι, θεωρητικά, απλά σχεδιασμένη για προστασία από κακόβουλο λογισμικό.Έτσι, η Microsoft προσφέρει έναν τρόπο να βοηθήσει τις διανομές του Linux να ξεκινήσει ούτως ή άλλως.Αυτός είναι ο λόγος για τον οποίο ορισμένες σύγχρονες διανομές Linux, όπως το Ubuntu και το Fedora, θα λειτουργούν μόνο σε σύγχρονους υπολογιστές, ακόμη και με ενεργοποιημένο το Secure Boot.Οι διανομές του Linux μπορούν να πληρώσουν μια εφάπαξ αμοιβή $ 99 για να έχουν πρόσβαση στην πύλη Microsoft Sysdev, όπου μπορούν να υποβάλουν αίτηση υπογραφής των φορτωτών εκκίνησης.Οι διανομές Linux του

έχουν γενικά μια υπογραφή.Το shim είναι ένας μικρός φορτωτής εκκίνησης που απλώς εκκινεί τον κύριο φορτωτή εκκίνησης GRUB για διανομές Linux.Οι έλεγχοι shim που υπογράφηκε από τη Microsoft, για να διασφαλιστεί ότι ξεκινάει ένας φορτωτής εκκίνησης που υπογράφεται από τη διανομή του Linux, και στη συνέχεια κανονικά οι εκδόσεις Linux διανομής.

Το Ubuntu, το Fedora, το Red Hat Enterprise Linux και το openSUSE υποστηρίζουν τη λειτουργία Secure Boot και θα λειτουργήσουν χωρίς τσιμπήματα σε σύγχρονο υλικό.Μπορεί να υπάρχουν άλλοι, αλλά αυτοί είναι αυτοί που γνωρίζουμε.Ορισμένες διανομές Linux είναι φιλοσοφικά αντίθετες με την υποβολή αίτησης υπογραφής από τη Microsoft.

Πώς μπορείτε να απενεργοποιήσετε ή να ελέγξετε την ασφαλή εκκίνηση

Εάν αυτό ήταν όλο το Secure Boot, δεν θα μπορείτε να εκτελέσετε οποιοδήποτε λειτουργικό σύστημα που δεν έχει εγκριθεί από τη Microsoft στον υπολογιστή σας.Αλλά μπορείτε πιθανώς να ελέγξετε το Secure Boot από το firmware του υπολογιστή σας, το οποίο είναι σαν το BIOS σε παλαιότερους υπολογιστές.

Υπάρχουν δύο τρόποι για τον έλεγχο της Ασφαλούς εκκίνησης.Η πιο εύκολη μέθοδος είναι να κατευθυνθείτε στο firmware της UEFI και να την απενεργοποιήσετε εξ ολοκλήρου.Το υλικολογισμικό UEFI δεν θα ελέγξει για να βεβαιωθείτε ότι εκτελείτε έναν υπογεγραμμένο boot loader και ότι οτιδήποτε θα ξεκινήσει.Μπορείτε να εκκινήσετε οποιαδήποτε διανομή Linux ή ακόμα και να εγκαταστήσετε τα Windows 7, το οποίο δεν υποστηρίζει Secure Boot.Τα Windows 8 και 10 θα λειτουργήσουν καλά, απλά θα χάσετε τα πλεονεκτήματα ασφάλειας της ασφάλειας του Boot σας για την προστασία της διαδικασίας εκκίνησης.

Μπορείτε επίσης να προσαρμόσετε περαιτέρω την Ασφαλής εκκίνηση.Μπορείτε να ελέγξετε ποια πιστοποιητικά υπογραφής προσφέρει η Secure Boot.Είστε ελεύθεροι να εγκαταστήσετε νέα πιστοποιητικά και να καταργήσετε τα υπάρχοντα πιστοποιητικά.Ένας οργανισμός που έτρεξε το Linux στους υπολογιστές του, για παράδειγμα, θα μπορούσε να επιλέξει να αφαιρέσει τα πιστοποιητικά της Microsoft και να εγκαταστήσει το δικό της πιστοποιητικό της ίδιας της εταιρείας.Αυτοί οι υπολογιστές θα εκκινήσουν μόνο φορτωτές εκκίνησης που έχουν εγκριθεί και υπογραφεί από την συγκεκριμένη οργάνωση.

Ένα άτομο θα μπορούσε επίσης να το κάνει αυτό - θα μπορούσατε να υπογράψετε τον δικό σας φορτωτή εκκίνησης Linux και να διασφαλίσετε ότι ο υπολογιστής σας θα μπορούσε να εκκινήσει μόνο φορτωτές εκκίνησης που έχετε προσωπικά καταρτίσει και υπογράψει.Αυτό είναι το είδος ελέγχου και δύναμης Secure Boot προσφέρει.

Αυτό που η Microsoft απαιτεί από τους κατασκευαστές PC

Η Microsoft δεν απαιτεί απλώς οι πωλητές PC να ενεργοποιήσουν την Ασφαλής εκκίνηση εάν θέλουν το συμπαγές αυτοκόλλητο "Windows 10" ή "Windows 8" στους υπολογιστές τους.Η Microsoft απαιτεί από τους κατασκευαστές PC να το εφαρμόσουν με συγκεκριμένο τρόπο.

Για τους υπολογιστές με Windows 8, οι κατασκευαστές έπρεπε να σας δώσουν έναν τρόπο να απενεργοποιήσετε την ασφαλή εκκίνηση.Η Microsoft απαίτησε από τους κατασκευαστές υπολογιστών να τοποθετήσουν ένα διακόπτη Secure Boot kill στα χέρια των χρηστών.

Για υπολογιστές Windows 10, αυτό δεν είναι πλέον υποχρεωτικό.Οι κατασκευαστές υπολογιστών μπορούν να επιλέξουν να ενεργοποιήσουν την Ασφαλής εκκίνηση και να μην δώσουν στους χρήστες έναν τρόπο να την απενεργοποιήσουν.Ωστόσο, δεν γνωρίζουμε πραγματικά τους κατασκευαστές PC που το κάνουν αυτό.

Ομοίως, ενώ οι κατασκευαστές υπολογιστών πρέπει να συμπεριλάβουν το κύριο κλειδί της Microsoft "Microsoft Windows PCA Production", ώστε τα Windows να μπορέσουν να εκκινήσουν, δεν χρειάζεται να συμπεριλάβουν το κλειδί "Microsoft Corporation UEFI CA".Αυτό το δεύτερο κλειδί συνιστάται μόνο.Είναι το δεύτερο, προαιρετικό κλειδί που χρησιμοποιεί η Microsoft για να υπογράψει φορτωτές εκκίνησης Linux.Η τεκμηρίωση του Ubuntu εξηγεί αυτό.

Με άλλα λόγια, δεν είναι όλα τα PC να εκκινήσουν απαραίτητα υπογεγραμμένες διανομές Linux με ενεργοποιημένο το Secure Boot.Και πάλι, στην πράξη, δεν έχουμε δει κανένα υπολογιστή που το έκανε αυτό.Ίσως κανένας κατασκευαστής PC δεν θέλει να κάνει τη μόνη σειρά φορητών υπολογιστών που δεν μπορείτε να εγκαταστήσετε το Linux.

Προς το παρόν, τουλάχιστον, οι mainstream PC των Windows πρέπει να σας επιτρέπουν να απενεργοποιήσετε την Ασφαλής εκκίνηση αν θέλετε και θα πρέπει να εκκινήσουν τις διανομές Linux που έχουν υπογραφεί από τη Microsoft ακόμη κι αν δεν απενεργοποιήσετε την Ασφαλής εκκίνηση.Δεν είναι δυνατή η απενεργοποίηση της ασφαλούς εκκίνησης

σε Windows RT, αλλά το Windows RT είναι νεκρό

Όλα τα παραπάνω ισχύουν για τα τυπικά λειτουργικά συστήματα των Windows 8 και 10 στο πρότυπο υλικό Intel x86.Είναι διαφορετικό για το ARM.

Στα Windows RT - η έκδοση των Windows 8 για το υλικό ARM, τα οποία διατέθηκαν στο Surface RT και Surface 2 της Microsoft, μεταξύ άλλων συσκευών, δεν ήταν δυνατή η απενεργοποίηση της λειτουργίας Secure Boot.Σήμερα, το Secure Boot εξακολουθεί να μην μπορεί να απενεργοποιηθεί σε υλικό Windows 10 Mobile - με άλλα λόγια τα τηλέφωνα που εκτελούν τα Windows 10.

Αυτό συμβαίνει επειδή η Microsoft ήθελε να σκεφτείτε τα συστήματα Windows RT βασισμένα σε ARM ως "συσκευές" και όχι υπολογιστές.Όπως δήλωσε η Microsoft στο Mozilla, το Windows RT "δεν είναι πια Windows".

Ωστόσο, το Windows RT είναι πλέον νεκρό.Δεν υπάρχει έκδοση του λειτουργικού συστήματος για υπολογιστές Windows 10 για υλικό ARM, επομένως αυτό δεν είναι κάτι που πρέπει να ανησυχείτε πια.Ωστόσο, αν η Microsoft επιστρέψει το υλικό Windows RT 10, πιθανότατα δεν θα μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση σε αυτήν.Πιστοποίηση εικόνας

: Πρεσβευτής Βάσης, John Bristowe