9Aug
kaasaegsed arvutid laevad funktsiooniga "Secure Boot" lubatud. See on UEFI platvorm, mis asendab traditsioonilise PC BIOS-i. Kui arvuti tootja soovib oma arvutisse kleepida Windows 10 või Windows 8 logo, nõuab Microsoft, et nad lubaksid turvalist käivitusprogrammi ja järgiksid juhiseid.
Kahjuks takistab see ka mõne Linuxi distributsiooni installimist, mis võib olla üsna keeruline.
Kuidas turvaline käivitus tagab teie arvuti käivitusprotseduuri?
Secure Boot ei ole mõeldud ainult selleks, et muuta Linuxi käitumine raskemaks. Turvalise käivitamise võimaldamiseks on tõelised turvalisuse eelised ja isegi Linuxi kasutajad saavad neist kasu saada.
Traditsiooniline BIOS käivitab mis tahes tarkvara. Arvuti käivitamisel kontrollib see riistvaraseadmeid vastavalt teie seadistatud boot-järjekorrale ja proovib neid käivitada. Tüüpilised arvutid leiavad tavaliselt ja käivitavad Windowsi alglaadurit, mis käivitab kogu Windowsi operatsioonisüsteemi. Kui kasutate Linuxi, otsib BIOS ja käivitab GRUBi alglaadur, mida enamik Linuxi distributsioone kasutab.
Siiski on võimalik alglaadurit asendada pahavara, näiteks rootkit. Rootkit võis teie tavapärase operatsioonisüsteemi laadida ilma, et midagi oleks valesti, jäädes oma süsteemis täiesti nähtamatuks ja tuvastamatuks. BIOS ei tunne pahavara ja usaldusväärse alglaaduriga vahet - see lihtsalt leiab kõik, mida ta leiab.
Secure Boot on loodud selle peatamiseks. Windows 8 ja 10 arvutit laevad UEFI-sse salvestatud Microsofti sertifikaadiga. UEFI kontrollib alglaadurit enne selle käivitamist ja tagab Microsofti selle allkirja. Kui rootkit või mõni muu pahavara asendab teie alglaadurit või selle vastu võitleb, ei luba UEFI seda käivitada. See takistab pahavara teie käivitamisprotsessi kaaperdamist ja oma operatsioonisüsteemist varjamist.
Kuidas Microsoft lubab Linuxi distributsioonidel käivitada turvalise käivitusega
See funktsioon on teoreetiliselt mõeldud vaid pahavara eest kaitsmiseks. Nii pakub Microsoft võimalust Linuxi distributsioonide käivitamiseks. Sellepärast saavad mõned kaasaegsed Linuxi distributsioonid, nagu Ubuntu ja Fedora, tänapäevastes arvutites lihtsalt tööle, isegi kui turvaline boot on lubatud. Linuxi distributsioonid võivad maksta ühekordse tasu 99 $, et pääseda juurde Microsofti Sysdevi portaalile, kus nad saavad taotleda oma allalaaditavate laadijate allkirjastamist.
Linuxi distributsioonid on üldjuhul allkirjastatud. Shim on väike boot loader, mis lihtsalt laeb Linuxi põhikomponentide GRUB alglaadurit. Microsofti poolt allkirjastatud kontrollkäivituskinnitused tagavad, et see käivitub Linuxi levialas allkirjastatud alglaaduriga ja seejärel levib tavaliselt Linuxi jaotus.
Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE toetavad praegu turvalist bootit ja töötavad ilma modifikatsioonideta kaasaegse riistvaraga. Võib olla teisi, kuid need on need, millest me oleme teadlikud. Mõned Linuxi distributsioonid on filosoofiliselt vastuolus Microsofti allkirjastatud avaldustega.
Kuidas saate keelata või kontrollida turvalist käivitamist
Kui see kõik oli turvaline käivitus, siis ei saaks arvutisse käivitada mitte mingisugust Microsofti heakskiidetud operatsioonisüsteemi. Kuid võite tõenäoliselt kontrollida Secure Boot'i oma arvuti UEFI püsivaralt, mis on nagu vanemate arvutite BIOS.
Secure Boot'i kontrollimiseks on kaks võimalust. Lihtsaim meetod on juhtida UEFI püsivara ja täielikult välja lülitada. UEFI püsivara ei kontrolli, kas olete allkirjastatud alglaadurit käitanud, ja midagi saab käivitada. Saate käivitada mis tahes Linuxi turustamise või isegi installida Windows 7, mis ei toeta Secure Boot'i. Windows 8 ja 10 töötavad hästi, võite lihtsalt kaotada turvalisuse eelised, kuna Secure Boot kaitseb teie käivitamisprotsessi.
Võite veelgi turvalisema käivitamise kohandada. Saate kontrollida, millised allkirjutussertifikaadid tagavad boot-pakkumised. Uute sertifikaatide installimiseks ja olemasolevate sertifikaatide eemaldamiseks on teil vabadus. Näiteks võib organisatsioon, mis käivitas oma arvutites Linuxi, valida Microsofti sertifikaatide eemaldamise ja oma organisatsiooni enda sertifikaadi paigaldamise oma kohale. Need arvutid käivitavad siis ainult selle konkreetse organisatsiooni poolt heaks kiidetud ja allkirjastatud käivituslaadurid.
Üksikisik võiks seda ka teha - saate oma Linuxi alglaadurit allkirjastada ja tagada, et arvuti saaks ainult käivitada laadijaid, mida olete isiklikult koostanud ja allkirjastanud. See on kindel kontroll ja võimsus Secure Boot pakub.
Mida Microsoft nõuab arvutitööstuse tootjatelt
Microsoft ei nõua ainult seda, et arvutitootjad lubaksid turvalist käivitusprogrammi, kui tahavad, et nende Windowsi kena "Windows 10" või "Windows 8" sertifikaadi kleebis oleks nende arvutis. Microsoft nõuab, et arvutitootjad rakendaksid seda konkreetsel viisil.
Windows 8-arvutite jaoks peavad tootjad andma teile võimaluse turvalise boot välja lülitada. Microsoft nõudis arvutitootjaid, et kasutajate kätte panna turvaline boot-klahvi lüliti.
Windows 10-arvuti jaoks pole see enam kohustuslik. Arvutitootjad võivad lubada turvalise käivitamise ja ei anna kasutajatele võimalust seda välja lülitada. Kuid me ei tea tegelikult ühtegi arvutite tootjat, kes seda teevad.
Samamoodi, kuigi arvutite tootjad peavad sisaldama Microsofti peamist Microsoft Windowsi tootmist PCA-võtit, et Windows saaks käivitada, ei pea nad sisaldama Microsoft Corporation UEFI CA-võtme. See teine võti on soovitatav ainult. See on teine vabatahtlik võti, mida Microsoft kasutab Linuxi alglaadurite allkirjastamiseks. Ubuntu dokumentatsioon seda selgitab.
Teisisõnu ei pruugi kõik arvutid kindlasti käivitada allkirjastatud Linuxi distributsioonid, kui Secure Boot on sisse lülitatud. Praktikas pole me näinud ühtegi arvutit, kes seda tegid. Võimalik, et ükski arvuti tootja ei soovi luua ainuüksi sülearvuteid, mida ei saa Linuxi installida.
Praeguseks peaks vähemalt tavapärased Windowsi arvutid võimaldama sul turvalist boot välja lülitada, kui soovite, ja nad peaksid käivitama Microsoft poolt alla kirjutatud Linuxi distributsioonid isegi siis, kui te ei blokeeri Secure Boot'i.
Secure Boot'i ei saa Windows RT-s keelata, kuid Windows RT on surnud
. Kõik eespool toodud tõendid kehtivad standardsetele Windows 8 ja 10 standardse Intel x86-riistvara operatsioonisüsteemidele. ARM-i jaoks on see erinev.
Windows RT-is Windowsi versioon 8, mis on mõeldud ARM-i riistvarale, mis saadetakse Microsofti Surface RT-ile ja Surface 2-le, teiste seadmete hulka ei saa keelata. Tänapäeval ei saa Windows 10 Mobile-riistvaraga ikkagi keelata turvalist boot-teisisõnu, Windows 10-s töötavaid telefone.
Selle põhjuseks on asjaolu, et Microsoft soovis, et ARM-põhiste Windows RT-süsteemide puhul oleks tegemist "seadmetega", mitte arvutitega. Nagu Microsoft ütles Mozillale, ei ole Windows RT enam enam Windowsi.
Kuid Windows RT on nüüd surnud. ARM-riistvara jaoks pole Windows 10 operatsioonisüsteemi versiooni, mistõttu ei pea enam muretsema. Kuid kui Microsoft taastab Windows RT 10 riistvara, ei pruugi see tõenäoliselt turvalist boot seda keelata.
piltkrediit: suursaadiku baas, John Bristowe