9Aug
Nykyaikaiset tietokoneet toimitetaan ominaisuudella, jonka nimi on "Secure Boot".Tämä on UEFI: n foorumi, joka korvaa perinteisen PC BIOSin. Jos tietokoneen valmistaja haluaa asentaa tietokoneeseen "Windows 10" tai "Windows 8" -tunnisteen, Microsoft vaatii, että ne mahdollistavat Secure Bootin ja noudattavat joitain ohjeita.
Valitettavasti se estää myös asentamasta joitain Linux-jakeluja, mikä voi olla varsin haastavaa.
Kuinka turvallinen käynnistys suojaa tietokoneesi käynnistysprosessia
Secure Boot ei ole vain suunniteltu tekemään käynnissä olevan Linuxin vaikeammaksi. On olemassa todelliset turvallisuusetuja Secure Bootin käyttöönotossa, ja jopa Linux-käyttäjät voivat hyötyä niistä.
Perinteinen BIOS käynnistää minkä tahansa ohjelmiston. Kun käynnistät tietokoneen, se tarkistaa laitteistolaitteet konfiguroidun käynnistysjärjestyksen mukaan ja yrittää käynnistää tietokoneen. Tyypilliset tietokoneet tavallisesti etsivät ja käynnistävät Windowsin käynnistyslataimen, joka käynnistää koko Windows-käyttöjärjestelmän. Jos käytät Linuxia, BIOS löytää ja käynnistää GRUB: n käynnistyslataimen, jota useimmat Linux-jakelut käyttävät.
On kuitenkin mahdollista, että haittaohjelmat, kuten rootkit, voivat korvata käynnistyslataimen. Rootkit voi ladata normaalin käyttöjärjestelmän ilman merkkejä siitä, että mitään ei olisi vikaa, pysyttelemättä täysin näkymätöntä ja huomaamatonta järjestelmässäsi. BIOS ei tiedä eroa haittaohjelmien ja luotettavan käynnistyslataimen välillä - se käynnistyy vain, mitä se löytää.
Secure Boot on suunniteltu pysäyttämään tämän. Windows 8 ja 10 tietokonetta toimitetaan UEFI: n tallennetulla Microsoftin sertifikaatilla. UEFI tarkistaa käynnistyslataimen ennen sen käynnistämistä ja varmistaa, että Microsoft on allekirjoittanut sen. Jos rootkit tai muu haittaohjelma korvaa käynnistyslataimen tai muuttaa sitä, UEFI ei salli sen käynnistämistä.Tämä estää haittaohjelmat kaappaamalla käynnistysprosessin ja salaamalla itsesi käyttöjärjestelmästäsi.
Miten Microsoft mahdollistaa Linux-jakeluohjelmat käynnistymään turvallisella käynnistyksellä
Tämä ominaisuus on teoriassa juuri suunniteltu suojaamaan haittaohjelmilta. Joten Microsoft tarjoaa mahdollisuuden Linux-jakelujen käynnistämiseen joka tapauksessa. Siksi jotkut nykyaikaiset Linux-jakelut, kuten Ubuntu ja Fedora, "toimivat" vain nykyaikaisilla tietokoneilla, vaikka Secure Boot -toiminto olisi käytössä.Linux-jakeluilla voi maksaa kertaluontoisen 99 dollarin maksun Microsoft Sysdev -portaalia varten, jossa he voivat hakea käynnistyskuormaajiensa allekirjoittamista.
Linux-jakeluilla on yleensä "shim" allekirjoitettu. Shim on pieni käynnistyslataaja, joka yksinkertaisesti käynnistää Linux-jakelut tärkeimmän GRUB-käynnistyslataimen. Microsoftin allekirjoittamat shim-tarkistukset varmistavat, että se käynnistää Linux-jakelun allekirjoittaman käynnistyslataimen ja sitten Linux-jakelu käynnistyy normaalisti.
Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE tukevat nykyään turvallista käynnistystoimintoa ja toimivat ilman nykyaikaisen laitteiston parannuksia. Voi olla muita, mutta nämä ovat ne, joista me olemme tietoisia. Jotkut Linux-jakelut filosofisesti vastustavat Microsoftin allekirjoittamista.
Miten estät tai hallitset turvallisen käynnistyksen
Jos tämä oli kaikki Secure Boot did, et voi suorittaa mitään ei-Microsoft-hyväksytty käyttöjärjestelmä tietokoneellesi. Mutta voit todennäköisesti ohjata turvallista käynnistystä PC: n UEFI-laiteohjelmistosta, joka on kuin BIOS vanhemmissa tietokoneissa.
Suojattu käynnistys on kaksi tapaa. Helpoin tapa on päästä UEFI-laiteohjelmistoon ja poistaa se käytöstä kokonaan. UEFI-laiteohjelmisto ei tarkista, että olet käynnistänyt allekirjoitetun käynnistyslataimen ja kaikki käynnistyy. Voit käynnistää minkä tahansa Linux-jakelun tai jopa asentaa Windows 7: n, joka ei tue Secure Bootia. Windows 8 ja 10 toimivat hyvin, menetät tietoturvaominaisuudet siitä, että Secure Boot suojaa käynnistysprosessia.
Voit myös mukauttaa Secure Boot -ominaisuutta edelleen. Voit hallita allekirjoitustodistuksia Secure Boot tarjoaa. Voit vapaasti asentaa uusia sertifikaatteja ja poistaa olemassa olevat varmenteet. Esimerkiksi organisaatio, joka johti Linuxin tietokoneisiinsa, voi halutessaan poistaa Microsoftin sertifikaatit ja asentaa organisaation oman varmenteen sen sijaan. Nämä tietokoneet käynnistäisivät sitten vain käynnistyskuormaimet, jotka kyseinen organisaatio hyväksyi ja allekirjoitti.
Yksilö voisi tehdä tämän myös - voit allekirjoittaa oman Linux-käynnistyslataimen ja varmistaa, että tietokoneesi voisi käynnistää vain käynnistyskuormaimet, jotka olet itse koonnut ja allekirjoittanut. Se on sellainen valvonta ja teho Secure Boot tarjoaa.
Mitä Microsoft tarvitsee PC: n valmistajilta
Microsoft ei vaadi ainoastaan, että PC-toimittajat mahdollistavat turvallisen käynnistyksen, jos he haluavat mukavan Windows 10- tai Windows 8 -sertifikaatin tarralapun tietokoneisiinsa. Microsoft edellyttää, että PC-valmistajat toteuttavat sen tiettyyn tapaan.
Windows 8 -tietokoneet, valmistajien oli annettava sinulle keinot ottaa Secure Boot pois päältä.Microsoft tarvitsi PC: n valmistajat asettamaan Secure Boot kill -kytkimen käyttäjien käsissä.
Windows 10 -tietokoneet eivät enää ole pakollisia. Tietokoneenvalmistajat voivat ottaa käyttöön Secure Boot -toiminnon eikä antaa käyttäjille mahdollisuutta poistaa se käytöstä.Emme kuitenkaan tottele mitään tietokoneen valmistajista, jotka tekevät tämän.
Samoin, vaikka PC: n valmistajien on sisällytettävä Microsoftin tärkein "Microsoft Windows Production PCA" -avain, jotta Windows voi käynnistää, heidän ei tarvitse sisällyttää Microsoft Corporation UEFI CA -avainta. Tätä toista näppäintä suositellaan vain. Se on toinen, valinnainen avain, jota Microsoft käyttää allekirjoittamaan Linux-käynnistyskuormaimia. Ubuntun dokumentaatio selittää tämän.
Toisin sanoen kaikki PC: t eivät välttämättä käynnistä Linux-jakeluja, kun Secure Boot on päällä.Jälleen käytännössä emme ole nähneet mitään tietokoneita, jotka tekivät niin. Ehkä mikään tietokoneen valmistaja ei halua tehdä ainoaa kannettavaa tietokonetta, jota Linux ei voi asentaa.
Tällä hetkellä ainakin pääkäyttäjien Windows-tietokoneiden pitäisi antaa sinun estää Secure Boot, jos haluat, ja heidän pitäisi käynnistää Linux-jakelut, jotka Microsoft on allekirjoittanut, vaikka et poista Secure Boot -ohjelmaa.
Secure Bootia ei voitu poistaa käytöstä Windows RT: ssä, mutta Windows RT on kuollut
Kaikki yllä mainitut ovat tavallisia Windows 8- ja 10-käyttöjärjestelmiä standardin Intel x86 -laitteistossa. Se eroaa ARM: stä.
Windows NT: n versiossa Windows 8 ARM-laitteistolle, joka toimitettiin Microsoftin Surface RT: lle ja Surface 2: lle, muita laitteita - Secure Bootia ei voitu poistaa käytöstä.Nykyään Secure Bootia ei voida vieläkään poistaa käytöstä Windows 10 Mobile -laitteistossa eli Windows 10 -puhelimissa.
Tämä johtui siitä, että Microsoft halusi sinun ajatella ARM-pohjaisia Windows RT -järjestelmiä "laitteiksi" eikä tietokoneiksi. Kuten Microsoft kertoi Mozillalle, Windows RT "ei ole enää Windows."
Windows RT on kuitenkin kuollut. ARM-laitteistossa ei ole versiota Windows 10 -työpöydän käyttöjärjestelmästä, joten sinun ei tarvitse enää huolehtia siitä.Jos Microsoft kuitenkin palauttaa Windows RT 10 -laitteiston, et todennäköisesti voi estää Secure Bootin käytöstä.
Kuvauskenttä: Ambassador Base, John Bristowe