9Aug
Moderna računala isporučena s značajkom pod nazivom "Secure Boot" omogućeno. Ovo je značajka platforme u UEFI, koja zamjenjuje tradicionalni PC BIOS.Ako proizvođač računala želi staviti naljepnicu s logotipom "Windows 10" ili "Windows 8" na svoje računalo, Microsoft zahtijeva da omoguće Secure Boot i slijedite neke smjernice.
Nažalost, to vam također sprječava instalaciju nekih Linux distribucija, što može biti prilično zabavno.
Kako sigurno podizanje sustava štiti proces izrade vašeg računala
Secure Boot nije samo dizajniran da Linux trčanje bude teže. Postoje stvarne sigurnosne prednosti kako bi omogućili Secure Boot, pa čak i Linux korisnici mogu imati koristi od njih.
Tradicionalni BIOS će pokrenuti bilo koji softver. Kada pokrenete računalo, provjerava hardverske uređaje prema redoslijedu podizanja sustava koji ste konfigurirali i pokušava ih podići. Tipična računala obično će pronaći i pokrenuti Windows boot loader, što ide dalje za podizanje cijelog operativnog sustava Windows. Ako koristite Linux, BIOS će pronaći i pokrenuti GRUB boot loader, koji koristi većina Linux distributera.
Međutim, moguće je da zlonamjerni softver, poput korijena, zamijeni program za podizanje sustava. Rootkit može učitati vaš normalan operativni sustav bez naznaka da je nešto pogrešno, ostati potpuno nevidljivo i neotkriveno na vašem sustavu. BIOS ne zna razliku između zlonamjernog softvera i pouzdanim utezima za pokretanje sustava - ona samo pokreće ono što pronađe.
Secure Boot je dizajniran da to zaustavi. Windows 8 i 10 računala isporučuju se uz Microsoftov certifikat pohranjen u UEFI.UEFI će provjeriti boot loader prije pokretanja i osigurati da ga potpiše Microsoft. Ako rootkit ili neki drugi zlonamjerni program zamjenjuje vaš utovarivač pokretanja ili ga manipulira, UEFI neće dopustiti da se pokrene. To sprječava da zlonamjerni softver oteti proces vašeg pokretanja i skriva se iz vašeg operativnog sustava.
Kako Microsoft dopušta distribuciju Linuxa za podizanje sustava s sigurnim pokretanjem
Ova je značajka u teoriji samo dizajnirana za zaštitu od zlonamjernog softvera. Dakle, Microsoft nudi način za pomoć Linux distribucijama boot svejedno. Zato će neke moderne Linux distribucije - poput Ubuntua i Fedora - "samo raditi" na modernim računalima, čak i ako je omogućen Secure Boot. Linux distribucije mogu platiti jednokratnu naknadu od 99 dolara za pristup portalu Microsoft Sysdev, gdje mogu podnijeti zahtjev za potpisivanje njihovih boot loadera.
Linux distribucije obično imaju potpisan "shim".Shim je mali program za podizanje sustava koji jednostavno pokreće glavni GRUB boot loader Linux distribucija. Potpomognuti Microsoftovim provjerama, kako bi se osiguralo da podiže boot loader potpisan od Linux distribucije, a zatim Linux distribucija normalno.
Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE trenutno podržavaju Secure Boot i radit će bez ikakvih ugađanja na modernom hardveru. Možda postoje i drugi, ali to su one za koje znamo. Neke Linux distribucije filozofski se protive prijave za potpisivanje od strane Microsofta.
Kako možete onemogućiti ili kontrolirati sigurnu podizanje sustava
Ako je to bilo omogućeno Secure Boot, ne biste mogli pokrenuti bilo koji operativni sustav koji nije odobren od Microsofta na računalu. No, vjerojatno ćete kontrolirati sigurnu instalaciju sustava s UEFI firmwarea računala, što je poput BIOS-a na starijim osobnim računalima.
Postoji dva načina za kontrolu Secure Boot. Najlakši način je da krenete na UEFI firmware i onemogućite ga u cijelosti. UEFI firmware neće provjeriti da li ste pokrenuli potpisani boot loader, i sve će se pokrenuti. Možete pokrenuti bilo koju Linux distribuciju ili čak instalirati sustav Windows 7, koji ne podržava Secure Boot. Windows 8 i 10 će raditi dobro, samo ćete izgubiti sigurnosne prednosti da Secure Boot štiti vaš proces podizanja sustava.
Također možete dodatno prilagoditi Secure Boot. Možete kontrolirati koje certifikate za potpisivanje nude Secure Boot. Slobodno možete instalirati nove certifikate i ukloniti postojeće certifikate. Na primjer, organizacija koja je pokrenula Linux na svojim računalima mogla bi ukloniti Microsoftove certifikate i instalirati vlastitu potvrdu organizacije na njegovo mjesto. Ta će računala tada samo podići boot čistače odobrene i potpisane od strane te specifične organizacije.
Pojedinac također može to učiniti - možete potpisati svoj Linux podizni čarter i osigurati da vaše računalo može samo podići boot čistače koje ste osobno sastavili i potpisali. To je vrsta kontrole i snage koju nudi Secure Boot.
Što Microsoft zahtijeva proizvođača računala
Microsoft ne zahtijeva samo da dobavljači računala omogućuju Secure Boot ako žele to lijepo "Windows 10" ili "Windows 8" certifikacijsku naljepnicu na svojim računalima. Microsoft zahtijeva da proizvođači računala implementiraju na određeni način.
Za računala sa sustavom Windows 8, proizvođači su morali dati način da isključite Sigurno pokretanje. Microsoft je zahtijevao proizvođače računala da stavljaju prekidač za uklanjanje sigurnih pokreta u korisnike.
Za Windows 10 računala to više nije obavezno. Proizvođači računala mogu odabrati omogućiti sigurnu podizanje sustava i ne pružiti korisnicima način isključivanja. Međutim, nismo u stvari svjesni proizvođača računala koji to rade.
Slično tome, dok proizvođači računala moraju uključiti Microsoftovo glavno "Microsoft Windows Production PCA" ključ kako bi se sustav Windows mogao pokrenuti, ne moraju uključivati ključ "Microsoft Corporation UEFI CA".Ovaj drugi ključ preporuča se samo. To je drugi, neobavezan ključ koji Microsoft koristi za potpisivanje Linux utovarivača pokretanja. Ubuntuova dokumentacija to objašnjava.
Drugim riječima, sva računala neće nužno pokrenuti potpisane Linux distribucije s uključenim Secure Boot. Opet, u praksi nismo vidjeli nijedna računala koja su to učinila. Možda proizvođač računala ne želi napraviti jedinu liniju prijenosnih računala na koje ne možete instalirati Linux.
Za sada, barem glavna Windows računala bi trebala omogućiti vam da onemogućite Secure Boot ako želite i trebali bi pokrenuti Linux distribucije koje je potpisala tvrtka Microsoft čak i ako ne onemogućite Secure Boot.
Sigurno pokretanje sustava nije bilo moguće onemogućeno na Windows RT, ali Windows RT je mrtav
Sve gore navedeno vrijedi za standardne operacijske sustave Windows 8 i 10 na standardnom Intel x86 hardveru. Razlikuje se za ARM.
Na Windows RT-verziji sustava Windows 8 za ARM hardver, koji je isporučen na Microsoft Surface RT i Surface 2, među ostalim uređajima - Secure Boot nije mogao biti onemogućen. Danas se Secure Boot još uvijek ne može onemogućiti na hardveru Windows 10 Mobile - drugim riječima, telefone koji pokreću Windows 10.
To je zato što je Microsoft htio da mislite na ARM sustave Windows RT kao "uređaje", a ne na osobna računala. Kao što je Microsoft rekao Mozillu, Windows RT "više nije Windows."
Međutim, Windows RT je sada mrtav. Nema verzije operacijskog sustava operacijskog sustava Windows 10 za ARM hardver, pa to više ne morate brinuti. No, ako Microsoft ponese hardver Windows RT 10, vjerojatno nećete moći onemogućiti Secure Boot na njemu.
Image Credit: Ambasador Baza, John Bristowe