9Aug
A modern PC-k "Secure Boot" funkcióval rendelkeznek. Ez az UEFI platformfunkciója, amely a hagyományos PC BIOS-t helyettesíti. Ha a PC-gyártók a Windows 10 vagy a Windows 8 emblémát szeretnék elhelyezni a számítógépükre, akkor a Microsoft megköveteli, hogy engedélyezzék a biztonságos indítást és kövessenek néhány irányelvet. Sajnos ez megakadályozza a Linux disztribúciók telepítését is, ami eléggé kellemetlenebb lehet.
A biztonságos rendszerindítás biztonsága a számítógép indítási folyamatában
A Secure Boot nem csak azért van tervezve, hogy nehezebbé tegye a futó Linuxot. Valódi biztonsági előnyökkel rendelkeznek ahhoz, hogy a Secure Boot engedélyezett legyen, és a Linux felhasználók is részesülhetnek előnyben.
A hagyományos BIOS indít minden szoftvert. Amikor elindítja a számítógépet, ellenőrzi a hardvereszközöket a konfigurált rendszerindítási sorrend szerint, és megpróbálja a rendszerindítást elindítani. A tipikus PC-k általában megtalálják és elindítják a Windows indító betöltőt, amely a teljes Windows operációs rendszer indításához vezet. Ha Linuxot használ, akkor a BIOS megtalálja és indítja el a GRUB boot betöltőt, amelyet a legtöbb Linux disztribúció használ.
Azonban lehetséges, hogy a rosszindulatú programok, például egy rootkit, helyettesítik a rendszerbetöltõt. A rootkit betöltheti a normál operációs rendszert, és semmi sem utal arra, hogy bármi rossz, teljesen láthatatlan és észrevehetetlen a rendszerben. A BIOS nem ismeri a különbséget a rosszindulatú programok és a megbízható boot betöltő között - csak indít, amit talál. Az
Secure Boot megakadályozza ezt. A Windows 8 és a 10 PC-k az UEFI-n tárolt Microsoft tanúsítvánnyal szállítanak. Az UEFI ellenőrizni fogja a rendszertöltőt, mielőtt elindítja, és biztosítja, hogy a Microsoft aláírta. Ha egy rootkit vagy egy másik rosszindulatú program helyettesíti a rendszertöltőt, vagy szabotálja meg vele, az UEFI nem engedélyezi a rendszerindításhoz. Ez megakadályozza, hogy a rosszindulatú szoftverek meghiúsuljanak a rendszerindítási folyamatból és elrejtsék magukat az operációs rendszertől.
A Microsoft lehetővé teszi a Linux disztribúciók indítását a biztonságos indítással
Ez a funkció elméletileg csak a rosszindulatú programok elleni védelemre tervezett. Tehát a Microsoft egy módot kínál a Linux disztribúciók indításához. Ezért vannak olyan modern Linux disztribúciók, mint az Ubuntu és a Fedora, "csak a modern PC-ken", még a Secure Boot engedélyezése esetén is. A Linux disztribúciók egyszeri 99 dolláros díjat fizethetnek a Microsoft Sysdev portálhoz való hozzáférésre, ahol igénybe vehetik a csomagtartóik aláírását. Az
Linux disztribúciók általában "shim" alá vannak írva. A shim egy kis rendszerindító betöltő, amely egyszerűen elindítja a Linux disztribúciók fő GRUB boot betöltőjét. A Microsoft által aláírt shim-ellenőrzések biztosítják, hogy bootolják a Linux disztribúció által aláírt boot betöltőt, majd a Linux disztribúció rendszeresen indul. Az
Az Ubuntu, a Fedora, a Red Hat Enterprise Linux és az openSUSE jelenleg támogatja a Secure Boot alkalmazást, és a modern hardverek javítása nélkül is működni fog. Vannak mások is, de ezekről tudunk. Néhány Linux disztribúció filozofikusan ellentétes a Microsoft aláírásával.
Hogyan lehet letiltani vagy ellenőrizni a biztonságos
biztonsági másolatot? Ha ez minden, amit a Secure Boot tett, akkor nem lenne képes semmilyen nem Microsoft által jóváhagyott operációs rendszert futtatni a számítógépére. De valószínűleg ellenőrizheti a Secure Boot programot a számítógépe UEFI firmware-jéről, amely hasonló a régi számítógépek BIOS-jához.
A Secure Boot felügyeletének két módja van. A legegyszerűbb módszer az UEFI firmware-hez való vezetés, és teljesen letiltani. Az UEFI firmware nem ellenőrzi annak ellenőrzését, hogy egy aláírt rendszertöltő fut-e, és bármi megindul. Bármely Linux disztribúciót indíthat vagy akár a Windows 7-t is telepítheti, amely nem támogatja a Secure Boot alkalmazást. A Windows 8 és a 10 rendben fog működni, akkor csak elveszítheti a Biztonsági Boot védelmének biztonsági előnyeit.
A Testreszabott Boot további testreszabása is lehetséges. Megadhatja, hogy melyik aláírási tanúsítványt használja a Secure Boot. Ingyenes az új tanúsítványok telepítéséhez és a meglévő tanúsítványok eltávolításához. Például egy olyan szervezet, amely Linuxot indított a számítógépén, kiválaszthatja a Microsoft tanúsítványainak eltávolítását és a szervezet saját tanúsítványának telepítését. Ezek a számítógépek csak az adott szervezet által jóváhagyott és aláírt boot-betöltőket indíthatják el.
Az egyén ezt is tehette - aláírhatta a saját Linux boot betöltõjét, és biztosítja, hogy a számítógép csak a személyesen összeállított és aláírt csomagtartókat indíthatja el. Ez a fajta vezérlő és teljesítményű Secure Boot kínál.
A Microsoft gyártók által gyártott
A Microsoft nem csupán azt követeli meg, hogy a PC-gyártók engedélyezzék a Biztonsági Boot-ot, ha a Windows 10 vagy Windows 8 tanúsítványt szeretik a számítógépeiken. A Microsoftnak a PC-gyártók számára speciális módon kell végrehajtania.
Windows 8 számítógépeken a gyártóknak módot kellett biztosítaniuk a biztonságos indítás kikapcsolására. A Microsoft a PC-gyártókat kötelezte arra, hogy a felhasználók kezében tartsák a Secure Boot kill kapcsolót.
Windows 10 PC-k esetében ez már nem kötelező.A PC-gyártók választhatják, hogy lehetővé teszik a Biztonsági indítás engedélyezését, és nem biztosítják a felhasználóknak a kikapcsolást. Azonban nem ismerjük a PC-gyártókat, akik ezt tennék.
Hasonlóképpen, míg a PC-gyártóknak a Microsoft fő "Microsoft Windows Product PCA" kulcsát kell tartalmazniuk, hogy a Windows indíthasson, nem kell a "Microsoft Corporation UEFI CA" kulcsot bevinnie. Ez a második kulcs csak ajánlott. Ez a második, opcionális kulcs, amelyet a Microsoft Linux aláíró rakodók aláírására használ. Az Ubuntu dokumentációja ezt magyarázza.
Más szóval, nem minden számítógép szükségszerűen indít bootolt Linux disztribúciót, amikor a Secure Boot be van kapcsolva. Ismét a gyakorlatban nem láttunk olyan PC-ket, amelyek ezt tették. Lehet, hogy egyetlen PC-gyártó sem akarja, hogy az egyetlen vonalat a laptopokról ne tudja telepíteni a Linuxot.
Most, legalábbis a mainstream Windows PC-knek lehetővé kell tenniük a Secure Boot letiltását, ha úgy tetszik, és el kell indítania a Linux által a Microsoft által aláírt disztribúciókat, még akkor is, ha nem tiltja le a Secure Boot alkalmazást.
A biztonságos rendszerindítás nem sikerült letiltani a Windows RT rendszeren, de a Windows RT Dead
Mindez a standard Windows 8 és 10 operációs rendszerekre érvényes a szabványos Intel x86-os hardveren. Más az ARM esetében.
A Windows RT - a Windows 8 for ARM hardverének verziója, amely a Microsoft Surface RT és Surface 2 verzióján szállított, más eszközök között - a Secure Boot nem lett letiltva. Manapság a Biztonsági Bootot még mindig nem lehet letiltani a Windows 10 Mobile hardveren - más szavakkal a Windows 10 operációs rendszerű telefonokon.
Ez azért van, mert a Microsoft azt akarta, hogy az ARM-alapú Windows RT rendszereket "eszközként", nem pedig személyi számítógépnek tekintsék. Miként a Microsoft elmondta a Mozilla-nak, a Windows RT "már nem a Windows."
A Windows RT azonban halott. Az ARM-hardver Windows 10 asztali operációs rendszerének verziója nem létezik, ezért nem kell többé aggódnia. De ha a Microsoft visszaküldi a Windows RT 10 hardvert, akkor valószínűleg nem tudja letiltani a Secure Boot programot.
Képhitel: Ambassador Base, John Bristowe