9Aug
מחשבים מודרניים הספינה עם תכונה בשם "אתחול מאובטח" מופעלת.זוהי תכונה פלטפורמה UEFI, אשר מחליף את ה- BIOS PC המסורתית.אם יצרן PC רוצה להציב מדבקה של "Windows 10" או "Windows 8" במחשב האישי שלהם, מיקרוסופט דורשת מהם להפעיל את Secure Boot ולבצע מספר הנחיות.
למרבה הצער, זה גם מונע ממך להתקין כמה הפצות לינוקס, אשר יכול להיות די מטרד.
כיצד מאובטח מאובטח מאבטח את תהליך האתחול של המחשב שלך
אתחול מאובטח לא נועד רק כדי להפוך את ריצה לינוקס קשה יותר.ישנם יתרונות אבטחה אמיתי שיש אתחול מאובטח מופעלת, ואפילו משתמשי לינוקס יכולים להפיק תועלת מהם.
BIOS מסורתי יאתחל כל תוכנה.בעת אתחול המחשב, הוא בודק את התקני החומרה בהתאם להזמנת האתחול שהגדרת, ומנסה לאתחל מהם.מחשבים אופייניים יהיה בדרך כלל למצוא אתחול האתחול של Windows, אשר ממשיך להאיץ את מערכת ההפעלה Windows מלא.אם אתה משתמש ב- Linux, ה- BIOS יאתר את מטען האתחול GRUB ויגרום לו להתרחש.
עם זאת, ייתכן שתוכנות זדוניות, כגון rootkit, יחליפו את מטעין האתחול.Rootkit יכול לטעון את מערכת ההפעלה הרגילה שלך ללא שום אינדיקציה משהו לא בסדר, להישאר בלתי נראה לחלוטין ובלתי ניתנים לגילוי על המערכת שלך.ה- BIOS אינו יודע את ההבדל בין תוכנות זדוניות לבין מטעין אתחול מהימן, זה פשוט מגף את מה שהוא מוצא.
Secure Boot נועד לעצור את זה.Windows 8 ו- 10 מחשבים אישיים נשלחים עם אישור Microsoft המאוחסן ב- UEFI.UEFI תבדוק את מטעין האתחול לפני השקתו ולוודא שהוא חתום על-ידי Microsoft.אם rootkit או חתיכה אחרת של תוכנה זדונית האם להחליף את מטעין אתחול או לחבל עם זה, UEFI לא יאפשר לו אתחול.זה מונע תוכנות זדוניות לחטוף את תהליך האתחול שלך מסתיר את עצמו ממערכת ההפעלה שלך.
כיצד מיקרוסופט מאפשרת הפצות לינוקס לאתחל עם אתחול מאובטח
תכונה זו, בתיאוריה, נועד רק כדי להגן מפני תוכנות זדוניות.כך שמיקרוסופט מציעה דרך לעזור לחלוקה של לינוקס בכל מקרה.זו הסיבה שחלק מהפצות לינוקס המודרניות - כמו אובונטו ופדורה - יעבדו "רק" על מחשבים מודרניים, גם אם האפשרות Secure Boot מופעלת.הפצות לינוקס יכול לשלם תשלום חד פעמי של 99 $ כדי לגשת פורטל Sysdev של מיקרוסופט, שבו הם יכולים לחול על יש את מטעני האתחול שלהם חתומים.
הפצות לינוקס בדרך כלל יש "shim" חתם.Shim הוא מטעין אתחול קטן כי פשוט המגפיים את ההפצה לינוקס הראשי GRUB האתחול.מיקרוסופט חתמה shim בודק כדי לוודא שהוא אתחול מטעין אתחול חתום על ידי ההפצה לינוקס, ולאחר מכן את הפצת לינוקס המגפיים בדרך כלל.
אובונטו, פדורה, Red Hat Enterprise Linux ו- openSUSE תומכים כעת ב- Secure Boot, ויעבדו ללא כל שינוי בחומרה המודרנית.אולי יש אחרים, אבל אלה הם אלה שאנו מודעים להם.חלק מהפצות לינוקס מתנגדות באופן פילוסופי לחתימה על ידי מיקרוסופט.
כיצד ניתן לבטל או לאבטח אתחול מאובטח
אם זה היה כל ה- Secure Boot, לא תוכל להפעיל כל מערכת הפעלה שאינה מאושרת על-ידי Microsoft במחשב.אבל אתה יכול סביר לשלוט Secure Boot מן הקושחה של UEFI המחשב, וזה כמו ה- BIOS במחשבים ישנים.
ישנן שתי דרכים לשלוט ב - Secure Boot.השיטה הקלה ביותר היא ראש הקושחה UEFI ולהשבית אותו לחלוטין.הקושחה UEFI לא לבדוק כדי לוודא שאתה מפעיל מטעין אתחול חתום, וכל דבר יהיה אתחול.ניתן לאתחל כל הפצה לינוקס או אפילו להתקין את Windows 7, אשר אינו תומך Secure Boot. Windows 8 ו 10 יעבוד בסדר, אתה פשוט לאבד את היתרונות של אבטחה שיש אתחול מאובטח להגן על תהליך האתחול.
ניתן גם להתאים אישית את אתחול מאובטח.אתה יכול לקבוע אילו חתימות אישורים מאובטחת חתימה.אתה רשאי להתקין אישורים חדשים ולהסיר אישורים קיימים.ארגון שניהל את לינוקס במחשבים האישיים שלו, לדוגמה, יכול לבחור להסיר את אישורי מיקרוסופט ולהתקין את האישור של הארגון במקומו.מחשבים אלה היו אז רק אתחול מעמיסים האישור חתם על ידי אותו ארגון ספציפי.
אדם יכול לעשות את זה גם - אתה יכול לחתום על מטעין אתחול לינוקס שלך ולוודא המחשב יכול רק אתחול אתחול מעמיסים אתה אישית הידור וחתם.זה סוג של שליטה כוח מציעה אתחול מאובטח.מה מיקרוסופט דורשת של יצרני מחשב מיקרוסופט לא רק דורשת ספקי PC לאפשר Secure Boot אם הם רוצים זה נחמד "Windows 10" או "Windows 8" מדבקה הסמכה על המחשבים האישיים שלהם.מיקרוסופט דורשת מיצרני המחשבים האישיים ליישם אותה באופן ספציפי.
עבור Windows 8 מחשבים אישיים, יצרנים היו צריכים לתת לך דרך לבטל אתחול מאובטח.מיקרוסופט דורשת יצרני מחשבים אישיים לשים את מתג האיתור המאובטח בידי המשתמשים.
עבור Windows 10 מחשבים אישיים, זה כבר לא חובה.יצרני מחשב יכולים לבחור לאפשר אתחול מאובטח ולא לתת למשתמשים דרך לכבות אותו.עם זאת, אנחנו לא ממש מודעים לכל יצרני המחשבים האישיים שעושים זאת.
באופן דומה, כאשר יצרני המחשבים האישיים צריכים לכלול את המפתח הראשי של Microsoft Windows Microsoft Production PCA כך ש- Windows יוכל לבצע אתחול, הם אינם חייבים לכלול את המפתח "Microsoft Corporation UEFI CA".המפתח השני מומלץ.זהו המפתח השני, האופציונלי שבו משתמשת Microsoft כדי לחתום על מטעני האתחול של Linux.התיעוד של אובונטו מסביר זאת.במילים אחרות, לא כל המחשבים יהיו בהכרח אתחול הפצות לינוקס חתומות עם Secure Boot מופעלת.שוב, בפועל, לא ראינו כל המחשבים שעשו זאת.אולי לא יצרנית PC רוצה לעשות את השורה היחידה של מחשבים ניידים אתה לא יכול להתקין את לינוקס ב.
לעת עתה, לפחות, מחשבי Windows מיינסטרים אמורים לאפשר לך להשבית את ה- Secure Boot אם תרצה, והם צריכים לאתחל הפצות לינוקס שנחתמו על-ידי Microsoft גם אם לא תבטל את אתחול מאובטח.
אתחול מאובטח לא ניתן להשבית ב- Windows RT, אך Windows RT מת
כל האמור לעיל נכון לגבי מערכות הפעלה סטנדרטיות של Windows 8 ו- 10 בחומרה סטנדרטית Intel x86.זה שונה עבור ARM.
ב- Windows RT - גירסת Windows 8 עבור חומרת ARM, אשר נשלחה על פני השטח של RT ו- Surface 2 של Microsoft, בין התקנים אחרים - Secure Boot לא ניתן היה לבטל את פעולתה.היום, Secure Boot עדיין לא יכול להיות מושבת בחומרה של Windows 10 Mobile, במילים אחרות, טלפונים שמריצים את Windows 10.
הסיבה לכך היא ש- Microsoft רצתה שתחשוב על מערכות Windows RT מבוססות ARM בתור "התקנים" ולא מחשבים אישיים.כפי ש- Microsoft סיפרה ל- Mozilla, Windows RT "כבר לא Windows."
עם זאת, Windows RT הוא עכשיו מת.אין גרסה של Windows 10 שולחן העבודה של מערכת ההפעלה עבור חומרה ARM, אז זה לא משהו שאתה צריך לדאוג יותר.עם זאת, אם מיקרוסופט תביא את החומרה של Windows RT 10, סביר להניח שלא תוכל להשבית את ה- Secure Boot על זה.
תמונה אשראי: השגריר בסיס, ג 'ון Bristowe