9Aug
Współczesne komputery są wyposażone w funkcję zwaną "Bezpieczne uruchamianie".Jest to funkcja platformy w UEFI, która zastępuje tradycyjny BIOS komputera. Jeśli producent komputera chce umieścić na swoim komputerze naklejkę z logo "Windows 10" lub "Windows 8", Microsoft wymaga włączenia opcji Bezpiecznego rozruchu i przestrzegania pewnych wytycznych.
Niestety, uniemożliwia również instalację niektórych dystrybucji Linuksa, co może być dość kłopotliwe.
Jak Bezpieczne uruchamianie zabezpiecza proces rozruchu komputera
Bezpieczne uruchamianie nie jest zaprojektowane tylko w celu utrudnienia działania systemu Linux. Zabezpieczenie rozruchu zapewnia rzeczywiste korzyści związane z bezpieczeństwem, a nawet użytkownicy Linuksa mogą z nich korzystać.
Tradycyjny BIOS uruchomi dowolne oprogramowanie. Po uruchomieniu komputera sprawdza on urządzenia sprzętowe zgodnie z skonfigurowaną kolejnością rozruchu i próbuje uruchomić się z nich. Typowe komputery zwykle znajdują i uruchamiają program ładujący systemu Windows, który uruchamia pełny system operacyjny Windows. Jeśli używasz Linuksa, BIOS odnajdzie i uruchomi program ładujący GRUB, którego używa większość dystrybucji Linuksa.
Jednak złośliwe oprogramowanie, takie jak rootkit, może zastąpić program rozruchowy. Rootkit może załadować twój normalny system operacyjny bez żadnego wskazania, że coś jest nie tak, pozostając całkowicie niewidocznym i niewykrywalnym w twoim systemie. BIOS nie zna różnicy między złośliwym oprogramowaniem a zaufanym programem rozruchowym - po prostu uruchamia to, co znajdzie.
Secure Boot ma na celu zatrzymanie tego. Komputery z Windows 8 i 10 są dostarczane z certyfikatem Microsoft przechowywanym w UEFI.UEFI sprawdzi moduł ładujący przed uruchomieniem go i upewni się, że jest podpisany przez Microsoft. Jeśli rootkit lub inny złośliwy program zastąpi twój program ładujący lub sabotuje go, UEFI nie pozwoli na jego uruchomienie. Zapobiega to przechwytywaniu złośliwego oprogramowania przez proces rozruchu i ukrywaniu się przed systemem operacyjnym.
Jak Microsoft zezwala na dystrybucje Linuksa do rozruchu przy użyciu bezpiecznego rozruchu
Ta funkcja jest teoretycznie zaprojektowana tylko w celu ochrony przed złośliwym oprogramowaniem. Więc Microsoft oferuje sposób, aby pomóc w uruchomieniu dystrybucji Linuksa. Dlatego niektóre współczesne dystrybucje Linuksa - takie jak Ubuntu i Fedora - będą "działać" na nowoczesnych komputerach, nawet przy włączonym Bezpiecznym uruchomieniu. Dystrybucje Linuksa mogą płacić jednorazową opłatę w wysokości 99 USD za dostęp do portalu Microsoft Sysdev, gdzie mogą ubiegać się o podpisanie ich bootloaderów. Dystrybucje systemu
zazwyczaj zawierają podpis "shim".Shim to mały program ładujący, który po prostu uruchamia główny program ładujący GRUB dystrybucji dystrybucyjnej. Podpisana przez Microsoft podkładka sprawdza, czy ładuje bootloadera podpisanego przez dystrybucję Linuksa, a następnie dystrybucja Linuksa uruchamia się normalnie.
Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE obsługują obecnie Bezpieczne uruchamianie i będą działać bez żadnych ulepszeń na nowoczesnym sprzęcie. Mogą istnieć inne, ale te są nam znane. Niektóre dystrybucje Linuksa są filozoficznie przeciwne do ubiegania się o podpisanie przez Microsoft.
Jak można wyłączyć lub kontrolować bezpieczny rozruch
Jeśli to wszystko było zrobione w trybie Bezpiecznego rozruchu, nie można uruchomić na komputerze komputera żadnego systemu operacyjnego niezatwierdzonego przez Microsoft. Ale prawdopodobnie można kontrolować Bezpieczne uruchamianie z oprogramowania układowego UEFI swojego komputera, które przypomina system BIOS na starszych komputerach.
Istnieją dwa sposoby kontrolowania bezpiecznego rozruchu. Najprostszą metodą jest przejście do oprogramowania układowego UEFI i całkowite wyłączenie go. Oprogramowanie układowe UEFI nie sprawdzi, czy uruchomiony jest podpisany program ładujący, a wszystko zostanie uruchomione. Możesz uruchomić dowolną dystrybucję Linuksa, a nawet zainstalować system Windows 7, który nie obsługuje bezpiecznego rozruchu. Windows 8 i 10 będą działały dobrze, po prostu stracisz zalety bezpieczeństwa związane z tym, że Secure Boot chroni twój proces uruchamiania.
Możesz także dodatkowo dostosować bezpieczny rozruch. Możesz kontrolować, które certyfikaty podpisywania Bezpieczne oferty rozruchowe. Możesz zarówno instalować nowe certyfikaty, jak i usuwać istniejące certyfikaty. Organizacja, która na przykład uruchomiła Linuksa na swoich komputerach, może usunąć certyfikaty Microsoft i zainstalować w tym miejscu własny certyfikat organizacji. Te komputery będą wtedy uruchamiać tylko ładowniki rozruchowe zatwierdzone i podpisane przez tę konkretną organizację.
Może to również zrobić osoba fizyczna - możesz podpisać swój własny program ładujący systemu Linux i upewnić się, że twój komputer może uruchamiać tylko boot loader, który osobiście skompilowałeś i podpisałeś.To rodzaj kontroli i mocy, które oferuje Secure Boot.
Czego Microsoft wymaga od producentów komputerów
Microsoft nie wymaga od dostawców komputerów tylko włączenia bezpiecznego rozruchu, jeśli chcą mieć na swoich komputerach ładne naklejki "Windows 10" lub "Windows 8".Firma Microsoft wymaga od producentów komputerów osobistych wdrożenia go w określony sposób.
W przypadku komputerów z systemem Windows 8 producenci musieli dać ci sposób na wyłączenie Bezpiecznego rozruchu. Firma Microsoft wymagała od producentów komputerów umieszczania przełącznika bezpiecznego uruchamiania w rękach użytkowników.
Dla komputerów z systemem Windows 10 nie jest to już obowiązkowe. Producenci komputerów mogą włączyć funkcję Bezpiecznego rozruchu i nie dać użytkownikom sposobu na jej wyłączenie. Jednak właściwie nie jesteśmy świadomi producentów komputerów, którzy to robią.
Podobnie, podczas gdy producenci komputerów muszą zawierać klucz Microsoftu "Microsoft Windows Production PCA", aby system Windows mógł być uruchamiany, nie muszą zawierać klucza "Microsoft Corporation UEFI CA".Ten drugi klucz jest zalecany tylko. Jest to drugi, opcjonalny klucz, którego używa Microsoft do podpisywania programów ładujących system Linux. Dokumentacja Ubuntu wyjaśnia to.
Innymi słowy, nie wszystkie komputery PC będą musiały uruchamiać podpisane dystrybucje Linuksa z włączonym Bezpiecznym uruchomieniem. Ponownie, w praktyce nie widzieliśmy żadnych komputerów, które to zrobiły. Być może żaden producent komputerów PC nie chce stworzyć jedynej linii laptopów, na których nie można zainstalować Linuksa.
Na razie mainstreamowe komputery PC z systemem Windows powinny pozwolić na wyłączenie bezpiecznego rozruchu, jeśli chcesz, i powinny uruchamiać dystrybucje Linuksa, które zostały podpisane przez Microsoft, nawet jeśli nie wyłączysz Bezpiecznego rozruchu.
Bezpieczne uruchamianie nie może być wyłączone w systemie Windows RT, ale system Windows RT jest martwy
Wszystkie powyższe są prawdziwe w przypadku standardowych systemów Windows 8 i 10 na standardowym sprzęcie Intel x86.Dla ARM jest inaczej.
W systemie Windows RT - wersja systemu Windows 8 dla sprzętu ARM, która została dostarczona na platformach Surface RT i Surface 2 firmy Microsoft, między innymi urządzeniami - nie można wyłączyć bezpiecznego rozruchu. Dziś Secure Boot nadal nie może być wyłączony na sprzęcie Windows 10 Mobile - innymi słowy, telefony z systemem Windows 10.
To dlatego, że Microsoft chciał, abyś myślał o systemach Windows RT opartych na ARM jako "urządzeniach", nie komputerach. Jak Microsoft powiedział Mozilli, Windows RT "nie jest już Windowsem."
Jednak Windows RT jest już martwy. Nie ma wersji systemu operacyjnego Windows 10 dla sprzętu ARM, więc nie musisz się już o to martwić.Ale jeśli Microsoft przywróci sprzęt Windows RT 10, prawdopodobnie nie będzie w stanie wyłączyć Bezpiecznego rozruchu.
Image Credit: Ambassador Base, John Bristowe