9Aug
Computerele moderne
sunt echipate cu o funcție denumită "Secure Boot" activată.Aceasta este o caracteristică platformă în UEFI, care înlocuiește BIOS-ul PC tradițional. Dacă un producător de PC-uri dorește să plaseze pe PC-ul lor un autocolant "Windows 10" sau "Windows 8", Microsoft cere ca acestea să permită Secure Boot și să urmeze câteva instrucțiuni.
Din păcate, de asemenea, vă împiedică să instalați unele distribuții Linux, care pot fi destul de greu.
Cât de sigură este bootul care asigură procesul de boot al PC-ului
Secure Boot nu este doar conceput pentru a face ca funcționarea Linux să fie mai dificilă.Există avantaje reale pentru securitatea activării Secure Boot și chiar utilizatorii Linux pot beneficia de acestea.
Un BIOS tradițional va porni orice software. Când porniți computerul, acesta verifică dispozitivele hardware în funcție de ordinea de încărcare pe care ați configurat-o și încearcă să se încarce de la acestea. PC-urile tipice vor găsi în mod normal și vor încărca încărcătorul de boot Windows, care va porni sistemul de operare Windows complet. Dacă utilizați Linux, sistemul BIOS va găsi și va încărca încărcătorul de încărcare GRUB, pe care o utilizează majoritatea distribuțiilor Linux.
Cu toate acestea, este posibil ca malware-ul, cum ar fi un rootkit, să înlocuiască încărcătorul de încărcare. Rootkit-ul ar putea încărca sistemul dvs. de operare normal fără nici un indiciu că ceva nu a fost greșit, rămânând complet invizibil și nedetectabil în sistemul dvs. BIOS-ul nu cunoaște diferența dintre malware și un încărcător de încredere de încredere - ci doar cizme orice găsește.
Secure Boot este conceput pentru a opri acest lucru. PC-urile Windows 8 și 10 sunt livrate cu certificatul Microsoft stocat în UEFI.UEFI va verifica încărcătorul de încărcare înainte de al lansa și va asigura că este semnat de Microsoft. Dacă un rootkit sau o altă piesă de malware înlocuiește încărcătorul de boot sau se manipulează, UEFI nu-i va permite să pornească.Acest lucru împiedică malware-ul să vă deturneze procesul de încărcare și să se ascundă din sistemul dvs. de operare.
Cum Microsoft permite distribuțiilor Linux să se încarce cu boot securizat
Această caracteristică este, teoretic, doar concepută pentru a proteja împotriva malware-ului. Astfel, Microsoft oferă o modalitate de a ajuta boot-urile distribuțiilor Linux oricum. De aceea, unele distribuții moderne de la Linux, cum ar fi Ubuntu și Fedora, vor "funcționa" doar pe PC-urile moderne, chiar și cu Boot Secure activat. Distribuțiile Linux pot plăti o taxă unică de 99 USD pentru a accesa portalul Microsoft Sysdev, unde pot aplica pentru semnarea încărcătorilor de încărcare.
distribuțiile Linux au, în general, un "shim" semnat. Shim este un încărcător de boot mic, care pornește pur și simplu încărcătorul de boot GRUB principal al distribuțiilor de distribuție Linux. Controalele shim semnate de Microsoft pentru a se asigura că boot-ul este încărcat de un boot încărcat de distribuția Linux, iar apoi distribuția Linux rulează normal.
Ubuntu, Fedora, Red Hat Enterprise Linux și openSUSE suportă în prezent Secure Boot și vor funcționa fără hardware-ul modern. S-ar putea să existe și alții, dar acestea sunt cele despre care știm. Unele distribuții Linux se opun în mod filosofic aplicării pentru a fi semnate de Microsoft.
Cum puteți să dezactivați sau să controlați boot-ul securizat
Dacă aceasta a fost o operațiune de boot securizată, nu ați putea să rulați pe PC un sistem de operare aprobat de Microsoft. Dar, probabil, puteți controla Secure Boot din firmware-ul UEFI al PC-ului, care este ca și BIOS-ul în PC-urile mai vechi.
Există două moduri de a controla Boot-ul securizat. Cea mai ușoară metodă este să vă îndreptați spre firmware-ul UEFI și să o dezactivați în întregime. Firmware-ul UEFI nu va verifica dacă vă asigurați că rulați un încărcător de boot semnat și că orice va porni. Puteți să încărcați orice distribuție Linux sau chiar să instalați Windows 7, care nu acceptă Boot Secure. Ferestrele 8 și 10 vor funcționa bine, veți pierde doar avantajele de securitate ale faptului că Secure Boot vă protejează procesul de încărcare.
De asemenea, puteți personaliza secțiunea de încărcare securizată.Puteți controla ce certificări de semnare oferă Secure Boot. Aveți libertatea să instalați certificate noi și să eliminați certificatele existente. O organizație care a executat Linux pe PC-urile sale, de exemplu, ar putea alege să șteargă certificatele Microsoft și să instaleze propriul certificat al organizației. Aceste PC-uri vor porni numai încărcătoare de încărcare aprobate și semnate de acea organizație specifică.
O persoană ar putea face acest lucru și dvs. - ați putea semna propriul încărcător de încărcare Linux și vă asigurați că PC-ul dvs. ar putea să pornească numai încărcătoarele de încărcare pe care le-ați compilat personal și le-ați semnat. Acesta este genul de control și putere oferite de Boot oferă.
Ceea ce Microsoft are nevoie de producătorii de PC-uri
Microsoft nu are nevoie doar de furnizori de PC-uri pentru a activa Secure Boot dacă doresc acel "Windows 10" sau "Windows 8" autocolant de certificare pe PC-urile lor. Microsoft cere ca producătorii de PC să-l implementeze într-un mod specific.
Pentru calculatoarele Windows 8, producătorii au trebuit să vă ofere o modalitate de a dezactiva funcția Secure Boot. Microsoft a cerut producătorilor de PC-uri să pună un switch Secure Boot kill în mâinile utilizatorilor.
Pentru calculatoarele Windows 10, acest lucru nu mai este obligatoriu. Producătorii de PC-uri pot alege să permită Secure Boot și să nu ofere utilizatorilor o modalitate de ao dezactiva. Cu toate acestea, nu suntem de fapt conștienți de producătorii de PC-uri care fac acest lucru.
În mod similar, în timp ce producătorii de PC-uri trebuie să includă cheia principală "Microsoft Windows Production PCA", astfel încât Windows să poată porni, nu trebuie să includă cheia "Microsoft Corporation UEFI CA".Această a doua cheie este recomandată numai. Este cea de-a doua cheie opțională pe care Microsoft o folosește pentru a semna încărcătoarele de încărcare Linux. Documentația Ubuntu explică acest lucru.
Cu alte cuvinte, nu toate PC-urile vor porni neapărat distribuțiile Linux semnate cu Secure Boot pornit. Din nou, în practică, nu am văzut nici PC-uri care au făcut acest lucru. Poate că niciun producător de PC-uri nu dorește să facă singura linie de laptop-uri pe care nu le puteți instala pe Linux.
Deocamdată, cel puțin Windows PC-urile de bază ar trebui să vă permită să dezactivați Secure Boot dacă doriți și ar trebui să pornească distribuțiile Linux semnate de Microsoft, chiar dacă nu dezactivați Secure Boot.
Boot securizat nu ar putea fi dezactivat pe Windows RT, dar Windows RT este mort
Toate cele de mai sus sunt valabile pentru sistemele de operare standard Windows 8 și 10 pe hardware-ul standard Intel x86.Este diferit pentru ARM.
Pe Windows RT - versiunea Windows 8 pentru hardware-ul ARM, care a fost livrat pe Surface RT și Surface 2 Microsoft, printre alte dispozitive - Secure Boot nu a putut fi dezactivată.Astăzi, Secure Boot nu poate fi dezactivat pe hardware-ul Windows 10 Mobile - cu alte cuvinte, telefoanele care rulează Windows 10.
Asta pentru că Microsoft a vrut să vă gândiți la sistemele Windows RT ARM ca pe "dispozitive", nu pe PC-uri. După cum a spus Microsoft Mozilla, Windows RT "nu mai este Windows".
Cu toate acestea, Windows RT este acum mort. Nu există nici o versiune a sistemului de operare desktop Windows 10 pentru hardware-ul ARM, deci nu trebuie să vă mai faceți griji. Dar, dacă Microsoft va aduce înapoi hardware-ul Windows RT 10, probabil că nu veți putea dezactiva boot-ul securizat pe acesta.
Credit de imagine: Ambasador de bază, John Bristowe