9Aug

Ako bezpečná boot funguje v systéme Windows 8 a 10 a čo znamená pre Linux

Moderné počítače dodávané s funkciou nazývanou "Secure Boot" povolené.Toto je platforma v UEFI, ktorá nahrádza tradičné PC BIOS.Ak chce výrobca osobného počítača umiestniť do svojho počítača nálepku s logom "Windows 10" alebo "Windows 8", spoločnosť Microsoft vyžaduje, aby povolili Secure Boot a dodržiavali niektoré pokyny.

Bohužiaľ, zabraňuje vám aj inštalácii niektorých Linuxových distribúcií, čo môže byť dosť hádka.

Ako zabezpečené zavádzanie zabezpečuje proces spustenia vášho počítača

Secure Boot nie je len určený na to, aby zjednodušil spustenie systému Linux. Existujú skutočné bezpečnostné výhody, ktoré umožňujú zabezpečiť bezpečnú bootovanie, a dokonca aj používatelia Linuxu môžu mať z nich prospech.

Tradičný systém BIOS zavádza akýkoľvek softvér. Pri spúšťaní počítača kontroluje hardvérové ​​zariadenia podľa poradia zavádzania, ktoré ste nakonfigurovali, a pokúša sa ich spustiť.Typické počítače zvyčajne vyhľadajú a spúšťajú zavádzací systém Windows, na ktorom sa spúšťa celý operačný systém Windows. Ak používate systém Linux, systém BIOS nájde a zavádza zavádzač GRUB, ktorý používa väčšina Linuxových distribúcií.

Je však možné, že malware, napríklad rootkit, nahradí váš zavádzač.Rootkit by mohol načítať váš normálny operačný systém bez indikácie, že nie je nič zlé, zostať úplne neviditeľné a nedetekovateľné vo vašom systéme. Systém BIOS nepozná rozdiel medzi škodlivým softvérom a dôveryhodným zavádzacím zariadením - jednoducho zavádza všetko, čo nájde.

Secure Boot je navrhnutý tak, aby to zastavil. Počítače so systémom Windows 8 a 10 sa dodávajú s certifikátom spoločnosti Microsoft uloženým v systéme UEFI.UEFI skontroluje zavádzací systém pred spustením a zabezpečí, aby bol podpísaný spoločnosťou Microsoft. Ak rootkit alebo iný kúsok škodlivého softvéru nahradí váš zavádzač alebo ho nahradí, UEFI ho nedovolí zaviesť.To zabraňuje tomu, aby malware zablokoval váš zavádzací proces a aby sa skryl z vášho operačného systému.

Ako Microsoft umožňuje distribúcie Linuxu na zavádzanie so zabezpečeným zavádzaním

Táto funkcia je teoreticky navrhnutá len na ochranu proti malwaru. Takže spoločnosť Microsoft ponúka spôsob, ako pomôcť pri distribúcii distribučných systémov Linuxu. To je dôvod, prečo niektoré moderné distribúcie Linuxu, napríklad Ubuntu a Fedora, "budú práve" fungovať na moderných počítačoch, dokonca aj so zapnutou funkciou Secure Boot. Distribúcie Linuxu môžu platiť jednorazový poplatok vo výške 99 USD na prístup na portál Microsoft Sysdev, kde môžu požiadať o podpísanie zavádzacích zariadení.Rozdelenia

Linuxu majú všeobecne podpísanú "podložku".Podložka je malý zavádzač, ktorý jednoducho zavádza hlavný zavádzač distribučných systémov GRUB GRUB.Kontrola podpisu spoločnosti Microsoft sa skontroluje, aby sa zabezpečilo zavedenie zavádzacieho zariadenia na zavádzanie podpísaného distribúciou Linuxu a potom distribučné bootovanie Linuxu normálne.

Ubuntu, Fedora, Red Hat Enterprise Linux a openSUSE v súčasnosti podporujú Secure Boot a budú fungovať bez vylepšenia moderného hardvéru. Možno existujú aj iné, ale to sú tie, o ktorých vieme. Niektoré distribúcie Linuxu sú filozoficky protirečené tomu, aby podali žiadosť o podpísanie spoločnosťou Microsoft.

Ako môžete zakázať alebo ovládať zabezpečené zavádzanie

Ak by to bolo všetko zabezpečené zavádzanie, nebudete môcť spustiť akýkoľvek operačný systém, ktorý nie je schválený spoločnosťou Microsoft, na vašom počítači. Ale môžete pravdepodobne ovládať Secure Boot z firmvéru vášho PC UEFI, čo je ako starší počítač BIOS.

Existujú dva spôsoby, ako riadiť Secure Boot. Najjednoduchšia metóda je smerovať do firmvéru UEFI a úplne ho vypnúť.Firmvér UEFI nebude skontrolovať, či máte spustený podpísaný zavádzač a všetko sa spustí.Môžete zaviesť ľubovoľnú Linuxovú distribúciu alebo dokonca nainštalovať systém Windows 7, ktorý nepodporuje Secure Boot. Systém Windows 8 a 10 bude fungovať v poriadku, stratíte bezpečnostné výhody zabezpečenia zavádzacieho procesu Secure Boot.

Môžete tiež ďalej prispôsobiť Secure Boot. Môžete určiť, ktoré podpisové certifikáty ponúka Secure Boot. Môžete slobodne nainštalovať nové certifikáty a odstrániť existujúce certifikáty. Organizácia, ktorá spustila systém Linux na svojich počítačoch, môže napríklad vybrať odstránenie certifikátov spoločnosti Microsoft a nainštalovať vlastný certifikát organizácie. Tieto počítače by potom spustili iba zavádzacie zariadenia, ktoré schválili a podpísali túto konkrétnu organizáciu.

Jednotlivec by to mohol urobiť aj ty - mohli by ste podpísať svoj vlastný zavádzač systému Linux a zaistiť, aby váš počítač mohol spustiť iba zavádzače, ktoré ste osobne zostavili a podpísali. To je druh kontroly a výkonu Secure Boot ponúka.

Čo spoločnosť Microsoft vyžaduje od výrobcov počítačov

Spoločnosť Microsoft nevyžaduje len to, aby výrobcovia počítačov povolili zabezpečené zavádzanie, ak chcú na svojich počítačoch peknú certifikačnú nálepku "Windows 10" alebo "Windows 8".Spoločnosť Microsoft požaduje od výrobcov počítačov, aby ju špecificky implementovali.

Pre počítače s operačným systémom Windows 8 museli výrobcovia poskytnúť spôsob, ako vypnúť zabezpečené zavádzanie. Spoločnosť Microsoft požadovala od výrobcov počítačov, aby v rukách používateľov umiestnili prepínač Zablokovanie bezpečného spustenia.

Pre počítače s operačným systémom Windows 10 to už nie je povinné.Výrobcovia počítačov si môžu vybrať možnosť zabezpečiť zavádzanie a nedávať používateľom možnosť vypnúť ho. V skutočnosti však nie sme si vedomí žiadnych výrobcov počítačov, ktorí to robia.

Podobne, zatiaľ čo výrobcovia počítačov musia zahrnúť hlavný kľúč "Microsoft Windows Production PCA", aby mohol systém Windows zavádzať, nemusia obsahovať kľúč "Microsoft Corporation UEFI CA".Tento druhý kľúč sa odporúča len. Je to druhý, voliteľný kľúč, ktorý spoločnosť Microsoft používa na podpísanie zavádzacích systémov Linux. Dokumentácia Ubuntu vysvetľuje túto skutočnosť.

Inými slovami, nie všetky počítače budú nevyhnutne zavádzať podpísané distribúcie Linux so zapnutou funkciou Secure Boot. Opäť sme v praxi nevideli žiadne počítače, ktoré to urobili. Možno žiadny výrobca počítačov nechce vytvoriť jediný rad notebookov, na ktoré nemôžete nainštalovať Linux.

V súčasnej dobe by mali byť hlavné prúdy Windows PC umožnené zakázať Secure Boot, ak chcete, a mali by spustiť distribúcie Linuxu, ktoré boli podpísané spoločnosťou Microsoft dokonca aj v prípade, že zakážete Secure Boot.

Secure Boot nemohol byť zakázaný v systéme Windows RT, ale Windows RT je mŕtvy

Všetky vyššie uvedené sú platné pre štandardné operačné systémy Windows 8 a 10 na štandardnom hardvéri Intel x86.Je to iné pre ARM.

V systéme Windows RT - verzia systému Windows 8 pre hardvér ARM, ktorá bola dodávaná na povrchoch spoločnosti Microsoft Surface RT a Surface 2, medzi inými zariadeniami - Secure Boot nemohla byť zakázaná.Secure Boot nemôže byť dnes deaktivovaný v systéme Windows 10 Mobile - inými slovami telefóny, ktoré používajú systém Windows 10.

Pretože Microsoft chcel, aby ste si mysleli, že systémy Windows RT založené na ARM sú "zariadenia", nie počítače. Ako povedal Microsoft v Mozille, Windows RT "už nie je Windows."

Windows RT je však teraz mŕtvy. Neexistuje žiadna verzia operačného systému Windows 10 pre operačný systém ARM, takže to nie je niečo, na čo sa už musíte starať.Ak však spoločnosť Microsoft prináša hardvér systému Windows RT 10, pravdepodobne nebudete môcť vypnúť funkciu Secure Boot.

Image Credit: veľvyslanec základňa, John Bristowe