9Aug
Moderni računalniki so opremljeni s funkcijo, imenovano »Secure Boot«.To je platformna funkcija v UEFI, ki nadomešča tradicionalni PC BIOS.Če proizvajalec računalnika želi namestiti nalepko z nalepko »Windows 10« ali »Windows 8« na svoj računalnik, Microsoft zahteva, da omogočijo Secure Boot in upoštevajo nekaj smernic.
Na žalost vam tudi preprečuje namestitev nekaterih distribucij Linuxa, kar je lahko precej težav.
Kako varen zagon zagotavlja zagon procesorja vašega računalnika
Secure Boot ni samo zasnovan za oteževanje zagona Linuxa. Obstajajo resnične varnostne prednosti za omogočanje Secure Boot in celo uporabniki v Linuxu lahko izkoristijo te možnosti.
Tradicionalni BIOS bo zagnal katero koli programsko opremo. Ko zaženete računalnik, preveri strojne naprave v skladu z zagonskim vrstnim redom, ki ste ga konfigurirali, in jih poskuša zagnati. Tipični osebni računalniki bodo običajno našli in zagnali zagonski nalagalnik Windows, ki bo šel zaganjati celoten operacijski sistem Windows.Če uporabljate Linux, bo BIOS poiskal in zagnal zagonski nalagalnik GRUB, ki ga uporabljajo večina distribucij Linuxa.
Vendar je mogoče zlonamerno programsko opremo, kot je rootkit, zamenjati zagonski nalagalnik. Rootkit lahko naloži vaš običajni operacijski sistem brez navedbe, da je bilo kaj narobe, da ostane popolnoma nevidno in nezaznavno na vašem sistemu. BIOS ne ve razlike med zlonamerno programsko opremo in zanesljivim zagonskim zagonom - samo zagnati karkoli najde.
Secure Boot je namenjen zaustavitvi tega. Windows 8 in 10 osebnih računalnikov pošiljajo s potrdilom Microsofta, shranjenim v UEFI.UEFI bo pred zagonom preveril zagonski nalagalnik in zagotovil, da ga podpiše Microsoft.Če rootkit ali drug kos zlonamerne programske opreme nadomesti vaš zagonski nalagalnik ali ne posega v to, UEFI ne bo dovolil zagona. S tem preprečite, da bi zlonamerna programska oprema ugrabila svoj zagonski postopek in se prikrila pred operacijskim sistemom.
Kako Microsoft distribucije Linuxa omogoča zagon z varnim zagonom
Ta funkcija je teoretično namenjena samo zaščiti pred zlonamerno programsko opremo. Torej, Microsoft ponuja način, kako pomagati Linux distribucije boot vseeno. Zato bodo nekatere sodobne distribucije Linuxa, na primer Ubuntu in Fedora, "delovale" na sodobnih osebnih računalnikih, tudi če je omogočen sistem Secure Boot. Distribucije Linuxa lahko plačajo enkratno pristojbino v višini 99 evrov za dostop do portala Microsoft Sysdev, kjer lahko zaprosijo za podpisovanje njihovih zagonskih naprav.
distribucije Linuxa imajo na splošno "podpis".Shim je majhen zagonski nalagalnik, ki preprosto zagnati glavni distribucijski Linux GRUB zagonski nalagalnik. Microsoft-podpisani shim preveri, da bo zagon zagonskega nalagalnika, ki ga podpira distribucija Linuxa, nato pa se distribucija Linux ponovi običajno.
Ubuntu, Fedora, Red Hat Enterprise Linux in openSUSE trenutno podpirajo Secure Boot in bodo delali brez kakršnih koli sprememb na sodobni strojni opremi. Morda obstajajo drugi, toda to so tisti, za katere se zavedamo. Nekatere distribucije Linuxa so filozofsko nasprotne uporabi, ki jih podpiše Microsoft.
Kako lahko onemogočite ali nadzorujete Secure Boot
Če je bil to varen zagon, ne morete zagnati operacijskega sistema, ki ga ni odobril Microsoft, na vašem računalniku. Toda verjetno lahko nadzorujete Secure Boot iz strojne programske opreme UEFI vašega računalnika, ki je podoben BIOS-u na starejših računalnikih.
Obstajata dva načina za nadzor Secure Boot. Najpreprostejši način je, da se odpravite na firmware UEFI in ga v celoti onemogočite. Vdelana programska oprema UEFI ne bo preverila, ali boste zagnali podpisani zagonski nalagalnik, in vse se bo zagnalo. Lahko zaženete katero koli Linuxovo distribucijo ali celo namestite Windows 7, ki ne podpira Secure Boot. Windows 8 in 10 bodo delovali v redu, samo izgubite varnostne prednosti, ki jih ima Secure Boot zaščita vašega zagonskega procesa.
Lahko še dodatno prilagodite Secure Boot. Lahko nadzorujete, kateri certifikati za podpisovanje ponujajo Secure Boot. Lahko namestite nova potrdila in odstranite obstoječa potrdila. Na primer, organizacija, ki je na svojih računalnikih predvajala Linux, bi lahko izbrala Microsoftove certifikate in na svojem mestu namestila lasten certifikat organizacije. Ti osebni računalniki bi šele zagnali zagonske zagovornike, ki jih je odobrila in podpisala ta določena organizacija.
Posameznik bi to lahko storil tudi vi, lahko bi podpisali svoj lasten zagonski nalagalnik Linuxa in zagotovili, da bi vaš računalnik lahko zagnal samo zagonske naprave, ki ste jih osebno zbrali in podpisali. To je vrsta nadzora in moči Secure Boot ponuja.
Kaj Microsoft potrebuje proizvajalcem računalnikov
Microsoft ne zahteva samo, da prodajalci računalnikov omogočajo Secure Boot, če želijo to lepo nalepko z oznako »Windows 10« ali »Windows 8« na svojih računalnikih. Microsoft zahteva, da ga proizvajalci računalnikov izvajajo na poseben način.
Za Windows 8 računalnikov so morali proizvajalci dati način, da izklopite Secure Boot. Microsoft je zahteval, da proizvajalci računalnikov v uporabniške roke vklopijo stikalo za varnostni zagon.
Za Windows 10 računalnikov to ni več obvezno. Proizvajalci računalnikov se lahko odločijo, da omogočijo Secure Boot in uporabnikom ne omogočajo, da bi jih izklopili. Vendar se dejansko ne zavedamo nobenih proizvajalcev računalnikov, ki to počnejo.
Podobno je, da morajo proizvajalci računalnikov vključiti Microsoftov glavni ključ za "Microsoft Windows Production PCA", zato se lahko Windows škorenj, zato jim ni treba vključiti ključa "Microsoft Corporation UEFI CA".Ta drugi ključ je priporočljiv le. To je drugi, neobvezni ključ, ki ga Microsoft uporablja za podpisovanje zagonskih zaganj Linuxa. Dokumentacija Ubuntu to pojasnjuje.
Z drugimi besedami, vsi računalniki ne bodo nujno zagnali podprtih distribucij Linuxa z vklopljeno Secure Boot. V praksi še nismo videli nobenega osebnega računalnika, ki je to storil. Morda noben proizvajalec osebnih računalnikov ne želi postati edine linije prenosnih računalnikov, na katere ne morete namestiti Linuxa.
Za zdaj morajo biti glavni računalniki Windows omogočeni, da onemogočite Secure Boot, če želite, in bi morali zagnati distribucije Linuxa, ki jih je Microsoft podpisal, tudi če onemogočite Secure Boot.
Secure Boot ni mogoče onemogočiti v operacijskem sistemu Windows RT, toda Windows RT je mrtev
Vse to velja za standardne operacijske sisteme Windows 8 in 10 na standardni Intel x86 strojni opremi. Drugače je za ARM.
V operacijskem sistemu Windows RT, različici operacijskega sistema Windows 8 za strojno opremo ARM, ki je bila dobavljena na površini Microsoft Surface RT in Surface 2, med drugimi napravami - Secure Boot ni bilo mogoče onemogočiti. Danes Secure Boot še vedno ni mogoče onemogočiti v operacijskem sistemu Windows 10 Mobilna strojna oprema - z drugimi besedami, telefoni, v katerih je nameščen operacijski sistem Windows 10.
To je zato, ker si je Microsoft želel razmisliti o sistemih Windows RT, ki temeljijo na ARM, kot »napravah« in ne računalniku. Kot je Microsoft povedal Mozilli, Windows RT "ni več Windows."
Vendar je Windows RT zdaj mrtev. Za armaturno strojno opremo ni nobene različice operacijskega sistema Windows 10 za namizne računalnike, zato vam ni treba več skrbeti. Toda, če Microsoft vrne strojno opremo Windows RT 10, verjetno ne boste mogli onemogočiti varnega zagona.
Image Credit: veleposlanik Base, John Bristowe