9Aug
Савремени рачунари се шаљу са функцијом под називом "Сецуре Боот" омогућена.Ово је платформа у УЕФИ-у, која замењује традиционални ПЦ БИОС.Ако произвођач рачунара жели поставити наљепницу за логотип "Виндовс 10" или "Виндовс 8" на свој рачунар, Мицрософт захтијева да омогућавају Сецуре Боот и слиједе неке смернице.
Нажалост, такође вам спречава инсталирање неких Линук дистрибуција, што може бити прилично забринуто.
Како безбедно покретање обезбеђује процес покретања рачунара
Сецуре Боот није само дизајниран да отежава Линук.Постоје стварне сигурносне предности за омогућавање сигурног покретања, а чак и Линук корисници могу имати користи од њих.
Традиционални БИОС покреће сваки софтвер.Када покренете рачунар, он проверава хардверске уређаје према редоследу покретања који сте конфигурисали и покушава да их покрене.Типични рачунари ће обично наћи и покренути Виндовс боот лоадер, који наставља да покреће цео Виндовс оперативни систем.Ако користите Линук, БИОС ће пронаћи и покренути ГРУБ боот лоадер, који већина Линук дистрибуција користи.
Међутим, могуће је да се малваре, као што је рооткит, замени ваш боот лоадер.Рооткит може да учита ваш нормалан оперативни систем без икаквог назнака да је било шта погрешно, остајући потпуно невидљиво и неприметно на вашем систему.БИОС не зна разлику између малвера и поузданог боот лоадер-а, само покреће оно што нађе.
Сецуре Боот је дизајниран да заустави ово.Виндовс 8 и 10 рачунара шаљу са Мицрософтовим сертификатом који се чува у УЕФИ-у.УЕФИ ће проверити боот лоадер пре покретања и осигурати да је потписао Мицрософт.Ако рооткит или други комад малвера замени ваш подизач или га замени, УЕФИ неће дозволити да се покрене.Ово спречава злонамерни софтвер отмичући процес покретања и сакривање себе из оперативног система.
Како Мицрософт дозвољава Линук дистрибуцијама да покрећу помоћу безбедног покретања
Ова карактеристика је, у теорији, управо дизајнирана да штити од малвера.Дакле, Мицрософт нуди начин да помогне Линук дистрибуцијама у сваком случају.Због тога ће неке модерне Линук дистрибуције - попут Убунту-а и Федора- "радити" само на савременим рачунарима, чак и уз омогућену функцију Сецуре Боот.Линук дистрибуције могу платити једнократну накнаду од 99 долара за приступ порталу Мицрософт Сисдев, где могу да се пријаве за потписивање њихових боот система.
Линук дистрибуције обично имају "шимпанз" потписан.Схим је мали боот лоадер који једноставно покреће главни дистрибуциони Линук ГРУБ боот лоадер.Мицрософт-потписани шим провјери како би се осигурало да покреће боот лоадер који је потписао дистрибуција Линука, а онда се дистрибуција Линука обично покреће.
Убунту, Федора, Ред Хат Ентерприсе Линук и опенСУСЕ тренутно подржавају Сецуре Боот и радиће без икаквих потеза на савременом хардверу.Можда постоје и други, али то су оне за које смо свесни.Неке Линук дистрибуције су филозофски супротне примени да би их Мицрософт потписао.
Како можете онемогућити или контролисати безбедно покретање
Ако је то било све заштитно покретање, не бисте могли да покренете оперативни систем који није одобрен од стране Мицрософта на рачунару.Али вероватно можете контролисати Сецуре Боот са УЕФИ фирмвера вашег рачунара, што је као БИОС на старијим рачунарима.
Постоје два начина за контролу безбедног покретања.Најлакши начин је да се упутите на фирмвер УЕФИ и потпуно га искључите.УЕФИ фирмваре неће проверити да ли имате инсталиран потписани боот лоадер, и било шта ће покренути.Можете покренути било коју Линук дистрибуцију или чак инсталирати Виндовс 7, који не подржава Сецуре Боот.Виндовс 8 и 10 ће радити добро, само ћете изгубити безбедносне предности поседовања Сецуре Боот заштитног процеса покретања.
Можете такође додатно прилагодити безбедно покретање.Можете контролисати који сертификати за потписивање Сецуре Боот нуди.Слободно можете инсталирати нове сертификате и уклонити постојеће сертификате.На пример, организација која је покренула Линук на својим рачунарима могла би да изабере да уклони Мицрософтове сертификате и да инсталира властити сертификат организације на своје место.Ови рачунари би тада покренули само боот лоадерс који су одобрени и потписани од стране одређене организације.
Појединачна особа такође може да уради ово - можете потписати сопствени Линук боот лоадер и осигурати да ваш рачунар може покренути само боот боотове које сте лично прикупили и потписали.То је врста контроле и снаге Сецуре Боот понуде.
Шта Мицрософт захтева од произвођача рачунара
Мицрософт не захтева само произвођаче рачунара да омогућавају Сецуре Боот ако желе да на наљим рачунарима приђу лепу "Виндовс 10" или "Виндовс 8" сертификациону налепницу.Мицрософт захтева да произвођачи рачунара примене на одређени начин.
За Виндовс 8 рачунаре, произвођачи су морали да вам дају начин да искључите Сецуре Боот.Мицрософт је тражио произвођаче рачунара да постављају прекидач за сигурно покретање у рукама корисника.
За Виндовс 10 рачунаре ово више није обавезно.Произвођачи рачунара могу да одлуче да омогућавају безбедно покретање и не дају корисницима начин да га искључе.Међутим, заправо нисмо свесни произвођача рачунара који то раде.
Слично томе, док произвођачи рачунара морају укључити Мицрософтов главни "Мицрософт Виндовс Продуцтион ПЦА" кључ како би се Виндовс могао покренути, не морају укључивати кључ Мицрософт Цорпоратион УЕФИ ЦА.Овај други кључ се препоручује само.То је други, опциони кључ који Мицрософт користи за потписивање Линук боот лоадер-а.Убунту документација то објашњава.
Другим речима, не сви рачунари ће нужно покретати потписане Линук дистрибуције уз укључену Сецуре Боот.Поново, у пракси, нисмо видели никакве рачунаре који су то учинили.Можда произвођач рачунара не жели да постане једина линија лаптопа на коју не можете да инсталирате Линук.
За сада барем маинстреам Виндовс рачунари требају омогућити да онемогућите Сецуре Боот ако желите, а требали би покренути Линук дистрибуције које је Мицрософт потписао чак и ако не онемогућите Сецуре Боот.
Сецуре Боот не може бити онемогућен на Виндовс РТ, али Виндовс РТ је мртав
Све наведено је истинито за стандардне оперативне системе Виндовс 8 и 10 на стандардном Интел к86 хардверу.То је другачије за АРМ.
У Виндовс РТ верзији Виндовс 8 за АРМ хардвер који је испоручен на Сурфаце РТ и Сурфаце 2, међу осталим уређајима - Сецуре Боот не може се онемогућити.Данас Сецуре Боот и даље не може бити онемогућен на оперативном систему Виндовс 10 Мобиле хардваре-другим речима, телефонима који покрећу Виндовс 10.
То је зато што Мицрософт жели да размишљаш о АРМ Виндовс РТ системима као "уређаје", а не рачунаре.Као што је Мицрософт рекао Мозиљи, Виндовс РТ "више није Виндовс".
Међутим, Виндовс РТ је сада мртав.Не постоји верзија Виндовс 10 десктоп оперативног система за АРМ-хардвер, тако да то више није потребно забринути.Али, уколико Мицрософт врати Виндовс РТ 10 хардвер, вероватно неће бити онемогућено онемогућити Сецуре Боот на њему.
Имаге Цредит: амбасадорка база, Јохн Бристове
