9Aug
Moderna datorer levereras med en funktion som heter "Secure Boot" aktiverat. Detta är en plattformsfunktion i UEFI, som ersätter den traditionella PC BIOS.Om en PC-tillverkare vill lägga in en "Windows 10" eller "Windows 8" -logotikett till sin dator, kräver Microsoft att de aktiverar Secure Boot och följer några riktlinjer.
Tyvärr förhindrar du också att du installerar några Linux-distributioner, vilket kan vara ganska krångel.
Hur säker uppstart säkrar datorns startprocess
Secure Boot är inte bara konstruerad för att göra körning av Linux svårare. Det finns verkliga säkerhetsfördelar för att ha Secure Boot aktiverat, och även Linux-användare kan dra nytta av dem.
En traditionell BIOS startar någon programvara. När du startar din dator kontrollerar den maskinvaruenheterna enligt startordningen du har konfigurerat och försöker starta från dem. Typiska datorer kommer normalt att hitta och starta Windows-startläsaren, som fortsätter att starta hela Windows-operativsystemet. Om du använder Linux kommer BIOS att hitta och starta GRUB-startläsaren, som de flesta Linux-distributioner använder.
Det är dock möjligt att malware, till exempel en rootkit, ersätter din startläsare. Rotkit kan ladda ditt normala operativsystem utan att det finns något som tyder på att något var fel, förblir helt osynligt och odetekterbart på ditt system. BIOS känner inte till skillnaden mellan skadlig kod och en pålitlig boot loader-det stöter bara på vad den finner.
Secure Boot är utformad för att stoppa detta. Windows 8 och 10 datorer levereras med Microsofts certifikat som lagras i UEFI.UEFI kommer att kontrollera startläsaren innan den startas och se till att den är signerad av Microsoft. Om en rootkit eller en annan del av skadlig kod ersätter din startläsare eller manipulerar den, tillåter UEFI inte att den startas. Detta förhindrar att skadlig programvara kapar din startprocess och döljer sig från ditt operativsystem.
Hur Microsoft tillåter Linux-distributioner att starta med säker uppstart
Den här funktionen är teoretiskt utformad för att skydda mot skadlig programvara. Så Microsoft erbjuder ett sätt att hjälpa Linux-distribueringsstart ändå.Därför kommer vissa moderna Linux-distributioner som Ubuntu och Fedora att "bara fungera" på moderna datorer, även med Secure Boot enabled. Linux-distributioner kan betala en engångsavgift på $ 99 för att komma åt Microsoft Sysdev-portalen, där de kan ansöka om att de ska skriva sina startlastare.
Linux-distributioner har vanligtvis en "shim" -tecknad. Shim är en liten startlastare som enkelt stöter på Linux-distributionens huvud GRUB-laddare. Den Microsoft-signerade shim kontrollerar att den startar en startläsare som är undertecknad av Linux-distributionen, och sedan Linux-distributionen normalt.
Ubuntu, Fedora, Red Hat Enterprise Linux och openSUSE stöder för närvarande Secure Boot, och kommer att fungera utan några tweaks på modern hårdvara. Det kan finnas andra, men det är de vi är medvetna om. Vissa Linux-distributioner är filosofiskt motsatta för att de ska anmälas av Microsoft.
Hur du kan inaktivera eller kontrollera säker start
Om det var allt Secure Boot, skulle du inte kunna köra ett icke-Microsoft-godkänt operativsystem på datorn. Men du kan sannolikt kontrollera Secure Boot från datorns UEFI-firmware, vilket är som BIOS i äldre datorer.
Det finns två sätt att styra Secure Boot. Den enklaste metoden är att gå till UEFI-firmware och inaktivera den helt. UEFI-firmware kontrollerar inte att du kör en signerad startladdare, och allt kommer att starta. Du kan starta en Linux-distribution eller installera Windows 7, som inte stöder Secure Boot. Windows 8 och 10 fungerar bra, du kommer bara att förlora säkerhetsfördelarna med att ha Secure Boot skydda din startprocess.
Du kan också ytterligare anpassa Säker start. Du kan styra vilka signeringscertifikat Secure Boot erbjuder. Du är fri att både installera nya certifikat och ta bort befintliga certifikat. En organisation som körde Linux på sina datorer kan exempelvis välja att ta bort Microsofts certifikat och installera organisationens eget certifikat på plats. Dessa datorer skulle då bara starta startlastare godkända och signerade av den specifika organisationen.
En person kan också göra det här - du kan skriva in din egen Linux-startläsare och se till att din dator bara kan starta startlastare som du personligen har sammanställt och skrivit. Det är den typ av kontroll och kraft som Secure Boot erbjuder.
Vilken Microsoft kräver av PC-tillverkare
Microsoft behöver inte bara PC-leverantörer aktivera Secure Boot om de vill ha den fina "Windows 10" eller "Windows 8" -certifieringsklisteren på sina datorer. Microsoft kräver att PC-tillverkare implementerar det på ett visst sätt.
För Windows 8-datorer måste tillverkare ge dig ett sätt att stänga av Secure Boot. Microsoft krävde datortillverkare att sätta en Secure Boot kill-brytare i användarnas händer.
För Windows 10-datorer är detta inte längre obligatoriskt. PC-tillverkare kan välja att aktivera Secure Boot och inte ge användarna möjlighet att stänga av det. Vi är dock inte medvetna om några PC-tillverkare som gör det här.
På samma sätt, medan PC-tillverkare måste inkludera Microsofts huvudsakliga "Microsoft Windows Production PCA" -nyckel så att Windows kan starta, behöver de inte innehålla "Microsoft Corporation UEFI CA" -nyckeln. Den här nyckeln är endast rekommenderad. Det är den andra valfria nyckeln som Microsoft använder för att underteckna Linux-startladdare. Ubuntus dokumentation förklarar detta.
Med andra ord kommer inte alla datorer nödvändigtvis att starta signerade Linux-distributioner med Secure Boot påslagen. I praktiken har vi inte sett några datorer som gjorde det här. Kanske ingen PC-tillverkare vill göra den enda raden av bärbara datorer som du inte kan installera Linux på.
För närvarande ska åtminstone de vanliga Windows-datorerna tillåta dig att inaktivera Secure Boot om du vill, och de ska starta Linux-distributioner som har skrivits av Microsoft även om du inte inaktiverar Secure Boot.
Secure Boot kunde inte stängas av på Windows RT, men Windows RT är Dead
Allt ovanstående gäller för vanliga Windows 8 och 10 operativsystem på standard Intel x86-hårdvara. Det är annorlunda för ARM.
I Windows RT-versionen av Windows 8 för ARM-hårdvara, som skickades på Microsofts Surface RT och Surface 2, kunde inte andra enheter-Secure Boot inaktiveras. Idag kan Secure Boot fortfarande inte inaktiveras på Windows 10 Mobile-hårdvara-med andra ord, telefoner som kör Windows 10.
Det beror på att Microsoft ville att du skulle tänka på ARM-baserade Windows RT-system som "enheter", inte datorer. Som Microsoft berättade för Mozilla är Windows RT "inte Windows längre."
Men Windows RT är nu död. Det finns ingen version av operativsystemet Windows 10 för ARM-hårdvara, så det här är inte något du behöver oroa dig för längre. Men om Microsoft tar tillbaka Windows RT 10-hårdvara, kommer du sannolikt inte att kunna inaktivera Secure Boot på den.
Bildkredit: Ambassadörsbas, John Bristowe