Kako Secure Boot deluje na Windows 8 in 10, in kaj to pomeni za Linux
Sodobni osebni računalniki so opremljeni s funkcijo »Secure Boot«. To je platformna funkcija v UEFI, ki nadomešča tradicionalni PC BIOS. Če želi proizvajalec računalnika na svoj računalnik namestiti nalepko z logotipom »Windows 10« ali »Windows 8«, Microsoft zahteva, da omogoči varni zagon in upoštevata nekatere smernice..
Na žalost vam tudi preprečuje namestitev nekaterih distribucij Linuxa, kar je lahko precej težav.
Kako Secure Boot zaščiti vaš računalnik Boot proces
Secure Boot ni zgolj zasnovan tako, da bo poganjanje Linuxa težje. Obstajajo resnične varnostne prednosti, če je omogočen Secure Boot, in od njih lahko koristijo tudi uporabniki Linuxa.
Tradicionalni BIOS bo zagnal vsako programsko opremo. Ko zaganjate računalnik, preveri naprave strojne opreme v skladu z zagonskim vrstnim redom, ki ste ga konfigurirali, in se poskuša zagnati z njih. Običajni računalniki običajno najdejo in zaganjajo zagonski nalagalnik Windows, ki se nadaljuje z zagonom celotnega operacijskega sistema Windows. Če uporabljate Linux, bo BIOS našel in zagnal zagonski nalagalnik GRUB, ki ga uporablja večina distribucij Linuxa.
Vendar pa je možno, da malware, kot je rootkit, zamenja vaš zagonski nalagalnik. Korenski komplet bi lahko obremenil vaš običajni operacijski sistem brez kakršnegakoli znaka, da bi bilo kaj narobe, da bi ostal popolnoma neviden in nezaznavan na vašem sistemu. BIOS ne pozna razlike med zlonamerno programsko opremo in zanesljivim zagonskim nalagalnikom - samo zaganja vse, kar najde.
Secure Boot je zasnovan tako, da ustavi to. Računalniki Windows 8 in 10 so opremljeni z Microsoftovim certifikatom, shranjenim v UEFI. UEFI bo pred zagonom preveril zagonski nalagalnik in zagotovil, da ga je podpisal Microsoft. Če korenski program ali kakšen drug zlonamerni program ne zamenja zagonskega nalagalnika ali ga spreminja, mu UEFI ne dovoli zagona. To preprečuje, da bi zlonamerna programska oprema ugrabila vaš zagonski proces in se skrila iz vašega operacijskega sistema.
Kako Microsoft dovoljuje Linux distribucijam zagon s sistemom Secure Boot
Ta funkcija je v teoriji zgolj zasnovana za zaščito pred zlonamerno programsko opremo. Microsoft tako ponuja način, kako pomagati Linuxu pri distribuciji. Zato bodo nekatere sodobne distribucije Linuxa, kot sta Ubuntu in Fedora, "delale" na sodobnih računalnikih, tudi če je omogočen Secure Boot. Distribucije Linuxa lahko plačajo enkratno provizijo v višini $ 99 za dostop do portala Microsoft Sysdev, kjer se lahko prijavijo, da so njihovi zagonski nakladalniki podpisani.
Distribucije Linuxa imajo na splošno podpisano »shim«. Shim je majhen zagonski nalagalnik, ki preprosto zaganja Linux distribucijo glavnega zagonskega nalagalnika GRUB. Podpora, ki jo je podpisal Microsoft, preverja, ali zaganja zagonski nalagalnik, ki ga je podpisala distribucija Linuxa, nato pa se distribucija Linuxa normalno zažene.
Ubuntu, Fedora, Red Hat Enterprise Linux in openSUSE trenutno podpirajo Secure Boot in bodo delovali brez kakršnihkoli sprememb na sodobni strojni opremi. Morda obstajajo drugi, toda to so tisti, ki jih poznamo. Nekatere distribucije Linuxa filozofsko nasprotujejo temu, da bi jih Microsoft podpisal.
Kako lahko onemogočite ali nadzorujete varno zagon
Če je vse to storil Secure Boot, v računalniku ne bi mogli zagnati nobenega operacijskega sistema, ki ga ni odobril Microsoft. Lahko pa nadzorujete Secure Boot iz strojne programske opreme UEFI vašega računalnika, ki je kot BIOS starejših osebnih računalnikov.
Secure Boot lahko nadzorujete na dva načina. Najlažji način je, da se usmerite na firmware UEFI in ga v celoti onemogočite. UEFI firmware ne bo preveril, ali ste zagnali podpisani zagonski nalagalnik, in vse se bo zagnalo. Lahko zaženete katerokoli distribucijo Linuxa ali celo namestite Windows 7, ki ne podpira varnega zagona. Windows 8 in 10 bo delovalo dobro, zgubili boste varnostne prednosti, ki jih prinaša varovanje zagonskega postopka s sistemom Secure Boot.
Lahko tudi dodatno prilagodite Secure Boot. Izberete lahko, katera potrdila za podpisovanje ponujajo Secure Boot. Lahko namestite nova potrdila in odstranite obstoječa potrdila. Organizacija, ki je na svojih osebnih računalnikih upravljala Linux, se je na primer lahko odločila za odstranitev Microsoftovih certifikatov in namestitev lastnega certifikata organizacije. Ti osebni računalniki bi potem samo zagnali zagonske zagonske naprave, ki jih je odobrila in podpisala ta posebna organizacija.
Posameznik bi to lahko storil tudi vi - lahko bi podpisali svoj zagonski nalagalnik Linuxa in zagotovili, da bi vaš računalnik lahko zaganjal samo zagonske zagonske naprave, ki ste jih osebno prevedli in podpisali. To je vrsta nadzora in moči, ki jo nudi Secure Boot.
Kaj Microsoft zahteva od proizvajalcev računalnikov
Microsoft ne zahteva samo, da prodajalci na osebnih računalnikih omogočijo Secure Boot, če želijo lepo nalepko s certifikati »Windows 10« ali »Windows 8« na svojih osebnih računalnikih. Microsoft zahteva, da ga proizvajalci osebnih računalnikov uvedejo na poseben način.
Za računalnike z operacijskim sistemom Windows 8 so vam morali proizvajalci dati možnost, da izklopite sistem Secure Boot. Microsoft je od proizvajalcev osebnih računalnikov zahteval, da v roke uporabnikov postavijo stikalo Secure Boot kill.
Pri računalnikih z operacijskim sistemom Windows 10 to ni več obvezno. Proizvajalci osebnih računalnikov lahko omogočijo Secure Boot in uporabnikom ne omogočijo načina izklopa. Vendar pa se dejansko ne zavedamo proizvajalcev osebnih računalnikov, ki to počnejo.
Podobno, medtem ko morajo proizvajalci osebnih računalnikov vključiti Microsoftov ključ »Microsoft Windows Production PCA«, da se lahko Windows zažene, jim ni treba vključiti ključa »Microsoft Corporation UEFI«. Ta drugi ključ je priporočen. To je drugi, neobvezni ključ, ki ga Microsoft uporablja za podpisovanje zagonskih nalagalnikov Linuxa. Ubuntujeva dokumentacija to pojasnjuje.
Z drugimi besedami, vsi računalniki ne bodo nujno zagnali podpisanih distribucij Linuxa z vklopljenim sistemom Secure Boot. Tudi v praksi nismo videli nobenega osebnega računalnika, ki bi to naredil. Morda noben proizvajalec osebnih računalnikov ne želi narediti edine linije prenosnih računalnikov, na katere ne morete namestiti Linuxa.
Zaenkrat naj bi vam v glavnem računalnikih Windows omogočili, da onemogočite Secure Boot, če želite, in da bi morali zagnati Linux distribucije, ki jih je Microsoft podpisal, tudi če ne onemogočite varnega zagona..
Secure Boot ne more biti onemogočen na Windows RT, vendar Windows RT je Dead
Vse to velja za standardne operacijske sisteme Windows 8 in 10 na standardni strojni opremi Intel x86. Za ARM je drugače.
V operacijskem sistemu Windows RT - različica operacijskega sistema Windows 8 za strojno opremo ARM, ki je bila dobavljena na Microsoftovih Surface RT in Surface 2, med drugimi napravami - Secure Boot, ni bilo mogoče onemogočiti. Danes Secure Boot še vedno ni mogoče onemogočiti v strojni opremi Windows 10 Mobile - z drugimi besedami, s telefoni, ki uporabljajo Windows 10.
To je zato, ker je Microsoft želel, da bi sisteme Windows RT, ki temeljijo na ARM, mislili kot »naprave«, ne na osebne računalnike. Kot je Microsoft povedal Mozilli, Windows RT »ni več Windows«.
Vendar pa je Windows RT zdaj mrtev. Za strojno opremo ARM ni nameščena različica namiznega operacijskega sistema Windows 10, zato o tem ne boste več skrbeli. Če pa Microsoft ne vrne strojne opreme Windows RT 10, verjetno ne boste mogli onemogočiti varnega zagona na njem.
Zasluge za sliko: Ambassador Base, John Bristowe