If-Koubou

Cum functioneaza Boot Secure pe Windows 8 si 10 si ce inseamna Linux

Cum functioneaza Boot Secure pe Windows 8 si 10 si ce inseamna Linux (Cum să)

PC-urile moderne sunt livrate cu o funcție denumită "Secure Boot" activată. Aceasta este o caracteristică platformă în UEFI, care înlocuiește BIOS-ul PC tradițional. Dacă un producător de PC-uri dorește să plaseze pe PC-ul lor un autocolant "Windows 10" sau "Windows 8", Microsoft cere ca acestea să permită Secure Boot și să urmeze câteva instrucțiuni.

Din păcate, vă împiedică de asemenea să instalați anumite distribuții Linux, care pot fi destul de greu.

Modul în care bootul securizat asigură procesul de boot al computerului

Secure Boot nu este doar proiectat pentru a face ca funcționarea Linux să fie mai dificilă. Există avantaje reale pentru securitatea activării Secure Boot și chiar utilizatorii Linux pot beneficia de acestea.

Un BIOS tradițional va porni orice software. Când bootați PC-ul, acesta verifică dispozitivele hardware în funcție de ordinea de încărcare pe care ați configurat-o și încearcă să se încarce de la acestea. PC-urile tipice vor găsi în mod normal și vor încărca încărcătorul de boot Windows, care va porni sistemul de operare Windows complet. Dacă utilizați Linux, sistemul BIOS va găsi și va încărca încărcătorul de încărcare GRUB, pe care o utilizează majoritatea distribuțiilor Linux.

Cu toate acestea, este posibil ca malware-ul, cum ar fi un rootkit, să înlocuiască încărcătorul de încărcare. Rootkit-ul ar putea încărca sistemul dvs. de operare normal fără nici un indiciu că ceva nu a fost greșit, rămânând complet invizibil și nedetectabil în sistemul dvs. BIOS-ul nu cunoaște diferența dintre malware și un încărcător de încredere de încredere - ci doar cizme orice găsește.

Secure Boot este proiectat pentru a opri acest lucru. PC-urile Windows 8 și 10 sunt livrate cu certificatul Microsoft stocat în UEFI. UEFI va verifica încărcătorul de încărcare înainte de al lansa și va asigura că este semnat de Microsoft. Dacă un rootkit sau o altă piesă de malware înlocuiește încărcătorul de boot sau se manipulează, UEFI nu-i va permite să pornească. Acest lucru împiedică malware-ul să vă deturneze procesul de încărcare și să se ascundă din sistemul dvs. de operare.

Cum permite Microsoft distribuțiile Linux să se încarce cu boot securizat

Această caracteristică este, teoretic, doar concepută pentru a proteja împotriva malware-ului. Deci, Microsoft oferă o modalitate de a ajuta distribuțiile de Linux să pornească oricum. De aceea, unele distribuții moderne de la Linux, cum ar fi Ubuntu și Fedora, vor "funcționa" doar pe PC-uri moderne, chiar și cu Boot Secure activat. Distribuțiile Linux pot plăti o taxă unică de 99 USD pentru a accesa portalul Microsoft Sysdev, unde pot aplica pentru a-și semna încărcătoarele de încărcare.

Distribuțiile Linux au, în general, un "shim" semnat. Shim este un încărcător de boot mic, care pornește pur și simplu încărcătorul de boot GRUB principal al distribuțiilor de distribuție Linux. Controalele shim semnate de Microsoft pentru a se asigura că boot-ul este încărcat de un boot încărcat de distribuția Linux, iar apoi distribuția Linux rulează normal.

Ubuntu, Fedora, Red Hat Enterprise Linux și openSUSE suportă în prezent Secure Boot și vor funcționa fără hardware-ul modern. S-ar putea să existe și alții, dar acestea sunt cele despre care știm. Unele distribuții Linux se opun în mod filosofic aplicării pentru a fi semnate de Microsoft.

Cum puteți dezactiva sau controla încărcarea securizată

Dacă aceasta ar fi fost tot ceea ce a făcut Secure Boot, nu ați putea să rulați pe PC un sistem de operare omologat de Microsoft. Dar, probabil, puteți controla Secure Boot din firmware-ul UEFI al PC-ului, care este ca și BIOS-ul în PC-urile mai vechi.

Există două moduri de a controla Boot-ul securizat. Cea mai ușoară metodă este să vă îndreptați spre firmware-ul UEFI și să o dezactivați în întregime. Firmware-ul UEFI nu va verifica dacă vă asigurați că rulați un încărcător de boot semnat și că orice va porni. Puteți să încărcați orice distribuție Linux sau chiar să instalați Windows 7, care nu acceptă Boot Secure. Ferestrele 8 și 10 vor funcționa bine, veți pierde doar avantajele de securitate ale faptului că Secure Boot vă protejează procesul de încărcare.

De asemenea, puteți personaliza secțiunea de încărcare securizată. Puteți controla ce certificări de semnare oferă Secure Boot. Aveți libertatea să instalați certificate noi și să eliminați certificatele existente. O organizație care a executat Linux pe PC-urile sale, de exemplu, ar putea alege să șteargă certificatele Microsoft și să instaleze propriul certificat al organizației. Aceste PC-uri vor porni numai încărcătoare de încărcare aprobate și semnate de acea organizație specifică.

O persoană ar putea face acest lucru și tu - ai putea să semnezi propriul încărcător de boot Linux și să vă asigurați că PC-ul dvs. ar putea să pornească numai încărcătoarele de boot pe care le-ați compilat personal și le-ați semnat. Acesta este genul de control și putere oferite de Boot oferă.

Ceea ce Microsoft are nevoie de producătorii de PC-uri

Microsoft nu are nevoie doar de furnizori de PC-uri pentru a activa funcția Secure Boot dacă doresc acel "Windows 10" sau "Windows 8" sticker de certificare pe PC-urile lor. Microsoft cere ca producătorii de PC să-l implementeze într-un mod specific.

Pentru calculatoarele Windows 8, producătorii au trebuit să vă ofere o modalitate de a dezactiva Boot-ul securizat. Microsoft a cerut producătorilor de PC-uri să pună un switch Secure Boot kill în mâinile utilizatorilor.

Pentru calculatoarele Windows 10, acest lucru nu mai este obligatoriu. Producătorii de PC-uri pot alege să permită Secure Boot și să nu ofere utilizatorilor o modalitate de ao dezactiva. Cu toate acestea, nu suntem de fapt conștienți de producătorii de PC-uri care fac acest lucru.

În mod similar, în timp ce producătorii de PC-uri trebuie să includă cheia principală "Microsoft Windows Production PCA", astfel încât Windows să poată porni, nu trebuie să includă cheia "Microsoft Corporation UEFI CA". Această a doua cheie este recomandată numai. Este cea de-a doua cheie opțională pe care Microsoft o folosește pentru a semna încărcătoarele de încărcare Linux. Documentația Ubuntu explică acest lucru.

Cu alte cuvinte, nu toate PC-urile vor porni neapărat distribuțiile Linux semnate cu Secure Boot pornit. Din nou, în practică, nu am văzut nici PC-uri care au făcut acest lucru. Poate că niciun producător de PC-uri nu dorește să facă singura linie de laptop-uri pe care nu le puteți instala pe Linux.

Deocamdată, cel puțin Windows PC-urile de bază ar trebui să vă permită să dezactivați Secure Boot dacă doriți și ar trebui să pornească distribuțiile Linux semnate de Microsoft, chiar dacă nu dezactivați Secure Boot.

Secure Boot nu a putut fi dezactivat pe Windows RT, dar Windows RT este mort

Toate cele de mai sus sunt valabile pentru sistemele de operare standard Windows 8 și 10 pe hardware-ul standard Intel x86. Este diferit pentru ARM.

Pe Windows RT - versiunea de Windows 8 pentru hardware-ul ARM, care a fost livrată pe Surface RT și Surface 2 Microsoft, printre alte dispozitive - Secure Boot nu a putut fi dezactivată. Astăzi, Boot-ul securizat nu poate fi dezactivat pe hardware-ul Windows 10 Mobile - cu alte cuvinte, telefoanele care rulează Windows 10.

Asta pentru că Microsoft vroia să vă gândiți la sistemele Windows RT ARM ca pe "dispozitive", nu pe PC-uri. După cum a spus Microsoft Mozilla, Windows RT "nu mai este Windows".

Cu toate acestea, Windows RT este acum mort. Nu există nici o versiune a sistemului de operare desktop Windows 10 pentru hardware-ul ARM, deci nu trebuie să vă mai faceți griji. Dar, dacă Microsoft va aduce înapoi hardware-ul Windows RT 10, probabil că nu veți putea dezactiva boot-ul securizat pe acesta.

Credit de imagine: Ambasadorul de bază, John Bristowe