Kuidas turvaline käivitamine toimib Windows 8 ja 10 ning mis see tähendab Linuxile
Kaasaegsed arvutid on varustatud funktsiooni nimega „Secure Boot”. See on platvormifunktsioon UEFI-s, mis asendab traditsioonilist PC BIOS-i. Kui arvuti tootja tahab oma arvutisse paigutada „Windows 10” või „Windows 8“ logo kleebise, nõuab Microsoft, et nad lubaksid turvalise käivitamise ja järgiksid mõningaid juhiseid.
Kahjuks takistab see ka mõnede Linuxi distributsioonide installimist, mis võib olla üsna keeruline.
Kuidas turvaline käivitamine turvab teie arvuti käivitusprotsessi
Turvaline käivitamine ei ole mõeldud ainult Linuxi keerulisemaks muutmiseks. Turvalise käivitamise lubamisel on reaalsed turvaeelised ja isegi Linuxi kasutajad saavad neist kasu.
Traditsiooniline BIOS käivitab tarkvara. Arvuti käivitamisel kontrollib see riistvara vastavalt konfigureeritud alglaadimiskorrale ja üritab neid käivitada. Tüüpilised arvutid leiavad ja käivitavad tavaliselt Windowsi käivitamise laaduri, mis käivitab kogu Windowsi operatsioonisüsteemi. Kui kasutate Linuxi, leiab BIOS ja käivitab GRUBi boot loader, mida enamik Linuxi distributsioone kasutab.
Siiski on võimalik, et pahavara, näiteks rootkit, asendab teie laadimisseadme. Rootkit võib teie tavalise operatsioonisüsteemi laadida ilma märgeteta, et midagi oli valesti, jäädes teie süsteemis täiesti nähtamatuks ja märkamatuks. BIOS ei tea erinevust pahavara ja usaldusväärse boot loader-see lihtsalt saapad iganes ta leiab.
Turvaline käivitamine on mõeldud selle peatamiseks. Windows 8 ja 10 arvutiga on varustatud UEFIsse salvestatud Microsofti sertifikaadiga. UEFI kontrollib selle käivitamist enne selle käivitamist ja tagab, et see on Microsofti allkirjastatud. Kui rootkit või mõni muu pahavara ei asenda teie laadimisseadet või ei muuda seda, ei luba UEFI seda käivitada. See takistab pahavara pääsemist teie alglaadimisprotsessi ja varjab ennast teie operatsioonisüsteemist.
Kuidas Microsoft lubab Linuxi distributsioonidel käivitada turvalise käivitamisega
See funktsioon on teoreetiliselt mõeldud ainult pahavara eest kaitsmiseks. Niisiis pakub Microsoft võimalust levitada Linuxi levitusi niikuinii. Sellepärast hakkavad mõned kaasaegsed Linuxi distributsioonid - nagu Ubuntu ja Fedora - töötama kaasaegsetel arvutitel isegi turvalise käivitamise korral. Linuxi distributsioonid võivad maksta ühekordset tasu $ 99 Microsoft Sysdevi portaali külastamiseks, kus nad saavad taotleda oma boot-laadurite allkirjastamist.
Linuxi distributsioonidel on tavaliselt “shim” allkirjastatud. See on väike boot loader, mis lihtsalt käivitab Linuxi distributsioonide peamise GRUB-i laadimisseadme. Microsofti poolt allkirjastatud shim kontrollib, et see käivitaks Linuxi levitamise allkirjastatud boot loader ja seejärel Linuxi levitamise.
Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE toetavad praegu turvalist käivitamist ja töötavad ilma kaasaegse riistvarata. Võib olla ka teisi, kuid need on need, millest me teame. Mõned Linuxi distributsioonid on filosoofiliselt vastuolus Microsofti allkirjastamisega.
Kuidas turvalist käivitamist keelata või juhtida
Kui see kõik oli turvaline käivitamine, ei saa te arvutis mitte mingit mitte-Microsofti poolt heakskiidetud operatsioonisüsteemi käivitada. Kuid võite tõenäoliselt juhtida Secure Booti oma arvuti UEFI püsivara, mis on nagu vanemate arvutite BIOS.
Turvalise käivitamise juhtimiseks on kaks võimalust. Lihtsaim viis on juhtida UEFI püsivara ja keelata see täielikult. UEFI püsivara ei kontrolli, kas teil on allkirjastatud boot loader, ja kõik käivitub. Saate käivitada mis tahes Linuxi levitamise või isegi installida Windows 7, mis ei toeta turvalist käivitamist. Windows 8 ja 10 töötavad hästi, sa kaotad turvalisuse eelised, mis tulenevad turvalise käivitamise kaitsmisest.
Te saate ka turvalist käivitamist veelgi kohandada. Saate kontrollida, millised allkirjastamise sertifikaadid Secure Boot pakub. Võite vabalt installida uusi sertifikaate ja eemaldada olemasolevad sertifikaadid. Näiteks organisatsioon, mis juhtis Linuxi oma arvutis, võib valida Microsofti sertifikaatide eemaldamise ja organisatsiooni enda sertifikaadi paigaldamise. Need arvutid käivitaksid siis ainult selle konkreetse organisatsiooni poolt heaks kiidetud ja allkirjastatud boot-laadurid.
Üksikisik võiks seda teha, liiga - sa võiksid oma Linuxi laadimisseadme allkirjastada ja tagada, et teie arvuti saaks käivitada ainult teie poolt koostatud ja allkirjastatud laadurlaadureid. See on kindel kontroll ja võimsus Secure Boot pakub.
Mida Microsoft vajab arvutitootjatelt
Microsoft ei nõua, et PC-müüjad võimaldaksid Secure Booti, kui nad tahavad, et nende arvutisse oleks meeldiv „Windows 10” või „Windows 8” sertifitseerimismärk. Microsoft nõuab, et arvuti tootjad rakendaksid seda konkreetsel viisil.
Windows 8 arvutite puhul pidid tootjad andma Teile võimaluse turvaline käivitamine välja lülitada. Microsoft nõudis personaalarvutite tootjatelt turvaliste käivituskatkestuste lülitamist kasutaja kätesse.
Windows 10 arvutite puhul pole see enam kohustuslik. Arvutitootjad saavad valida turvalise käivitamise lubamise ja mitte anda kasutajatele võimalust seda välja lülitada. Kuid me ei tea tegelikult ühtegi arvutitootjat, kes seda teevad.
Samamoodi, kuigi arvuti tootjad peavad lisama Microsofti peamise „Microsoft Windows Production PCA” võtme, et Windows saaks käivitada, ei pea nad sisaldama „Microsoft Corporation UEFI CA” võtit. See teine võti on soovitatav. See on teine valikuline võti, mida Microsoft kasutab Linuxi laadurite allkirjastamiseks. Ubuntu dokumentatsioon selgitab seda.
Teisisõnu, mitte kõik arvutid ei pruugi kindlasti allkirjastada allkirjastatud Linuxi distributsioone, kui Secure Boot on sisse lülitatud. Jällegi ei ole me praktiliselt näinud ühtegi arvutit, mis seda tegi. Võib-olla ei soovi ükski arvuti tootja teha ainsat sülearvutite rida, mida Linux ei saa installida.
Praegu peaks vähemalt tavapärased Windowsi arvutid võimaldama turvalise käivitamise keelamist, kui soovite, ja nad peaksid käivitama Microsofti allkirjastatud Linuxi distributsioonid isegi siis, kui te ei blokeeri turvalist käivitamist.
Turvaline käivitamine ei saa Windows RT-s keelata, kuid Windows RT on Dead
Kõik ülaltoodud on standardse Intel x86 riistvara standardse Windows 8 ja 10 operatsioonisüsteemide puhul. See on ARM-i jaoks erinev.
Windows RT-s ei olnud võimalik välja lülitada Windowsi 8 versiooni ARM-riistvara jaoks, mis saadeti Microsofti Surface RT ja Surface 2-le. Täna ei saa turvalist käivitamist Windows 10 Mobile riistvaras - teisisõnu, Windows 10-s töötavatel telefonidel - endiselt keelata.
Seda sellepärast, et Microsoft soovis, et te arvate ARM-põhistest Windows RT-süsteemidest kui seadmetest, mitte arvutitest. Nagu Microsoft ütles Mozillale, ei ole Windows RT enam Windows.
Kuid Windows RT on nüüd surnud. ARM-riistvara jaoks pole Windowsi 10 töölaua operatsioonisüsteemi versiooni, nii et see ei ole midagi, mida sa enam ei pea muretsema. Aga kui Microsoft toob Windows RT 10 riistvara tagasi, siis tõenäoliselt ei saa seda turvaliselt käivitada.
Pildikrediit: suursaadik Base, John Bristowe