If-Koubou

Kako Secure Boot radi na Windowsima 8 i 10, i što to znači za Linux

Kako Secure Boot radi na Windowsima 8 i 10, i što to znači za Linux (Kako da)

Moderna računala isporučuju se s značajkom pod nazivom "Secure Boot". Ovo je značajka platforme u UEFI, koja zamjenjuje tradicionalni PC BIOS. Ako proizvođač računala želi staviti naljepnicu s logotipom "Windows 10" ili "Windows 8" na svoje računalo, Microsoft zahtijeva da omoguće Secure Boot i slijedite neke smjernice.

Nažalost, to također sprječava instalaciju nekih Linux distribucija, što može biti prilično teško.

Kako sigurno podizanje sustava štiti proces podizanja vašeg računala

Sigurno pokretanje sustava nije samo dizajnirano kako bi Linux trčanje bio teži. Postoje stvarne sigurnosne prednosti kako bi omogućili Secure Boot, pa čak i Linux korisnici mogu imati koristi od njih.

Tradicionalni BIOS će pokrenuti bilo koji softver. Kada pokrenete računalo, provjerava hardverske uređaje prema redoslijedu podizanja sustava koji ste konfigurirali i pokušava ih podići. Tipična računala obično će pronaći i pokrenuti Windows boot loader, što ide dalje za podizanje cijelog operativnog sustava Windows. Ako koristite Linux, BIOS će pronaći i pokrenuti GRUB boot loader, koji koristi većina Linux distributera.

Međutim, moguće je da zlonamjerni softver, poput korijena, zamijeni program za podizanje sustava. Rootkit može učitati vaš normalan operativni sustav bez naznaka da je nešto pogrešno, ostati potpuno nevidljivo i neotkriveno na vašem sustavu. BIOS ne zna razliku između zlonamjernog softvera i pouzdanim utezima za pokretanje sustava - ona samo pokreće ono što pronađe.

Sigurno pokretanje je dizajnirano kako bi zaustavilo ovo. Windows 8 i 10 računala isporučuju se uz Microsoftov certifikat pohranjen u UEFI. UEFI će provjeriti boot loader prije pokretanja i osigurati da ga potpiše Microsoft. Ako rootkit ili neki drugi zlonamjerni program zamjenjuje vaš utovarivač pokretanja ili ga manipulira, UEFI neće dopustiti da se pokrene. To sprječava da zlonamjerni softver oteti proces vašeg pokretanja i skriva se iz vašeg operativnog sustava.

Kako Microsoft dopušta distribucije Linuxa za podizanje sustava s sigurnim pokretanjem

Ta je značajka u teoriji samo dizajnirana za zaštitu od zlonamjernog softvera. Dakle, Microsoft nudi način za pomoć Linux distribucijama boot svejedno. Zato će neke moderne Linux distribucije - poput Ubuntua i Fedora - "samo raditi" na modernim računalima, čak i ako je omogućen Secure Boot. Linux distribucije mogu platiti jednokratnu naknadu od 99 dolara za pristup portalu Microsoft Sysdev, gdje mogu podnijeti zahtjev za potpisivanje njihovih boot loadera.

Linux distribucije obično imaju potpisan "shim". Shim je mali program za podizanje sustava koji jednostavno pokreće glavni GRUB boot loader Linux distribucija. Potpomognuti Microsoftovim provjerama, kako bi se osiguralo da podiže boot loader potpisan od Linux distribucije, a zatim Linux distribucija normalno.

Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE trenutno podržavaju Secure Boot i radit će bez ikakvih ugađanja na suvremenom hardveru. Možda postoje i drugi, ali to su one za koje znamo. Neke Linux distribucije filozofski se protive prijave za potpisivanje od strane Microsofta.

Kako možete onemogućiti ili kontrolirati siguran pokretanje sustava

Ako je to bilo sve što je Secure Boot učinio, ne biste mogli pokrenuti bilo koji operacijski sustav koji nije odobren od Microsofta na računalu. No, vjerojatno ćete kontrolirati sigurnu instalaciju sustava s UEFI firmwarea računala, što je poput BIOS-a na starijim osobnim računalima.

Postoje dva načina za kontrolu Secure Boot. Najlakši način je da krenete na UEFI firmware i onemogućite ga u cijelosti. UEFI firmware neće provjeriti da li ste pokrenuli potpisani boot loader, i sve će se pokrenuti. Možete pokrenuti bilo koju Linux distribuciju ili čak instalirati sustav Windows 7, koji ne podržava Secure Boot. Windows 8 i 10 će raditi dobro, samo ćete izgubiti sigurnosne prednosti da Secure Boot štiti vaš proces podizanja sustava.

Također možete dodatno prilagoditi Secure Boot. Možete kontrolirati koje certifikate za potpisivanje nude Secure Boot. Slobodno možete instalirati nove certifikate i ukloniti postojeće certifikate. Na primjer, organizacija koja je pokrenula Linux na svojim računalima mogla bi ukloniti Microsoftove certifikate i instalirati vlastitu potvrdu organizacije na njegovo mjesto. Ta će računala tada samo podići boot čistače odobrene i potpisane od strane te specifične organizacije.

Pojedinac bi to mogao učiniti - možete potpisati svoj Linux podizni čarter i osigurati da vaše računalo može samo podići čistače za pokretanje koje ste osobno sastavili i potpisali. To je vrsta kontrole i snage koju nudi Secure Boot.

Što Microsoft zahtijeva od proizvođača računala

Microsoft ne zahtijeva samo da dobavljači računala omogućuju sigurnu podizanje sustava ako žele to lijepo "Windows 10" ili "Windows 8" certifikacijsku naljepnicu na svojim računalima. Microsoft zahtijeva da proizvođači računala implementiraju na određeni način.

Za računala sa sustavom Windows 8, proizvođači su morali dati način da isključite Sigurno pokretanje. Microsoft je zahtijevao proizvođače računala da stavljaju prekidač za uklanjanje sigurnih pokreta u korisnike.

Za računala sa sustavom Windows 10 to više nije obavezno. Proizvođači računala mogu odabrati omogućiti sigurnu podizanje sustava i ne pružiti korisnicima način isključivanja. Međutim, nismo u stvari svjesni proizvođača računala koji to rade.

Slično tome, dok proizvođači računala moraju uključiti Microsoftovo glavno "Microsoft Windows Production PCA" ključ kako bi se sustav Windows mogao pokrenuti, ne moraju uključivati ​​ključ "Microsoft Corporation UEFI CA". Ovaj drugi ključ preporuča se samo. To je drugi, neobavezan ključ koji Microsoft koristi za potpisivanje Linux utovarivača pokretanja. Ubuntuova dokumentacija to objašnjava.

Drugim riječima, sva računala neće nužno pokrenuti potpisane Linux distribucije s uključenim Secure Boot. Opet, u praksi nismo vidjeli nijedna računala koja su to učinila. Možda proizvođač računala ne želi napraviti jedinu liniju prijenosnih računala na koje ne možete instalirati Linux.

Za sada, barem glavna Windows računala bi trebala omogućiti vam da onemogućite Secure Boot ako želite i trebali bi pokrenuti Linux distribucije koje je potpisala tvrtka Microsoft čak i ako ne onemogućite Secure Boot.

Sigurno podizanje sustava ne može se onemogućiti na sustavu Windows RT, ali Windows RT je mrtav

Sve gore navedeno vrijedi za standardne operacijske sustave Windows 8 i 10 na standardnom Intel x86 hardveru. Razlikuje se za ARM.

Na Windows RT-verziji sustava Windows 8 za ARM hardver, koji se isporučuju na Microsoft Surface RT i Surface 2, među ostalim uređajima - Sigurno pokretanje sustava nije bilo moguće onemogućiti. Danas se Secure Boot još uvijek ne može onemogućiti na hardveru Windows 10 Mobile - drugim riječima, telefone koji pokreću sustav Windows 10.

To je zato što je Microsoft htio da pomislite na ARM sustave Windows RT kao "uređaje", a ne na osobna računala. Kao što je Microsoft rekao za Mozilla, Windows RT "više nije Windows".

Međutim, Windows RT je sada mrtav. Nema verzije operacijskog sustava operacijskog sustava Windows 10 za ARM hardver, pa to više ne morate brinuti. No, ako Microsoft ponese hardver Windows RT 10, vjerojatno nećete moći onemogućiti Secure Boot na njemu.

Image Credit: Ambasadorica Baza, John Bristowe