Sodobni osebni računalniki omogočajo funkcijo »Secure Boot«. To je platformna funkcija v UEFI, ki nadomešča tradicionalni PC BIOS. Če proizvajalec računalnika želi namestiti nalepko z nalepko »Windows 10« ali »Windows 8« na svoj računalnik, Microsoft zahteva, da omogočijo Secure Boot in upoštevajo nekaj smernic.

Na žalost vam tudi preprečuje namestitev nekaterih distribucij Linuxa, kar je lahko precej težav.

Kako Secure Boot varuje proces zagona vašega računalnika

Secure Boot ni le zasnovan za oteževanje zagona Linuxa. Obstajajo resnične varnostne prednosti za omogočanje Secure Boot in celo uporabniki v Linuxu lahko izkoristijo te možnosti.

Tradicionalni BIOS bo zagnal katero koli programsko opremo. Ko zaženete računalnik, preveri strojne naprave v skladu z zagonskim vrstnim redom, ki ste ga konfigurirali, in jih poskuša zagnati. Običajni osebni računalniki bodo običajno našli in zagnali zagonski nalagalnik Windows, ki bo nadaljeval z zagonom celotnega operacijskega sistema Windows. Če uporabljate Linux, bo BIOS poiskal in zagnal zagonski nalagalnik GRUB, ki ga uporabljajo večina distribucij Linuxa.

Vendar pa je mogoče zlonamerno programsko opremo, kot je rootkit, zamenjati zagonski nalagalnik. Rootkit lahko naloži vaš običajni operacijski sistem brez navedbe, da je bilo kaj narobe, da ostane popolnoma nevidno in nezaznavno na vašem sistemu. BIOS ne ve razlike med zlonamerno programsko opremo in zanesljivim zagonskim zagonom - samo zagnati karkoli najde.

Secure Boot je namenjen zaustavitvi tega. Windows 8 in 10 osebnih računalnikov pošiljajo s potrdilom Microsofta, shranjenim v UEFI. UEFI bo pred zagonom preveril zagonski nalagalnik in zagotovil, da ga podpiše Microsoft. Če rootkit ali drug kos zlonamerne programske opreme nadomesti vaš zagonski nalagalnik ali ne posega v to, UEFI ne bo dovolil zagona. S tem preprečite, da bi zlonamerna programska oprema ugrabila svoj zagonski postopek in se prikrila pred operacijskim sistemom.

Kako Microsoft Omogoča Linux distribucije za zagon s Secure Boot

Ta funkcija je v teoriji le zasnovana za zaščito pred zlonamerno programsko opremo. Torej, Microsoft ponuja način, kako pomagati Linux distribucije boot vseeno. Zato bodo nekatere sodobne distribucije Linuxa, na primer Ubuntu in Fedora, "delovale" na sodobnih osebnih računalnikih, tudi če je omogočen sistem Secure Boot. Distribucije Linuxa lahko plačajo enkratno pristojbino v višini 99 evrov za dostop do portala Microsoft Sysdev, kjer lahko zaprosijo za podpisovanje njihovih zagonskih naprav.

Linux distribucije imajo na splošno "podpis". Shim je majhen zagonski nalagalnik, ki preprosto zagnati glavni distribucijski Linux GRUB zagonski nalagalnik. Microsoft-podpisani shim preveri, da bo zagon zagonskega nalagalnika, ki ga podpira distribucija Linuxa, nato pa se distribucija Linux ponovi običajno.

Ubuntu, Fedora, Red Hat Enterprise Linux in openSUSE trenutno podpirajo Secure Boot in bodo delali brez kakršnih koli sprememb na sodobni strojni opremi. Morda obstajajo drugi, toda to so tisti, za katere se zavedamo. Nekatere distribucije Linuxa so filozofsko nasprotne uporabi, ki jih podpiše Microsoft.

Kako lahko onemogočite ali nadzirate varen zagon

Če je bil to vse, kar je storil Secure Boot, ne bi mogli zagnati nobenega operacijskega sistema, ki ga ni odobril Microsoft, na vašem računalniku. Toda verjetno lahko nadzorujete Secure Boot iz strojne programske opreme UEFI vašega računalnika, ki je podoben BIOS-u na starejših računalnikih.

Obstajata dva načina za nadzor Secure Boot. Najpreprostejši način je, da se odpravite na firmware UEFI in ga v celoti onemogočite. Vdelana programska oprema UEFI ne bo preverila, ali boste zagnali podpisani zagonski nalagalnik, in vse se bo zagnalo. Lahko zaženete katero koli Linuxovo distribucijo ali celo namestite Windows 7, ki ne podpira Secure Boot. Windows 8 in 10 bodo delovali v redu, samo izgubite varnostne prednosti, ki jih ima Secure Boot zaščita vašega zagonskega procesa.

Prav tako lahko še dodatno prilagodite Secure Boot. Lahko nadzorujete, kateri certifikati za podpisovanje ponujajo Secure Boot. Lahko namestite nova potrdila in odstranite obstoječa potrdila. Na primer, organizacija, ki je na svojih računalnikih predvajala Linux, bi lahko izbrala Microsoftove certifikate in na svojem mestu namestila lasten certifikat organizacije. Ti osebni računalniki bi šele zagnali zagonske zagovornike, ki jih je odobrila in podpisala ta določena organizacija.

Posameznik bi to lahko storil tudi vi, lahko bi podpisali svoj lasten zagonski nalagalnik Linuxa in zagotovili, da bi vaš računalnik lahko zagnal samo zagonske nakladnike, ki ste jih osebno zbrali in podpisali. To je vrsta nadzora in moči Secure Boot ponuja.

Kaj Microsoft potrebuje proizvajalcem računalnikov

Microsoft ne zahteva samo, da prodajalci računalnikov omogočajo Secure Boot, če želijo to lepo nalepko »Windows 10« ali »Windows 8« na svojih računalnikih. Microsoft zahteva, da ga proizvajalci računalnikov izvajajo na poseben način.

Za računalnike s sistemom Windows 8 so morali proizvajalci dati način, da izklopite Secure Boot. Microsoft je zahteval, da proizvajalci računalnikov v uporabniške roke vklopijo stikalo za varnostni zagon.

Za Windows 10 računalnikov to ni več obvezno. Proizvajalci računalnikov se lahko odločijo, da omogočijo Secure Boot in uporabnikom ne omogočajo, da bi jih izklopili. Vendar se dejansko ne zavedamo nobenih proizvajalcev računalnikov, ki to počnejo.

Podobno, medtem ko morajo proizvajalci računalnikov vključiti Microsoftov glavni ključ "Microsoft Windows Production PCA", zato se lahko Windows škorenj, zato jim ni treba vključiti ključa "Microsoft Corporation UEFI CA". Ta drugi ključ je priporočljiv le. To je drugi, neobvezni ključ, ki ga Microsoft uporablja za podpisovanje zagonskih zaganj Linuxa. Dokumentacija Ubuntu to pojasnjuje.

Z drugimi besedami, vsi računalniki ne bodo nujno zagnali podprtih distribucij Linuxa z vklopljeno Secure Boot. V praksi še nismo videli nobenega osebnega računalnika, ki je to storil. Morda noben proizvajalec osebnih računalnikov ne želi postati edine linije prenosnih računalnikov, na katere ne morete namestiti Linuxa.

Za zdaj vsaj glavni Windows PC-ji bi morali omogočiti, da onemogočite Secure Boot, če želite, in bi morali zagnati distribucije Linuxa, ki jih je Microsoft podpisal, tudi če onemogočite Secure Boot.

Secure Boot ni mogoče onemogočiti v operacijskem sistemu Windows RT, toda Windows RT je mrtev

Vse navedeno velja za standardne operacijske sisteme Windows 8 in 10 na standardni strojni opremi Intel x86. Drugače je za ARM.

V operacijskem sistemu Windows RT - različici operacijskega sistema Windows 8 za strojno opremo ARM, ki je bila dobavljena na površini Microsoft Surface RT in Surface 2, med drugimi napravami - Secure Boot ni bilo mogoče onemogočiti. Danes Secure Boot še vedno ni mogoče onemogočiti v operacijskem sistemu Windows 10 Mobilna strojna oprema - z drugimi besedami, telefoni, v katerih je nameščen operacijski sistem Windows 10.

To je zato, ker si je Microsoft želel razmišljati o sistemih Windows RT, ki temeljijo na ARM, kot "naprave", ne pa računalniki. Kot je Microsoft povedal Mozilli, Windows RT "ni več Windows."

Vendar je Windows RT zdaj mrtev. Za armaturno strojno opremo ni nobene različice operacijskega sistema Windows 10 za namizne računalnike, zato vam ni treba več skrbeti. Toda, če Microsoft vrne strojno opremo Windows RT 10, verjetno ne boste mogli onemogočiti varnega zagona.

Top Nasveti:
Komentarji: