Kuinka turvallinen käynnistys toimii Windows 8 ssa ja 10 ssä ja mitä se tarkoittaa Linuxille
Nykyaikaiset tietokoneet varustavat ominaisuudella "Secure Boot". Tämä on UEFI: n foorumi, joka korvaa perinteisen PC BIOSin. Jos PC-valmistaja haluaa sijoittaa ”Windows 10 ”- tai“ Windows 8 ”-logon tarransa PC: hen, Microsoft vaatii, että ne ottavat käyttöön suojatun käynnistyksen ja noudattavat joitakin ohjeita.
Valitettavasti se estää myös asentamasta joitakin Linux-jakeluja, jotka voivat olla melko vaivallisia.
Kuinka suojattu käynnistys suojaa tietokoneen käynnistysprosessin
Suojattu käynnistys ei ole vain tarkoitus tehdä Linuxia vaikeammaksi. Secure Boot -toiminnolla on todellisia turvallisuusetuja, ja jopa Linux-käyttäjät voivat hyötyä niistä.
Perinteinen BIOS käynnistää ohjelmiston. Kun käynnistät tietokoneen, se tarkistaa laitteiden asetukset määritetyn käynnistysjärjestyksen mukaan ja yrittää käynnistää ne. Tyypilliset PC: t tavallisesti löytävät ja käynnistävät Windowsin käynnistyslataimen, joka käynnistää täydellisen Windows-käyttöjärjestelmän. Jos käytät Linuxia, BIOS löytää ja käynnistää GRUBin käynnistyslataimen, jota useimmat Linux-jakelut käyttävät.
On kuitenkin mahdollista, että haittaohjelmat, kuten rootkit, voivat korvata käynnistyslataimen. Rootkit voi ladata normaalin käyttöjärjestelmän ilman merkkejä siitä, että mitään oli väärässä, pysyä täysin näkymättömänä ja havaitsemattomana järjestelmässäsi. BIOS ei tiedä eroa haittaohjelmien ja luotettavan käynnistyslataimen välillä - se vain saapuu mihin tahansa.
Suojattu käynnistys on suunniteltu pysäyttämään tämän. Windows 8 ja 10 -tietokoneet lähettävät Microsoftin varmenteen, joka on tallennettu UEFI-järjestelmään. UEFI tarkistaa käynnistyslataimen ennen sen käynnistämistä ja varmistaa, että Microsoft on allekirjoittanut sen. Jos rootkit tai jokin muu haittaohjelma korvaa käynnistyslataimen tai muokkaa sitä, UEFI ei salli sen käynnistämistä. Tämä estää haittaohjelmia kaappaamasta käynnistysprosessia ja peittämään itsesi käyttöjärjestelmästäsi.
Miten Microsoft sallii Linux-jakeluiden käynnistämisen Secure Boot -toiminnolla
Tämä ominaisuus on teoriassa suunniteltu vain suojaamaan haittaohjelmilta. Joten Microsoft tarjoaa tavan auttaa Linux-jakeluja käynnistämään joka tapauksessa. Siksi jotkut nykyaikaiset Linux-jakelut, kuten Ubuntu ja Fedora, toimivat "nykyaikaisissa tietokoneissa", vaikka Secure Boot on käytössä. Linux-jakelut voivat maksaa 99 dollarin kertamaksun Microsoft Sysdev -portaalin käyttämiseen, jossa he voivat hakea käynnistyskuormaajien allekirjoittamista.
Linux-jakeluissa on yleensä ”shim” -sopimus. Shim on pieni käynnistyslataaja, joka yksinkertaisesti käynnistää Linux-jakelun pää GRUB-käynnistyslataimen. Microsoftin allekirjoittamat shim-tarkistukset varmistavat, että se käynnistää Linux-jakelun allekirjoittaman käynnistyslataimen, ja sitten Linux-jakelukengät normaalisti.
Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE tukevat tällä hetkellä Secure Boot -toimintoa ja toimivat ilman mitään moderneja laitteita. Voi olla muitakin, mutta nämä ovat niitä, joista olemme tietoisia. Jotkut Linux-jakelut vastustavat filosofisesti Microsoftin allekirjoittamista.
Miten voit poistaa tai hallita suojattua käynnistystä
Jos tämä oli kaikki Secure Boot, et pysty käyttämään mitään Microsoftin hyväksymää käyttöjärjestelmää tietokoneessa. Voit kuitenkin varmasti hallita Secure Boot -ohjelmaa tietokoneen UEFI-laiteohjelmistosta, joka on kuin vanhempien tietokoneiden BIOS.
Secure Boot -toiminnon hallintaan on kaksi tapaa. Helpoin tapa on siirtyä UEFI-laiteohjelmistoon ja poistaa sen kokonaan käytöstä. UEFI-laiteohjelmisto ei tarkista, että käytät allekirjoitettua käynnistyslatainta, ja kaikki käynnistyy. Voit käynnistää minkä tahansa Linux-jakelun tai jopa asentaa Windows 7: n, joka ei tue Secure Boot -toimintoa. Windows 8 ja 10 toimivat hyvin, menetät vain turvallisuusturvaedut, kun Secure Boot suojaa käynnistysprosessia.
Voit myös mukauttaa Secure Boot -ohjelmaa edelleen. Voit hallita, mitä allekirjoitustodistuksia Secure Boot tarjoaa. Voit vapaasti asentaa uusia sertifikaatteja ja poistaa olemassa olevia varmenteita. Esimerkiksi Linuxin tietokoneissaan toimiva organisaatio voi halutessaan poistaa Microsoftin sertifikaatit ja asentaa organisaation oman sertifikaatin paikalleen. Nämä PC: t olisivat sitten käynnistäneet vain kyseisen organisaation hyväksymät ja allekirjoittamat käynnistyskuormaajat.
Yksittäinen voisi tehdä tämän, voit myös allekirjoittaa oman Linux-käynnistyslataimen ja varmistaa, että tietokoneesi voi käynnistää vain henkilökohtaisesti kootut ja allekirjoitetut käynnistyskuormaajat. Se on sellainen ohjaus ja teho Secure Boot tarjoaa.
Mitä Microsoft tarvitsee PC-valmistajilta
Microsoft ei vain vaadi PC: n toimittajia ottamaan Secure Bootin käyttöön, jos he haluavat mukavan "Windows 10" - tai "Windows 8" -sertifikaatin tarransa tietokoneilleen. Microsoft vaatii, että PC-valmistajat toteuttavat sen tietyllä tavalla.
Windows 8 -tietokoneissa valmistajien oli annettava sinulle tapa kääntää Secure Boot pois. Microsoft vaati PC-valmistajien ottamaan käyttöön Secure Boot Kill -kytkimen käyttäjien käsissä.
Windows 10 -tietokoneissa tämä ei ole enää pakollinen. PC-valmistajat voivat valita Secure Boot -toiminnon käyttöönoton ja antaa käyttäjille keinon poistaa sen käytöstä. Emme kuitenkaan ole tietoisia PC-valmistajista, jotka tekevät tätä.
Samoin, kun tietokoneiden valmistajien on sisällytettävä Microsoftin tärkein Microsoftin Microsoftin tuotannon PCA-avain, jotta Windows voi käynnistää, niiden ei tarvitse sisältää Microsoft Corporation UEFI CA -näppäintä. Tätä toista näppäintä suositellaan vain. Se on toinen, valinnainen avain, jota Microsoft käyttää allekirjoittamaan Linux-käynnistyskuormaajat. Ubuntu-dokumentaatio selittää tämän.
Toisin sanoen kaikki tietokoneet eivät välttämättä käynnistä allekirjoitettuja Linux-jakeluja, joissa Secure Boot on kytketty päälle. Jälleen käytännössä emme ole nähneet mitään sellaisia tietokoneita, jotka tekivät tämän. Ehkä mikään PC-valmistaja ei halua tehdä ainoaa kannettavien tietokoneiden riviä, joita et voi asentaa Linuxiin.
Ainakin pääverkon Windows-tietokoneiden pitäisi sallia suojatun käynnistyksen poistaminen käytöstä, jos haluat, ja niiden pitäisi käynnistää Microsoftin allekirjoittamat Linux-jakelut, vaikka et estä suojattua käynnistystä.
Suojattu käynnistys ei voitu poistaa käytöstä Windows RT: ssä, mutta Windows RT on Dead
Kaikki edellä mainitut ovat standardinmukaisia Intel x86 -laitteita käyttävien Windows 8- ja 10 -käyttöjärjestelmien osalta. Se on erilainen ARM: lle.
Windows RT -versiossa Windows 8 -käyttöjärjestelmää ARM-laitteistolle, joka toimitettiin Microsoftin Surface RT: lle ja Surface 2: lle, muiden laitteiden-Secure Boot ei voitu poistaa käytöstä. Nykyään Secure Boot -toimintoa ei voi poistaa käytöstä Windows 10 Mobile -laitteistolla, toisin sanoen Windows 10 -käyttöjärjestelmää käyttävillä puhelimilla.
Tämä johtuu siitä, että Microsoft halusi, että ajattelet ARM-pohjaisia Windows RT -järjestelmiä "laitteina", ei tietokoneina. Kuten Microsoft kertoi Mozillalle, Windows RT ei ole enää Windows.
Windows RT on kuitenkin kuollut. ARM-laitteistolle ei ole Windows 10 -käyttöjärjestelmän käyttöjärjestelmää, joten tämä ei ole enää sinun tarvitse huolehtia. Mutta jos Microsoft tuo Windows RT 10 -laitteiston takaisin, et todennäköisesti pysty poistamaan suojattua käynnistystä käytöstä.
Kuvaluotto: suurlähettiläs Base, John Bristowe