Οι σύγχρονοι υπολογιστές διαθέτουν ένα χαρακτηριστικό που ονομάζεται "SecureBoot "ενεργοποιημένη. Πρόκειται για μια πλατφόρμα στην UEFI, η οποία αντικαθιστά το παραδοσιακό BIOS του υπολογιστή. Εάν ένας κατασκευαστής PC θέλει να τοποθετήσει ένα αυτοκόλλητο "Windows 10" ή "Windows 8" στο PC, η Microsoft απαιτεί να ενεργοποιήσει την Ασφαλής εκκίνηση και να ακολουθήσει ορισμένες οδηγίες.
Δυστυχώς, επίσης, σας εμποδίζει να εγκαταστήσετε κάποιες διανομές Linux, κάτι που μπορεί να είναι αρκετά ενοχλητικό.
Πώς Ασφαλής εκκίνηση διασφαλίζει τη διαδικασία εκκίνησης του υπολογιστή σας
Το Secure Boot δεν είναι απλώς σχεδιασμένο για να δυσκολεύει το λειτουργικό σύστημα Linux. Υπάρχουν πραγματικά πλεονεκτήματα ασφάλειας στην ενεργοποίηση του Secure Boot και ακόμη και οι χρήστες του Linux μπορούν να επωφεληθούν από αυτά.
Ένα παραδοσιακό BIOS θα εκκινήσει οποιοδήποτε λογισμικό. Όταν εκκινείτε τον υπολογιστή σας, ελέγχει τις συσκευές υλικού σύμφωνα με τη σειρά εκκίνησης που έχετε ρυθμίσει και προσπαθεί να εκκινήσει από αυτές. Τυπικοί υπολογιστές συνήθως βρίσκουν και εκκινούν τον φορτωτή εκκίνησης των Windows, ο οποίος συνεχίζει να εκκινεί το πλήρες λειτουργικό σύστημα των Windows. Εάν χρησιμοποιείτε Linux, το BIOS θα εντοπίσει και εκκινήσει τον φορτωτή εκκίνησης GRUB, τον οποίο χρησιμοποιούν οι περισσότερες διανομές Linux.
Ωστόσο, είναι δυνατό για κακόβουλο λογισμικό, όπως arootkit, για να αντικαταστήσετε τον φορτωτή εκκίνησης. Το rootkit θα μπορούσε να φορτώσει το κανονικό λειτουργικό σας σύστημα χωρίς καμία ένδειξη ότι δεν ήταν σωστό, παραμένοντας εντελώς αόρατο και ανιχνεύσιμο στο σύστημά σας. Το BIOS δεν γνωρίζει τη διαφορά μεταξύ του κακόβουλου λογισμικού και ενός αξιόπιστου φορτωτή εκκίνησης - απλώς εκκινεί ό, τι βρίσκει.
Το Secure Boot έχει σχεδιαστεί για να σταματήσει αυτό. Τα Windows 8 και 10 υπολογιστές μεταφέρονται με το πιστοποιητικό της Microsoft που είναι αποθηκευμένο στο UEFI. Η UEFI θα ελέγξει τον φορτωτή εκκίνησης πριν την εκκινήσει και θα εξασφαλίσει ότι είναι υπογεγραμμένη από τη Microsoft. Εάν ένα rootkit ή άλλο κομμάτι κακόβουλου λογισμικού αντικαθιστά τον φορτωτή εκκίνησης ή παραβιάζει το, το UEFI δεν θα του επιτρέψει να εκκινήσει. Αυτό αποτρέπει το κακόβουλο λογισμικό από την πειρατεία της διαδικασίας εκκίνησης και την απόκρυψη από το λειτουργικό σας σύστημα.
Πώς η Microsoft επιτρέπει στις διανομές Linux να εκκινήσουν με ασφαλή εκκίνηση
Αυτό το χαρακτηριστικό είναι, θεωρητικά, απλά σχεδιασμένο για ναπροστασία από κακόβουλο λογισμικό. Έτσι, η Microsoft προσφέρει έναν τρόπο να βοηθήσει τις διανομές Linux να ξεκινήσουν ούτως ή άλλως. Αυτός είναι ο λόγος για τον οποίο ορισμένες σύγχρονες διανομές Linux, όπως το Ubuntu και το Fedora, θα λειτουργούν μόνο σε σύγχρονους υπολογιστές, ακόμη και με ενεργοποιημένο το Secure Boot. Οι διανομές Linux μπορούν να πληρώσουν μια εφάπαξ αμοιβή $ 99 για πρόσβαση στην πύλη Microsoft Sysdev, όπου μπορούν να υποβάλουν αίτηση για την υπογραφή των φορτωτών εκκίνησης.
Οι κατανομές του Linux γενικά έχουν ένα "shim"υπογράφηκε. Το shim είναι ένας μικρός φορτωτής εκκίνησης που απλώς εκκινεί τον κύριο φορτωτή εκκίνησης GRUB των διανομών Linux. Οι έλεγχοι shim που έχουν υπογράψει η Microsoft για να βεβαιωθείτε ότι ξεκινάει ένα boot loader που υπογράφεται από τη διανομή του Linux και στη συνέχεια κανονικά το boot διανομής Linux.
Ubuntu, Fedora, Red Hat Enterprise Linux καιΤο openSUSE υποστηρίζει τη λειτουργία Secure Boot και θα λειτουργήσει χωρίς τροποποιήσεις στο σύγχρονο υλικό. Μπορεί να υπάρχουν άλλοι, αλλά αυτοί είναι αυτοί που γνωρίζουμε. Ορισμένες διανομές Linux είναι φιλοσοφικά αντίθετες με την υποβολή υποψηφιότητας από τη Microsoft.
Πώς μπορείτε να απενεργοποιήσετε ή να ελέγξετε την ασφαλή εκκίνηση
Εάν αυτό ήταν όλο το Secure Boot, δεν θα ήτανμπορεί να εκτελέσει οποιοδήποτε λειτουργικό σύστημα που δεν έχει εγκριθεί από τη Microsoft στον υπολογιστή σας. Αλλά μπορείτε πιθανότατα να ελέγξετε το Secure Boot από το firmware του υπολογιστή σας, το οποίο μοιάζει με το BIOS σε παλαιότερους υπολογιστές.
Υπάρχουν δύο τρόποι για τον έλεγχο της ασφαλούς εκκίνησης. Η πιο εύκολη μέθοδος είναι να κατευθυνθείτε στο firmware της UEFI και να την απενεργοποιήσετε εξ ολοκλήρου. Το υλικολογισμικό UEFI δεν θα ελέγξει για να βεβαιωθείτε ότι τρέχετε έναν υπογεγραμμένο boot loader και ότι οτιδήποτε θα ξεκινήσει. Μπορείτε να εκκινήσετε οποιαδήποτε διανομή Linux ή ακόμα και να εγκαταστήσετε τα Windows 7, το οποίο δεν υποστηρίζει Secure Boot. Τα Windows 8 και 10 θα δουλέψουν καλά, απλά θα χάσετε τα πλεονεκτήματα ασφαλείας της ασφάλειας του Boot σας για την προστασία της διαδικασίας εκκίνησης.
Μπορείτε επίσης να προσαρμόσετε περαιτέρω την Ασφαλής εκκίνηση. Μπορείτε να ελέγξετε ποια πιστοποιητικά υπογραφής προσφέρουν η Secure Boot. Είστε ελεύθεροι να εγκαταστήσετε και νέα πιστοποιητικά και να καταργήσετε τα υπάρχοντα πιστοποιητικά. Μια οργάνωση που έτρεξε το Linux στους υπολογιστές της, για παράδειγμα, θα μπορούσε να επιλέξει να αφαιρέσει τα πιστοποιητικά της Microsoft και να εγκαταστήσει το δικό της πιστοποιητικό της ίδιας της εταιρείας. Αυτοί οι υπολογιστές θα εκκινήσουν μόνο φορτωτές εκκίνησης που έχουν εγκριθεί και υπογραφεί από την συγκεκριμένη οργάνωση.
Ένα άτομο θα μπορούσε επίσης να το κάνει - θα μπορούσατε να υπογράψετετο δικό σας φορτωτή εκκίνησης Linux και βεβαιωθείτε ότι ο υπολογιστής σας θα μπορούσε να εκκινήσει μόνο φορτωτές εκκίνησης που έχετε προσωπικά καταρτίσει και υπογράψει. Αυτό είναι το είδος ελέγχου και δύναμης Secure Boot προσφέρει.
Τι απαιτεί η Microsoft των κατασκευαστών PC
Η Microsoft δεν απαιτεί απλώς την ενεργοποίηση των πωλητών PCSecure Boot αν θέλουν αυτό το ωραίο αυτοκόλλητο πιστοποίησης "Windows 10" ή "Windows 8" στους υπολογιστές τους. Η Microsoft απαιτεί από τους κατασκευαστές PC να το εφαρμόσουν με συγκεκριμένο τρόπο.
Για τους υπολογιστές με Windows 8, οι κατασκευαστές χρειάστηκε να σας δώσουν έναν τρόπο να απενεργοποιήσετε την ασφαλή εκκίνηση. Η Microsoft απαίτησε από τους κατασκευαστές PC να θέσουν ένα διακόπτη Secure Boot kill στα χέρια των χρηστών.
Για Windows 10 υπολογιστές, αυτό δεν είναι πλέον υποχρεωτικό. Οι κατασκευαστές υπολογιστών μπορούν να επιλέξουν να ενεργοποιήσουν την Ασφαλής εκκίνηση και να μην δώσουν στους χρήστες έναν τρόπο να την απενεργοποιήσουν. Ωστόσο, δεν γνωρίζουμε πραγματικά τους κατασκευαστές PC που το κάνουν αυτό.
Ομοίως, ενώ οι κατασκευαστές PC πρέπει να συμπεριλάβουνΤο κύριο κλειδί της Microsoft "PCA Production Windows", ώστε τα Windows να μπορέσουν να εκκινήσουν, δεν χρειάζεται να περιλαμβάνουν το κλειδί "Microsoft Corporation UEFI CA". Αυτό το δεύτερο κλειδί συνιστάται μόνο. Είναι το δεύτερο, προαιρετικό κλειδί που χρησιμοποιεί η Microsoft για να υπογράψει φορτωτές εκκίνησης Linux. Η τεκμηρίωση του Ubuntu εξηγεί αυτό.
Με άλλα λόγια, δεν είναι απαραίτητα όλα τα PC να εκκινήσουνυπογεγραμμένες διανομές Linux με ενεργοποιημένη την Ασφαλής εκκίνηση. Και πάλι, στην πράξη, δεν έχουμε δει κανένα υπολογιστή που το έκανε αυτό. Ίσως κανένας κατασκευαστής PC δεν θέλει να κάνει τη μόνη σειρά φορητών υπολογιστών που δεν μπορείτε να εγκαταστήσετε το Linux.
Προς το παρόν, τουλάχιστον, οι κεντρικοί υπολογιστές με Windows πρέπει να είναισας επιτρέπουν να απενεργοποιήσετε την Ασφαλής εκκίνηση αν θέλετε και θα πρέπει να εκκινήσουν τις διανομές Linux που έχουν υπογραφεί από τη Microsoft ακόμα κι αν δεν απενεργοποιήσετε την Ασφαλής εκκίνηση.
Δεν είναι δυνατή η απενεργοποίηση της ασφαλούς εκκίνησης στο Windows RT, αλλά το Windows RT είναι νεκρό
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τι είναι το Windows RT και πώς είναι διαφορετικό από τα Windows 8;
Όλα τα παραπάνω ισχύουν για τα τυπικά λειτουργικά συστήματα των Windows 8 και 10 στο πρότυπο υλικό Intel x86. Είναι διαφορετικό για το ARM.
Σε Windows RT - η έκδοση των Windows 8 για το ARMτο υλικό που μεταφέρθηκε στο Surface RT και Surface 2 της Microsoft, μεταξύ άλλων συσκευών, δεν μπόρεσε να απενεργοποιηθεί. Σήμερα, το Secure Boot εξακολουθεί να μην μπορεί να απενεργοποιηθεί σε υλικό των Windows 10 Mobile - με άλλα λόγια τα τηλέφωνα που εκτελούν τα Windows 10.
Αυτό οφείλεται στο γεγονός ότι η Microsoft ήθελε να σκεφτείτε τα συστήματα Windows RT βασισμένα σε ARM ως "συσκευές", όχι υπολογιστές. Όπως δήλωσε η Microsoft στο Mozilla, το Windows RT "δεν είναι πια Windows".
Ωστόσο, το Windows RT είναι πλέον νεκρό. Δεν υπάρχει έκδοση του λειτουργικού συστήματος επιτραπέζιων υπολογιστών των Windows 10 για υλικό ARM, επομένως αυτό δεν είναι κάτι που πρέπει να ανησυχείτε πια. Ωστόσο, αν η Microsoft επιστρέψει το υλικό Windows RT 10, πιθανότατα δεν θα μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση σε αυτήν.
Image Credit: Πρεσβευτής Βάσης, John Bristowe
