Nieuwe Windows-pc's worden geleverd met UEFI-firmware enVeilig opstarten ingeschakeld. Secure Boot voorkomt dat besturingssystemen opstarten, tenzij ze zijn ondertekend met een sleutel die in UEFI is geladen - out of the box kan alleen door Microsoft ondertekende software opstarten.
Microsoft verplicht gebruikers van pc-leveranciers datschakel Beveiligd opstarten uit, zodat u Beveiligd opstarten kunt uitschakelen of uw eigen aangepaste sleutel kunt toevoegen om deze beperking te omzeilen. Secure Boot kan niet worden uitgeschakeld op ARM-apparaten met Windows RT.
Hoe Secure Boot werkt
VERWANT: Hoe Secure Boot werkt op Windows 8 en 10, en wat dit betekent voor Linux
Pc's met Windows 8 en Windows 8.1 bevat UEFI-firmware in plaats van het traditionele BIOS. Standaard start de UEFI-firmware van de machine alleen opstartladers die zijn ondertekend met een sleutel die is ingebed in de UEFI-firmware. Deze functie staat bekend als "Secure Boot" of "Trusted Boot". Op traditionele pc's zonder deze beveiligingsfunctie kan een rootkit zichzelf installeren en de bootloader worden. Het BIOS van de computer laadt vervolgens de rootkit tijdens het opstarten, die Windows opstart en laadt, zichzelf verbergt voor het besturingssysteem en zichzelf op een diep niveau insluit.
Secure Boot blokkeert dit - de computer zal alleen vertrouwde software opstarten, zodat kwaadwillende bootladers het systeem niet kunnen infecteren.
Op een Intel x86-pc (geen ARM-pc's) heb je datcontrole over beveiligd opstarten. U kunt ervoor kiezen om het uit te schakelen of zelfs uw eigen handtekeningsleutel toe te voegen. Organisaties kunnen hun eigen sleutels gebruiken om ervoor te zorgen dat bijvoorbeeld alleen goedgekeurde Linux-besturingssystemen kunnen opstarten.
Opties voor het installeren van Linux
Je hebt verschillende opties voor het installeren van Linux op een pc met Secure Boot:
- Kies een Linux-distributie die Secure Boot ondersteunt: Moderne versies van Ubuntu - beginnend metUbuntu 12.04.2 LTS en 12.10 - wordt opgestart en normaal geïnstalleerd op de meeste pc's met Secure Boot ingeschakeld. Dit komt omdat Ubuntu's eerste fase EFI-bootloader is ondertekend door Microsoft. Een Ubuntu-ontwikkelaar merkt echter op dat de opstartlader van Ubuntu niet is ondertekend met een sleutel die vereist is door het certificeringsproces van Microsoft, maar simpelweg een sleutel die volgens Microsoft "aanbevolen" is. Dit betekent dat Ubuntu mogelijk niet op alle UEFI-pc's opstart. Gebruikers moeten mogelijk Secure Boot uitschakelen om Ubuntu op sommige pc's te kunnen gebruiken.
- Schakel Beveiligd opstarten uit: Secure Boot kan worden uitgeschakeldde beveiligingsvoordelen uitwisselen voor de mogelijkheid om uw pc alles te laten opstarten, net als oudere pc's met het traditionele BIOS. Dit is ook nodig als u een oudere versie van Windows wilt installeren die niet is ontwikkeld met Secure Boot in gedachten, zoals Windows 7.
- Voeg een handtekeningsleutel toe aan de UEFI-firmware: Sommige Linux-distributies ondertekenen hun opstartladers met hun eigen sleutel, die u aan uw UEFI-firmware kunt toevoegen. Dit lijkt momenteel niet gebruikelijk te zijn.
U moet controleren om te zien welk proces uw Linuxdistributie van keuze beveelt aan. Als u een oudere Linux-distributie moet opstarten die hier geen informatie over geeft, moet u Secure Boot uitschakelen.
U zou de huidige versies van moeten kunnen installerenUbuntu - de LTS-release of de nieuwste release - zonder problemen op de meeste nieuwe pc's. Zie het laatste gedeelte voor instructies voor het opstarten vanaf een verwijderbaar apparaat.
Hoe Secure Boot uit te schakelen
U kunt Secure Boot bedienen vanaf uw UEFIScherm Firmware-instellingen. Om dit scherm te openen, moet u het opstartoptiesmenu in Windows 8 openen. Open hiertoe de charm Instellingen - druk op Windows-toets + I om het te openen - klik op de aan / uit-knop en houd de Shift-toets ingedrukt terwijl u klikt op Opnieuw opstarten.
Uw computer wordt opnieuw opgestart in de geavanceerde opstartprocedureopties scherm. Selecteer de optie Problemen oplossen, selecteer Geavanceerde opties en selecteer vervolgens UEFI-instellingen. (Mogelijk ziet u de optie UEFI-instellingen niet op enkele Windows 8-pc's, zelfs als ze bij UEFI worden geleverd. Raadpleeg in dit geval de documentatie van uw fabrikant voor informatie over het openen van het UEFI-instellingenscherm.)
U wordt naar het scherm UEFI-instellingen gebracht, waar u kunt kiezen om Secure Boot uit te schakelen of uw eigen sleutel toe te voegen.
Opstarten vanaf verwisselbare media
U kunt opstarten vanaf verwisselbare media door te openenhet opstartoptiesmenu op dezelfde manier - houd Shift ingedrukt terwijl u op de optie Opnieuw opstarten klikt. Voer het gewenste opstartapparaat in, selecteer Een apparaat gebruiken en selecteer het apparaat waarvan u wilt opstarten.
Na het opstarten vanaf het verwijderbare apparaat, kunt u Linux installeren zoals u normaal zou doen, of gewoon de live omgeving van het verwijderbare apparaat gebruiken zonder het te installeren.
Houd er rekening mee dat Secure Boot een handige beveiligingsfunctie is. U moet het ingeschakeld laten, tenzij u besturingssystemen moet uitvoeren die niet opstarten met Secure Boot ingeschakeld.
