Nowoczesne komputery są dostarczane z funkcją „BezpieczneBoot ”włączone. Jest to funkcja platformy w UEFI, która zastępuje tradycyjny BIOS komputera. Jeśli producent komputerów chce umieścić naklejkę z logo „Windows 10” lub „Windows 8” na swoim komputerze, Microsoft wymaga włączenia Bezpiecznego rozruchu i przestrzegania niektórych wskazówek.
Niestety uniemożliwia także instalację niektórych dystrybucji Linuksa, co może być dość kłopotliwe.
Jak Bezpieczny rozruch zabezpiecza proces uruchamiania komputera
Bezpieczny rozruch nie jest przeznaczony tylko do utrudniania działania systemu Linux. Włączenie Bezpiecznego rozruchu ma zalety w zakresie bezpieczeństwa, a nawet użytkownicy Linuksa mogą z nich skorzystać.
Tradycyjny BIOS uruchomi dowolne oprogramowanie. Podczas rozruchu komputer sprawdza urządzenia sprzętowe zgodnie z skonfigurowaną kolejnością rozruchu i próbuje się z nich uruchomić. Typowe komputery PC zwykle znajdują i uruchamiają moduł ładujący Windows, który następnie uruchamia pełny system operacyjny Windows. Jeśli używasz Linuksa, BIOS znajdzie i uruchomi moduł ładujący GRUB, którego używa większość dystrybucji Linuksa.
Możliwe jest jednak złośliwe oprogramowanie, takie jakrootkit, aby zastąpić moduł ładujący. Rootkit może załadować normalny system operacyjny bez wskazania, że coś jest nie tak, pozostając całkowicie niewidoczny i niewykrywalny w systemie. BIOS nie zna różnicy między złośliwym oprogramowaniem a zaufanym programem ładującym - po prostu uruchamia się, co znajdzie.
Bezpieczny rozruch został zaprojektowany w celu zatrzymania tego. Komputery z systemem Windows 8 i 10 są dostarczane z certyfikatem Microsoft przechowywanym w UEFI. UEFI sprawdzi moduł ładujący przed uruchomieniem i upewni się, że jest podpisany przez Microsoft. Jeśli rootkit lub inny element złośliwego oprogramowania zastąpi moduł ładujący lub manipuluje nim, UEFI nie zezwoli na jego uruchomienie. Zapobiega to przejęciu przez złośliwe oprogramowanie procesu rozruchu i ukryciu się przed systemem operacyjnym.
Jak Microsoft zezwala na dystrybucję systemu Linux za pomocą bezpiecznego rozruchu
Teoretycznie funkcja ta została właśnie zaprojektowanachronić przed złośliwym oprogramowaniem. Tak więc Microsoft oferuje sposób, by i tak pomóc bootować dystrybucje Linuksa. Dlatego niektóre nowoczesne dystrybucje Linuksa - takie jak Ubuntu i Fedora - będą „działać” na nowoczesnych komputerach, nawet z włączonym Bezpiecznym uruchomieniem. Dystrybucje Linuksa mogą uiścić jednorazową opłatę w wysokości 99 USD za dostęp do portalu Microsoft Sysdev, gdzie mogą złożyć wniosek o podpisanie programów ładujących.
Dystrybucje Linuksa zazwyczaj mają „podkładkę”podpisany. Podkładka to mały moduł ładujący, który po prostu uruchamia główny moduł ładujący GRUB dystrybucji systemu Linux. Podkładka kontrolna podpisana przez Microsoft sprawdza, czy uruchamia moduł ładujący podpisany przez dystrybucję Linux, a następnie dystrybucja Linux uruchamia się normalnie.
Ubuntu, Fedora, Red Hat Enterprise Linux iopenSUSE obsługuje obecnie Bezpieczny rozruch i będzie działał bez żadnych drobnych poprawek na nowoczesnym sprzęcie. Mogą istnieć inne, ale o tych wiemy. Niektóre dystrybucje Linuksa są filozoficznie przeciwne składaniu wniosków o podpisanie przez Microsoft.
Jak można wyłączyć lub kontrolować bezpieczny rozruch
Gdyby to było wszystko, co zrobił Bezpieczny rozruch, nie byłobyw stanie uruchomić dowolny niezatwierdzony przez Microsoft system operacyjny na twoim komputerze. Ale prawdopodobnie możesz kontrolować Bezpieczny rozruch z oprogramowania układowego UEFI komputera, które jest jak BIOS na starszych komputerach.
Istnieją dwa sposoby kontrolowania bezpiecznego rozruchu. Najłatwiejszą metodą jest przejście do oprogramowania układowego UEFI i całkowite jego wyłączenie. Oprogramowanie układowe UEFI nie sprawdzi, czy korzystasz z podpisanego programu ładującego i wszystko się uruchomi. Możesz uruchomić dowolną dystrybucję Linuksa, a nawet zainstalować system Windows 7, który nie obsługuje Bezpiecznego rozruchu. Windows 8 i 10 będą działać dobrze, po prostu stracisz zalety bezpieczeństwa związane z ochroną procesu rozruchu przez Bezpieczny rozruch.
Możesz także dodatkowo dostosować Bezpieczny rozruch. Możesz kontrolować, które certyfikaty do podpisywania oferuje Secure Boot. Możesz zarówno instalować nowe certyfikaty, jak i usuwać istniejące certyfikaty. Na przykład organizacja, która uruchomiła Linuksa na swoich komputerach, może usunąć certyfikaty Microsoft i zainstalować własny certyfikat organizacji na swoim miejscu. Te komputery będą wtedy uruchamiać tylko programy ładujące rozruch zatwierdzone i podpisane przez tę konkretną organizację.
Osoba też może to zrobić - możesz podpisaćtwój własny program ładujący Linux i upewnij się, że Twój komputer może uruchamiać tylko programy ładujące, które osobiście skompilowałeś i podpisałeś. Taki rodzaj kontroli i mocy oferuje Bezpieczny rozruch.
Czego Microsoft wymaga od producentów komputerów
Microsoft nie wymaga tylko włączenia dostawców komputerówBezpieczny rozruch, jeśli chcą mieć ładną naklejkę certyfikacyjną „Windows 10” lub „Windows 8” na swoich komputerach. Microsoft wymaga od producentów komputerów implementowania go w określony sposób.
W przypadku komputerów z systemem Windows 8 producenci musieli dać ci możliwość wyłączenia Bezpiecznego rozruchu. Microsoft wymagał od producentów komputerów, aby umieścili przełącznik zabijania Secure Boot w rękach użytkowników.
W przypadku komputerów z systemem Windows 10 nie jest to już obowiązkowe. Producenci komputerów mogą włączyć Bezpieczny rozruch i nie dać użytkownikom możliwości jego wyłączenia. Jednak tak naprawdę nie jesteśmy świadomi żadnych producentów komputerów PC, którzy to robią.
Podobnie, podczas gdy producenci komputerów PC muszą to uwzględnićGłówny klucz Microsoft „Microsoft Windows Production PCA”, aby system Windows mógł się uruchomić, nie muszą zawierać klucza „Microsoft Corporation UEFI CA”. Ten drugi klucz jest tylko zalecany. Jest to drugi, opcjonalny klucz, którego Microsoft używa do podpisywania programów ładujących Linux. Dokumentacja Ubuntu wyjaśnia to.
Innymi słowy, nie wszystkie komputery muszą się uruchamiaćpodpisane dystrybucje systemu Linux z włączonym Bezpiecznym uruchomieniem. Ponownie w praktyce nie widzieliśmy żadnych komputerów, które to zrobiłyby. Być może żaden producent komputerów nie chce stworzyć jedynej linii laptopów, na których nie można zainstalować Linuksa.
Na razie przynajmniej główne komputery z systemem Windows powinnypozwalają na wyłączenie Bezpiecznego rozruchu, jeśli chcesz, i powinny uruchamiać dystrybucje Linuksa podpisane przez Microsoft, nawet jeśli nie wyłączasz Bezpiecznego rozruchu.
Nie można wyłączyć bezpiecznego rozruchu w systemie Windows RT, ale system Windows RT nie działa
ZWIĄZANE Z: Co to jest Windows RT i czym różni się od Windows 8?
Wszystkie powyższe zasady dotyczą standardowych systemów operacyjnych Windows 8 i 10 na standardowym sprzęcie Intel x86. Dla ARM jest inaczej.
W systemie Windows RT - wersja systemu Windows 8 dla ARMsprzęt dostarczany między innymi na urządzenia Surface RT i Surface 2 firmy Microsoft - nie można wyłączyć bezpiecznego rozruchu. Dziś bezpiecznego rozruchu nadal nie można wyłączyć na sprzęcie z systemem Windows 10 Mobile - innymi słowy na telefonach z systemem Windows 10.
To dlatego, że Microsoft chciał, abyś myślał o systemach Windows RT opartych na ARM jako „urządzeniach”, a nie komputerach. Jak Microsoft powiedział Mozilli, Windows RT „już nie jest Windows”.
Jednak Windows RT jest teraz martwy. Nie ma wersji systemu operacyjnego Windows 10 na sprzęt ARM, więc nie musisz się już o to martwić. Ale jeśli Microsoft przywróci sprzęt Windows RT 10, prawdopodobnie nie będzie można wyłączyć na nim Bezpiecznego rozruchu.
Źródło zdjęcia: Baza ambasadorów, John Bristowe
