Pagina principala » HOWTO » Cum functioneaza Boot Secure pe Windows 8 si 10 si Ce inseamna pentru Linux

    Cum functioneaza Boot Secure pe Windows 8 si 10 si Ce inseamna pentru Linux

    PC-urile moderne sunt livrate cu o funcție denumită "Secure Boot" activată. Aceasta este o caracteristică platformă în UEFI, care înlocuiește BIOS-ul PC tradițional. Dacă un producător de PC-uri dorește să plaseze pe PC-ul lor un autocolant "Windows 10" sau "Windows 8", Microsoft cere ca acestea să permită Secure Boot și să urmeze câteva linii directoare.

    Din păcate, vă împiedică să instalați și câteva distribuții Linux, care pot fi destul de greu.

    Cum secure Boot asigură procesul de boot al PC-ului

    Secure Boot nu este doar proiectat pentru a face ca funcționarea Linux să fie mai dificilă. Există avantaje reale pentru securitatea activării Secure Boot și chiar utilizatorii Linux pot beneficia de ele.

    Un BIOS tradițional va porni orice software. Când bootați PC-ul, acesta verifică dispozitivele hardware în funcție de ordinea de boot pe care ați configurat-o și încearcă să se încarce de la acestea. PC-urile tipice vor găsi în mod normal și vor încărca încărcătorul de boot Windows, care va porni sistemul de operare Windows complet. Dacă utilizați Linux, sistemul BIOS va găsi și va încărca încărcătorul de încărcare GRUB, pe care o utilizează majoritatea distribuțiilor Linux.

    Cu toate acestea, este posibil ca malware-ul, cum ar fi un rootkit, să înlocuiască încărcătorul de încărcare. Rootkit-ul ar putea încărca sistemul dvs. de operare normal fără nici o indicație că ceva nu este în regulă, rămânând complet invizibil și nedetectabil în sistemul dvs. BIOS-ul nu cunoaște diferența dintre software-ul malware și un încărcător de încredere de încredere - ci doar cizme orice găsește.

    Secure Boot este proiectat pentru a opri acest lucru. PC-urile Windows 8 și 10 sunt livrate cu certificatul Microsoft stocat în UEFI. UEFI va verifica încărcătorul de încărcare înainte de ao lansa și va asigura că este semnat de Microsoft. Dacă un rootkit sau o altă piesă de malware înlocuiește încărcătorul de boot sau se manipulează, UEFI nu-i va permite să se încarce. Acest lucru previne malware-ul de a deturna procesul de boot și de a se ascunde din sistemul de operare.

    Cum permite Microsoft distribuțiile Linux să se încarce cu boot securizat

    Această caracteristică este, teoretic, doar concepută pentru a proteja împotriva programelor malware. Deci, Microsoft oferă o modalitate de a ajuta boot-urile distribuțiilor Linux oricum. De aceea, unele distribuții moderne de la Linux, cum ar fi Ubuntu și Fedora, vor "funcționa" doar pe PC-uri moderne, chiar și cu Boot Secure activat. Distribuțiile Linux pot plăti o taxă unică de 99 USD pentru a accesa portalul Microsoft Sysdev, unde pot solicita semnarea încărcătoarelor lor de încărcare.

    Distribuțiile Linux au, în general, un "shim" semnat. Shim este un încărcător de boot mic care pornește pur și simplu încărcătorul de încărcare GRUB principal al distribuțiilor de distribuție Linux. Controalele shim semnate de Microsoft pentru a se asigura că pornește un boot loader semnat de distribuția Linux, iar apoi boot-urile distribuției Linux în mod normal.

    Ubuntu, Fedora, Red Hat Enterprise Linux și openSUSE suportă în prezent Secure Boot și vor funcționa fără hardware-ul modern. S-ar putea să existe și alții, dar acestea sunt cele despre care știm. Unele distribuții Linux se opun în mod filosofic aplicării pentru a fi semnate de Microsoft.

    Cum puteți dezactiva sau controla încărcarea securizată

    Dacă aceasta a fost tot ceea ce a făcut Secure Boot, nu ați putea să rulați pe PC un sistem de operare aprobat de Microsoft. Dar, probabil, puteți controla Secure Boot din firmware-ul UEFI al PC-ului, care este ca și BIOS-ul în PC-urile mai vechi.

    Există două moduri de a controla Secure Boot. Cea mai ușoară metodă este să vă îndreptați spre firmware-ul UEFI și să o dezactivați în întregime. Firmware-ul UEFI nu va verifica dacă vă asigurați că rulați un încărcător de boot semnat și că orice va porni. Puteți să încărcați orice distribuție Linux sau chiar să instalați Windows 7, care nu acceptă Boot Secure. Ferestrele 8 și 10 vor funcționa bine, veți pierde doar avantajele de securitate ale faptului că boot-ul securizat vă protejează procesul de încărcare.

    De asemenea, puteți personaliza secțiunea de încărcare securizată. Puteți controla ce certificări de semnare oferă Secure Boot. Aveți libertatea de a instala atât certificate noi, cât și de a elimina certificate existente. O organizație care a rulat Linux pe PC-urile sale, de exemplu, ar putea alege să șteargă certificatele Microsoft și să instaleze propriul certificat al organizației. Aceste PC-uri vor porni numai încărcătoare de încărcare aprobate și semnate de acea organizație specifică.

    O persoană ar putea face asta și tu - ai putea să semnezi propriul încărcător de boot Linux și să te asiguri că PC-ul tău ar putea porni numai încărcătoarele de boot pe care le-ai compilat și semnat personal. Acesta este genul de control și putere oferite de Boot oferă.

    Ceea ce Microsoft are nevoie de producătorii de PC-uri

    Microsoft nu are nevoie doar de furnizori de PC-uri pentru a activa funcția Secure Boot dacă doresc acest sticker de certificare "Windows 10" sau "Windows 8" pe PC-urile lor. Microsoft cere ca producătorii de PC să-l implementeze într-un mod specific.

    Pentru calculatoarele Windows 8, producătorii au trebuit să vă ofere o modalitate de a dezactiva funcția Secure Boot. Microsoft a cerut producătorilor de PC-uri să pună un comutator Secure Boot kill în mâinile utilizatorilor.

    Pentru calculatoarele Windows 10, acest lucru nu mai este obligatoriu. Producătorii de PC-uri pot alege să permită Secure Boot și să nu ofere utilizatorilor o modalitate de ao dezactiva. Cu toate acestea, nu suntem de fapt conștienți de producătorii de PC-uri care fac acest lucru.

    În mod similar, în timp ce producătorii de PC-uri trebuie să includă cheia principală "Microsoft Windows Production PCA", astfel încât Windows să poată porni, nu trebuie să includă cheia "Microsoft Corporation UEFI CA". Această a doua cheie este recomandată numai. Este cea de-a doua cheie opțională pe care Microsoft o folosește pentru a semna încărcătoarele de încărcare Linux. Documentația Ubuntu explică acest lucru.

    Cu alte cuvinte, nu toate PC-urile vor porni neapărat distribuțiile Linux semnate cu Secure Boot pornit. Din nou, în practică, nu am văzut nici PC-uri care au făcut acest lucru. Poate că niciun producător de PC nu dorește să facă singura linie de laptopuri la care nu puteți instala Linux.

    Pentru moment, cel puțin Windows PC-urile de bază ar trebui să vă permită să dezactivați Boot Secure dacă doriți și ar trebui să pornească distribuțiile Linux care au fost semnate de Microsoft chiar dacă nu dezactivați boot-ul securizat.

    Boot-ul securizat nu a putut fi dezactivat pe Windows RT, dar Windows RT este mort

    Toate cele de mai sus sunt valabile pentru sistemele de operare standard Windows 8 și 10 pe hardware-ul standard Intel x86. Este diferit pentru ARM.

    Pe Windows RT - versiunea de Windows 8 pentru hardware ARM, care a fost livrată pe Surface RT și Surface 2 ale Microsoft, printre alte dispozitive - Secure Boot nu a putut fi dezactivată. Astăzi, boot-ul securizat nu mai poate fi dezactivat pe hardware-ul Windows 10 Mobile - cu alte cuvinte, telefoanele care rulează Windows 10.

    Asta pentru că Microsoft vroia să vă gândiți la sistemele Windows RT bazate pe ARM ca la "dispozitive", nu la PC-uri. După ce Microsoft a spus Mozilla, Windows RT "nu mai este Windows."

    Cu toate acestea, Windows RT este acum mort. Nu există nici o versiune a sistemului de operare desktop Windows 10 pentru hardware-ul ARM, deci nu trebuie să vă mai faceți griji. Dar, dacă Microsoft aduce înapoi hardware-ul Windows RT 10, probabil că nu veți putea dezactiva Boot Secure pe acesta.

    Credit de imagine: Ambasadorul de bază, John Bristowe

    Cum ar trebui să stocăm unități de hard disk vechi și componente electronice?
    Cât de inteligentă sau eficientă ar putea fi o rețea de birouri la locul de muncă?
    Cât de securizate sunt parolele browserului Chrome salvate?
    Articolul următor
    Cât de sigur este Clipboard-ul Windows?
    Articolul precedent
    Cum sunt securizate parolele Internet Explorer salvate?