Moderne PCs werden mit einer Funktion namens "Secure Boot" ausgeliefert. Dies ist eine Plattformfunktion in UEFA , welche ersetzt das traditionelle PC-BIOS . Wenn ein PC-Hersteller einen "Windows 10" - oder "Windows 8" -Logo-Aufkleber auf seinem PC anbringen möchte, muss Microsoft Secure Boot aktivieren und einige Richtlinien befolgen.
Leider verhindert es auch, dass Sie einige Linux-Distributionen installieren, was ziemlich problematisch sein kann.
So sichern Sie den Startvorgang Sichert den Startvorgang Ihres PCs
Secure Boot wurde nicht nur entwickelt, um das Ausführen von Linux zu erschweren. Die Aktivierung von Secure Boot bietet echte Sicherheitsvorteile, von denen auch Linux-Benutzer profitieren können.
Ein traditionelles BIOS startet jede Software. Wenn Sie Ihren PC starten, überprüft er die Hardwaregeräte gemäß der von Ihnen konfigurierten Startreihenfolge und versucht, von ihnen zu starten. Typische PCs finden und starten normalerweise den Windows-Bootloader, mit dem das gesamte Windows-Betriebssystem gestartet wird. Wenn Sie Linux verwenden, findet und startet das BIOS den GRUB-Bootloader, den die meisten Linux-Distributionen verwenden.
Es ist jedoch möglich, dass Malware wie ein Rootkit Ihren Bootloader ersetzt. Das Rootkit kann Ihr normales Betriebssystem laden, ohne dass darauf hingewiesen wird, dass etwas nicht stimmt. Es bleibt auf Ihrem System völlig unsichtbar und nicht erkennbar. Das BIOS kennt den Unterschied zwischen Malware und einem vertrauenswürdigen Bootloader nicht - es bootet nur das, was es findet.
Secure Boot soll dies verhindern . Windows 8- und 10-PCs werden mit dem in UEFI gespeicherten Microsoft-Zertifikat geliefert. UEFI überprüft den Bootloader vor dem Start und stellt sicher, dass er von Microsoft signiert ist. Wenn ein Rootkit oder eine andere Malware Ihren Bootloader ersetzt oder manipuliert, lässt UEFI das Booten nicht zu. Dies verhindert, dass Malware Ihren Startvorgang entführt und sich vor Ihrem Betriebssystem verbirgt.
So lässt Microsoft Linux-Distributionen mit Secure Boot booten
Diese Funktion wurde theoretisch nur zum Schutz vor Malware entwickelt. Microsoft bietet also eine Möglichkeit, Linux-Distributionen trotzdem beim Booten zu unterstützen. Aus diesem Grund funktionieren einige moderne Linux-Distributionen - wie Ubuntu und Fedora - auch auf modernen PCs "nur", selbst wenn Secure Boot aktiviert ist. Linux-Distributionen können eine einmalige Gebühr von 99 US-Dollar für den Zugriff auf das Microsoft Sysdev-Portal zahlen, wo sie beantragen können, dass ihre Bootloader signiert werden.
Bei Linux-Distributionen ist im Allgemeinen ein "Shim" signiert. Der Shim ist ein kleiner Bootloader, der einfach den Haupt-GRUB-Bootloader der Linux-Distribution startet. Das von Microsoft signierte Shim überprüft, ob ein von der Linux-Distribution signierter Bootloader gestartet wird. Anschließend wird die Linux-Distribution normal gestartet.
Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE unterstützen derzeit Secure Boot und funktionieren ohne Änderungen an moderner Hardware. Es mag andere geben, aber diese sind uns bekannt. Einige Linux-Distributionen lehnen es aus philosophischen Gründen ab, sich von Microsoft signieren zu lassen.
So können Sie den sicheren Start deaktivieren oder steuern
Wenn dies alles wäre, was Secure Boot getan hat, können Sie kein nicht von Microsoft zugelassenes Betriebssystem auf Ihrem PC ausführen. Sie können Secure Boot jedoch wahrscheinlich über die UEFI-Firmware Ihres PCs steuern, die dem BIOS älterer PCs ähnelt.
Es gibt zwei Möglichkeiten, den sicheren Start zu steuern. Am einfachsten ist es, zur UEFI-Firmware zu wechseln und diese vollständig zu deaktivieren. Die UEFI-Firmware überprüft nicht, ob Sie einen signierten Bootloader ausführen, und alles wird gestartet. Sie können jede Linux-Distribution booten oder sogar Windows 7 installieren, das Secure Boot nicht unterstützt. Windows 8 und 10 funktionieren einwandfrei. Sie verlieren lediglich die Sicherheitsvorteile von Secure Boot, das Ihren Startvorgang schützt.
Sie können Secure Boot auch weiter anpassen. Sie können steuern, welche Signaturzertifikate Secure Boot anbietet. Sie können sowohl neue Zertifikate installieren als auch vorhandene Zertifikate entfernen. Eine Organisation, die Linux auf ihren PCs ausführte, könnte beispielsweise die Microsoft-Zertifikate entfernen und stattdessen das eigene Zertifikat der Organisation installieren. Diese PCs würden dann nur Bootloader booten, die von dieser bestimmten Organisation genehmigt und signiert wurden.
Dies kann auch eine Person tun - Sie können Ihren eigenen Linux-Bootloader signieren und sicherstellen, dass Ihr PC nur Bootloader booten kann, die Sie persönlich kompiliert und signiert haben. Dies ist die Art von Kontrolle und Leistung, die Secure Boot bietet.
Was Microsoft von PC-Herstellern verlangt
Microsoft verlangt nicht nur, dass PC-Anbieter Secure Boot aktivieren, wenn sie diesen schönen "Windows 10" - oder "Windows 8" -Zertifizierungsaufkleber auf ihren PCs haben möchten. Microsoft verlangt von PC-Herstellern, dass sie es auf eine bestimmte Art und Weise implementieren.
Bei Windows 8-PCs mussten die Hersteller Ihnen die Möglichkeit geben, Secure Boot zu deaktivieren. Microsoft forderte die PC-Hersteller auf, einen Secure Boot Kill-Schalter in die Hände der Benutzer zu legen.
Für Windows 10-PCs ist dies nicht mehr obligatorisch. PC-Hersteller können Secure Boot aktivieren und Benutzern keine Möglichkeit zum Deaktivieren geben. Uns sind jedoch keine PC-Hersteller bekannt, die dies tun.
Während PC-Hersteller den Hauptschlüssel von Microsoft "Microsoft Windows Production PCA" angeben müssen, damit Windows booten kann, müssen sie den Schlüssel "Microsoft Corporation UEFI CA" nicht enthalten. Dieser zweite Schlüssel wird nur empfohlen. Dies ist der zweite optionale Schlüssel, mit dem Microsoft Linux-Bootloader signiert. Ubuntus Dokumentation erklärt dies.
Mit anderen Worten, nicht alle PCs starten notwendigerweise signierte Linux-Distributionen mit aktiviertem Secure Boot. Auch in der Praxis haben wir keine PCs gesehen, die dies getan haben. Vielleicht möchte kein PC-Hersteller die einzige Reihe von Laptops herstellen, auf denen Sie Linux nicht installieren können.
Zumindest für den Moment sollten Mainstream-Windows-PCs es Ihnen ermöglichen, Secure Boot zu deaktivieren, wenn Sie möchten, und sie sollten Linux-Distributionen starten, die von Microsoft signiert wurden, auch wenn Sie Secure Boot nicht deaktivieren.
Der sichere Start konnte unter Windows RT nicht deaktiviert werden, aber Windows RT ist tot
VERBUNDEN: Was ist Windows RT und wie unterscheidet es sich von Windows 8?
All dies gilt für Standardbetriebssysteme von Windows 8 und 10 auf der Standardhardware von Intel x86. Bei ARM ist das anders.
Auf Windows RT - die Version von Windows 8 für ARM hardware Secure Boot konnte nicht deaktiviert werden. Dies wurde unter anderem auf Microsoft Surface RT und Surface 2 ausgeliefert. Secure Boot kann heute noch nicht deaktiviert werden Windows 10 Mobile Hardware - mit anderen Worten, Telefone, auf denen Windows 10 ausgeführt wird.
Dies liegt daran, dass Microsoft wollte, dass Sie ARM-basierte Windows RT-Systeme als „Geräte“ und nicht als PCs betrachten. Wie Microsoft told Mozilla , Windows RT "ist nicht mehr Windows."
Windows RT ist jetzt jedoch tot. Es gibt keine Version des Windows 10-Desktop-Betriebssystems für ARM-Hardware. Sie müssen sich also keine Sorgen mehr machen. Wenn Microsoft jedoch Windows RT 10-Hardware zurückbringt, können Sie Secure Boot wahrscheinlich nicht deaktivieren.
Bildnachweis: Botschafterbasis , John Bristowe
