Nykyaikaisissa tietokoneissa on ominaisuus nimeltä "Secure Boot" käytössä. Tämä on alustan ominaisuus UEFA , joka korvaa perinteisen PC: n BIOSin . Jos tietokoneen valmistaja haluaa asettaa Windows 10- tai Windows 8 -logotarran tietokoneelleen, Microsoft vaatii heidät ottamaan suojatun käynnistyksen käyttöön ja noudattamaan joitain ohjeita.
Valitettavasti se estää myös joidenkin Linux-jakelujen asentamisen, mikä voi olla melko hankalaa.
Kuinka suojattu käynnistys turvaa tietokoneen käynnistysprosessin
Suojattu käynnistys ei ole vain suunniteltu vaikeuttamaan Linuxin käyttöä. Secure Boot -toiminnon käyttöönotolla on todellisia turvallisuusetuja, ja jopa Linux-käyttäjät voivat hyötyä niistä.
Perinteinen BIOS käynnistää minkä tahansa ohjelmiston. Kun käynnistät tietokoneesi, se tarkistaa laitteistot määrittämäsi käynnistysjärjestyksen mukaan ja yrittää käynnistää niistä. Tyypilliset tietokoneet yleensä löytävät ja käynnistävät Windowsin käynnistyslataimen, joka käynnistää koko Windows-käyttöjärjestelmän. Jos käytät Linuxia, BIOS löytää ja käynnistää GRUB-käynnistyslataimen, jota useimmat Linux-jakelut käyttävät.
Haittaohjelmat, kuten rootkit, voivat kuitenkin korvata käynnistyslataimen. Rootkit voi ladata normaalin käyttöjärjestelmän ilman mitään viitteitä siitä, että mikään olisi vialla. BIOS ei tiedä eroa haittaohjelmien ja luotettavan käynnistyslataimen välillä - se vain käynnistää kaiken löytämänsä.
Secure Boot on suunniteltu estämään tämä . Windows 8- ja 10-tietokoneiden mukana toimitetaan Microsoftin varmenne, joka on tallennettu UEFI: hen. UEFI tarkistaa käynnistyslataimen ennen käynnistämistä ja varmistaa, että Microsoft on allekirjoittanut sen. Jos rootkit tai jokin muu haittaohjelma korvaa käynnistyslataimen tai peukaloi sen, UEFI ei salli sen käynnistymistä. Tämä estää haittaohjelmia kaappaamasta käynnistysprosessiasi ja piiloutumasta käyttöjärjestelmästäsi.
Kuinka Microsoft sallii Linux-jakelujen käynnistymisen suojatulla käynnistyksellä
Tämä ominaisuus on teoriassa suunniteltu vain suojaamaan haittaohjelmilta. Joten Microsoft tarjoaa tavan auttaa Linux-jakeluja käynnistymään joka tapauksessa. Siksi jotkut modernit Linux-jakelut, kuten Ubuntu ja Fedora, "vain toimivat" moderneissa tietokoneissa, vaikka Secure Boot olisi käytössä. Linux-jakelut voivat maksaa kertaluonteisen 99 dollarin maksun pääsystä Microsoft Sysdev -portaaliin, jossa he voivat hakea käynnistyskuormaajiensa allekirjoitusta.
Linux-jakeluissa on yleensä "shim" -merkki. Välilevy on pieni käynnistyslatain, joka vain käynnistää Linux-jakelujen GRUB-käynnistyslataimen. Microsoftin allekirjoittama välilevy tarkistaa, että se käynnistää Linux-jakelun allekirjoittaman käynnistyslataimen, ja sitten Linux-jakelu käynnistyy normaalisti.
Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE tukevat tällä hetkellä suojattua käynnistystä ja toimivat ilman nykyaikaisten laitteiden muutoksia. Saattaa olla muita, mutta me olemme tietoisia niistä. Jotkut Linux-jakelut vastustavat filosofisesti Microsoftin allekirjoittamista.
Kuinka voit poistaa suojatun käynnistyksen käytöstä tai hallita sitä
Jos kaikki tämä oli suojattu käynnistys, et pysty käyttämään mitään muuta kuin Microsoftin hyväksymää käyttöjärjestelmää tietokoneellasi. Mutta todennäköisesti hallitset Suojattua käynnistystä tietokoneesi UEFI-laiteohjelmistosta, joka on kuin vanhempien tietokoneiden BIOS.
Suojattua käynnistystä voidaan hallita kahdella tavalla. Helpoin tapa on siirtyä UEFI-laiteohjelmistoon ja poistaa se kokonaan käytöstä. UEFI-laiteohjelmisto ei tarkista, että käytät allekirjoitettua käynnistyslatainta, ja kaikki käynnistyy. Voit käynnistää minkä tahansa Linux-jakelun tai jopa asentaa Windows 7: n, joka ei tue suojattua käynnistystä. Windows 8 ja 10 toimivat hyvin, menetät vain tietoturvaedut siitä, että Secure Boot suojaa käynnistysprosessiasi.
Voit myös mukauttaa suojattua käynnistystä edelleen. Voit hallita, mitä allekirjoitustodistuksia Secure Boot tarjoaa. Voit vapaasti asentaa uusia varmenteita ja poistaa olemassa olevia varmenteita. Esimerkiksi organisaatio, joka käytti Linuxia tietokoneillaan, voi poistaa Microsoftin varmenteet ja asentaa organisaation oman varmenteen sen tilalle. Nämä tietokoneet käynnistävät sitten vain kyseisen organisaation hyväksymät ja allekirjoittamat käynnistyslataimet.
Myös henkilö voisi tehdä tämän - voit allekirjoittaa oman Linux-käynnistyslataimen ja varmistaa, että tietokoneesi voi käynnistää vain henkilökohtaisesti koonnut ja allekirjoittamasi käynnistyslataimet. Tällaista ohjausta ja virtaa Secure Boot tarjoaa.
Mitä Microsoft vaatii PC-valmistajilta
Microsoft ei vaadi vain, että PC-toimittajat ottavat Secure Boot -ominaisuuden käyttöön, jos he haluavat mukavan Windows 10- tai Windows 8 -sertifiointitarran tietokoneelleen. Microsoft vaatii PC-valmistajien toteuttamaan sen tietyllä tavalla.
Windows 8 -tietokoneissa valmistajien oli annettava sinulle tapa sammuttaa Suojattu käynnistys. Microsoft vaati PC-valmistajia asettamaan Secure Boot kill kill -kytkimen käyttäjien käsiin.
Windows 10 -tietokoneissa tämä ei ole enää pakollista. PC-valmistajat voivat ottaa käyttöön suojatun käynnistyksen eivätkä anna käyttäjille tapaa sammuttaa sitä. Emme kuitenkaan ole tietoisia PC-valmistajista, jotka tekisivät tämän.
Vastaavasti, vaikka PC-valmistajien on sisällytettävä Microsoftin tärkein "Microsoft Windows Production PCA" -avain, jotta Windows voi käynnistää, heidän ei tarvitse sisällyttää "Microsoft Corporation UEFI CA" -avainta. Tätä toista avainta suositellaan vain. Se on toinen valinnainen avain, jota Microsoft käyttää Linux-käynnistyslatainten allekirjoittamiseen. Ubuntun dokumentaatio selittää tämän.
Toisin sanoen kaikki tietokoneet eivät välttämättä käynnistä allekirjoitettuja Linux-jakeluja, kun Secure Boot on päällä. Jälleen, käytännössä emme ole nähneet mitään tietokoneita, jotka tekivät tämän. Ehkä kukaan tietokoneiden valmistaja ei halua tehdä ainoaa kannettavien tietokoneiden sarjaa, johon Linuxia ei voi asentaa.
Ainakin toistaiseksi Windows-tietokoneiden tulisi sallia sinun poistaa suojattu käynnistys käytöstä, jos haluat, ja niiden pitäisi käynnistää Microsoftin allekirjoittamat Linux-jakelut, vaikka et poista suojattua käynnistystä käytöstä.
Suojattua käynnistystä ei voitu poistaa käytöstä Windows RT: ssä, mutta Windows RT on kuollut
LIITTYVÄT: Mikä on Windows RT ja miten se eroaa Windows 8: sta?
Kaikki yllä oleva pätee tavallisiin Windows 8- ja 10-käyttöjärjestelmiin tavallisilla Intel x86 -laitteilla. ARM: lla on erilainen.
On Windows RT - Windows 8 -versio ARM-laitteisto , joka toimitettiin Microsoftin Surface RT- ja Surface 2 -laitteisiin muun muassa - Suojattua käynnistystä ei voitu poistaa käytöstä. Suojattua käynnistystä ei vieläkään voida poistaa käytöstä Windows 10 Mobile laitteisto - toisin sanoen puhelimet, joissa on Windows 10.
Tämä johtuu siitä, että Microsoft halusi sinun ajattelevan ARM-pohjaisia Windows RT -järjestelmiä "laitteina", ei tietokoneina. Kuten Microsoft kertoi Mozillalle , Windows RT "ei ole enää Windows".
Windows RT on kuitenkin kuollut. ARM-laitteistolle ei ole Windows 10 -käyttöjärjestelmän käyttöjärjestelmäversiota, joten tästä ei tarvitse enää huolehtia. Mutta jos Microsoft tuo takaisin Windows RT 10 -laitteiston, et todennäköisesti voi poistaa suojattua käynnistystä käytöstä siinä.
Kuvahyvitys: Suurlähettilään tukikohta , John Bristowe
