מחשבים מודרניים נשלחים עם תכונה הנקראת "אתחול מאובטח". זוהי תכונת פלטפורמה ב אופ"א , איזה מחליף את ה- BIOS המסורתי למחשב . אם יצרן מחשבים אישיים מעוניין להציב מדבקת לוגו "Windows 10" או "Windows 8" למחשב האישי שלה, מיקרוסופט מחייבת לאפשר אתחול מאובטח ולבצע כמה הנחיות.
למרבה הצער, זה גם מונע ממך להתקין כמה הפצות לינוקס, שיכולות להיות די טרחה.
כיצד מאובטח אתחול מאבטח את תהליך האתחול של המחשב האישי שלך
אתחול מאובטח לא נועד רק להקשות על הפעלת לינוקס. ישנם יתרונות אבטחה אמיתיים בכך שהאפשרות Secure Boot מופעלת, ואפילו משתמשי לינוקס יכולים ליהנות מהם.
BIOS מסורתי יאתחל את כל התוכנות. כאשר אתה מאתחל את המחשב האישי שלך, הוא בודק את התקני החומרה בהתאם לסדר האתחול שהגדרת, ומנסה לאתחל מהם. מחשבים אופייניים בדרך כלל ימצאו ויתחילו את מטעין האתחול של Windows, אשר ימשיך לאתחל את מערכת ההפעלה המלאה של Windows. אם אתה משתמש בלינוקס, ה- BIOS יאתר את מטעין האתחול של GRUB, בו משתמשים רוב הפצות לינוקס.
עם זאת, ייתכן שתוכנות זדוניות, כגון rootkit, יחליפו את מטעין האתחול שלך. ה- rootkit יכול לטעון את מערכת ההפעלה הרגילה שלך ללא שום אינדיקציה לכך שמשהו לא בסדר, להישאר בלתי נראה לחלוטין ולא ניתן לגילוי במערכת שלך. ה- BIOS לא יודע מה ההבדל בין תוכנה זדונית לבין מטעין אתחול מהימן - הוא פשוט אתחול כל מה שהוא מוצא.
אתחול מאובטח נועד לעצור זאת . מחשבי Windows 8 ו- 10 נשלחים עם האישור של מיקרוסופט המאוחסן ב- UEFI. UEFI תבדוק את מטעין האתחול לפני ההשקה ותוודא שהוא חתום על ידי מיקרוסופט. אם תוכנת rootkit או חלק אחר של תוכנות זדוניות אכן מחליפות את מטעין האתחול שלך או מטפלות בו, UEFI לא תאפשר לו אתחול. זה מונע מתוכנות זדוניות לחטוף את תהליך האתחול ולהסתיר את עצמו ממערכת ההפעלה שלך.
כיצד מיקרוסופט מאפשרת להפעלות לינוקס באמצעות אתחול מאובטח
מאפיין זה נועד, להלכה, רק כדי להגן מפני תוכנות זדוניות. אז מיקרוסופט מציעה דרך לעזור להפצות לינוקס בכל מקרה. זו הסיבה שחלק מההפצות המודרניות של לינוקס - כמו אובונטו ופדורה - "פשוט יעבדו" על מחשבים אישיים מודרניים, אפילו כאשר מאובטח אתחול מאובטח. הפצות לינוקס יכולות לשלם תשלום חד-פעמי של 99 דולר על מנת לגשת לפורטל Microsoft Sysdev, שם הם יכולים להגיש בקשה לחתימת מעמיסי האתחול שלהם.
להפצות לינוקס בדרך כלל יש "shim" חתום. ה- shim הוא מטעין אתחול קטן שפשוט מאתחל את מטעין האתחול הראשי של GRUB להפצות לינוקס. ה- shim החתום על ידי מיקרוסופט בודק שהוא מאתחל מטעין אתחול חתום על ידי הפצת לינוקס, ואז הפצת לינוקס מתחילה כרגיל.
אובונטו, פדורה, Red Hat Enterprise Linux ו- openSUSE תומכות כעת ב- Secure Boot, והן יעבדו ללא שום שינויים בחומרה המודרנית. אולי יש אחרים, אבל אלה שאנחנו מודעים להם. חלק מההפצות של לינוקס מתנגדות מבחינה פילוסופית להגשת בקשה לחתימה על ידי מיקרוסופט.
כיצד ניתן להשבית או לשלוט באתחול מאובטח
אם זה היה כל מה ש- Secure Boot עשה, לא תוכל להריץ שום מערכת הפעלה שאינה מאושרת על ידי מיקרוסופט במחשב האישי שלך. אך סביר להניח שתוכל לשלוט על Secure Boot מקושחת ה- UEFI של המחשב שלך, שהיא כמו ה- BIOS במחשבים ישנים יותר.
ישנן שתי דרכים לשלוט על אתחול מאובטח. השיטה הקלה ביותר היא לפנות אל הקושחה של UEFI ולהשבית אותה לחלוטין. הקושחה של UEFI לא תוודא שאתה מפעיל מטעין אתחול חתום, וכל דבר יאתחל. אתה יכול לאתחל כל הפצה של לינוקס או אפילו להתקין את Windows 7, שאינו תומך באתחול מאובטח. Windows 8 ו- 10 יעבדו בסדר, פשוט תאבד את יתרונות האבטחה בכך ש- Secure Boot מגן על תהליך האתחול שלך.
באפשרותך גם להתאים אישית את האתחול המאובטח. אתה יכול לשלוט באילו אישורי חתימה Secure Boot מציע. אתה רשאי גם להתקין אישורים חדשים וגם להסיר אישורים קיימים. ארגון שהפעיל את לינוקס במחשבי המחשב שלו, למשל, יכול היה לבחור להסיר את האישורים של מיקרוסופט ולהתקין את האישור של הארגון במקומו. מחשבים אלה היו אז רק אתחמי האתחול שאושרו ונחתמו על ידי אותו ארגון ספציפי.
אדם יכול לעשות זאת גם אתה יכול לחתום על מטעין האתחול שלך בלינוקס ולהבטיח שהמחשב שלך יכול רק לאתחל אתחמי האתחול שחיברת וחתמת באופן אישי. זה סוג של שליטה וכוח שמציע Secure Boot.
מה מיקרוסופט דורשת מיצרני מחשבים אישיים
מיקרוסופט לא רק דורשת מספקי מחשבים להפעיל את Secure Boot אם הם רוצים את מדבקת ההסמכה "Windows 10" או "Windows 8" הנחמדה במחשבים האישיים שלהם. מיקרוסופט דורשת מיצרני מחשבים ליישם אותה באופן ספציפי.
עבור מחשבי Windows 8, היצרנים היו צריכים לתת לך דרך לבטל את האתחול המאובטח. מיקרוסופט דרשה מיצרני מחשבים אישיים לשים מתג Secure Boot kill בידי המשתמשים.
במחשבי Windows 10 זה כבר לא חובה. יצרני מחשבים אישיים יכולים לבחור לאפשר אתחול מאובטח ולא לתת למשתמשים דרך לכבות אותו. עם זאת, איננו מודעים למעשה ליצרני מחשבים אישיים שעושים זאת.
באופן דומה, בעוד שיצרני מחשבים אישיים צריכים לכלול את מקש "Microsoft Windows Production PCA" הראשי של מיקרוסופט כדי ש- Windows יוכל לבצע אתחול, הם אינם צריכים לכלול את מקש "UEFI CA" של Microsoft Corporation. המפתח השני הזה מומלץ בלבד. זהו המפתח השני, האופציונלי, בו משתמשת מיקרוסופט לחתימת מעמיסי אתחול של לינוקס. התיעוד של אובונטו מסביר זאת.
במילים אחרות, לא כל המחשבים האישיים יאתחילו בהכרח הפצות לינוקס חתומות כאשר Secure Boot מופעל. שוב, בפועל, לא ראינו מחשבים אישיים שעשו זאת. אולי אף יצרן מחשבים אישיים לא רוצה ליצור את השורה היחידה של מחשבים ניידים שלא תוכלו להתקין עליהם את לינוקס.
לעת עתה, לפחות, מחשבי Windows רגילים אמורים לאפשר לך להשבית את האתחול המאובטח אם תרצה, והם צריכים לאתחל הפצות לינוקס שנחתמו על ידי מיקרוסופט גם אם אינך משבית את האתחול המאובטח.
לא ניתן היה להשבית אתחול מאובטח ב- Windows RT, אך Windows RT מת
קָשׁוּר: מהו Windows RT וכיצד הוא שונה מ- Windows 8?
כל האמור לעיל נכון לגבי מערכות הפעלה רגילות של Windows 8 ו- 10 בחומרת x86 הרגילה של אינטל. זה שונה עבור ARM.
עַל חלונות RT - הגרסה של Windows 8 עבור חומרת ARM , שנשלחו בין השאר למכשירי Surface RT ו- Surface 2 של מיקרוסופט - לא ניתן היה להשבית את Secure Boot. כיום, עדיין לא ניתן להשבית את האתחול המאובטח Windows 10 Mobile חומרה - במילים אחרות, טלפונים שמריצים את Windows 10.
הסיבה לכך היא שמיקרוסופט רצתה שתחשבו על מערכות Windows RT מבוססות ARM כ"התקנים ", ולא על מחשבים אישיים. כפי ש אמר מיקרוסופט למוזילה , Windows RT "כבר לא חלונות."
עם זאת, Windows RT מת כעת. אין גרסה של מערכת ההפעלה השולחנית Windows 10 לחומרת ARM, כך שזה לא משהו שאתה צריך לדאוג יותר. אבל אם מיקרוסופט אכן תחזיר את חומרת Windows RT 10, סביר להניח שלא תוכל להשבית את האתחול המאובטח עליו.
אשראי תמונה: בסיס השגריר , ג'ון בריסטו
