A modern számítógépek a „Secure Boot” nevű funkcióval rendelkeznek. Ez egy platformfunkció a UEFA , melyik felváltja a hagyományos PC BIOS-t . Ha egy számítógép gyártója „Windows 10” vagy „Windows 8” logó matricát szeretne elhelyezni a számítógépén, a Microsoft megköveteli, hogy engedélyezze a Biztonságos rendszerindítást, és kövesse néhány irányelvet.
Sajnos ez megakadályozza néhány Linux disztribúció telepítését is, ami elég nehézkes lehet.
Hogyan biztonságos a rendszerindítás a számítógép indítási folyamatát
A Secure Boot nemcsak a Linux futtatását nehezíti. A Secure Boot engedélyezésének valódi biztonsági előnyei vannak, és még a Linux felhasználók is profitálhatnak ezekből.
A hagyományos BIOS bármilyen szoftvert elindít. A számítógép indításakor ellenőrzi a hardvereszközöket a beállított indítási sorrendnek megfelelően, és megkísérli azokról indítani. A tipikus PC-k általában megtalálják és elindítják a Windows rendszerindítóját, amely a teljes Windows operációs rendszer indításakor folytatódik. Ha Linuxot használ, a BIOS megtalálja és elindítja a GRUB rendszerindítót, amelyet a legtöbb Linux disztribúció használ.
Lehetséges azonban, hogy a rosszindulatú programok, például egy rootkit, kicserélhetik a rendszerindítót. A rootkit betöltheti normál operációs rendszerét anélkül, hogy jelezné, hogy bármi baj lenne, teljesen láthatatlan és észrevehetetlen marad a rendszerén. A BIOS nem ismeri a különbséget a rosszindulatú programok és a megbízható rendszerbetöltők között - csak elindítja, amit csak talál.
A Secure Boot célja ennek megakadályozása . A Windows 8 és 10 PC-k a Microsoft UEFI-ben tárolt tanúsítvánnyal érkeznek. Az UEFI az indítás előtt ellenőrzi a rendszerindítót, és biztosítja, hogy a Microsoft aláírja. Ha egy rootkit vagy egy másik rosszindulatú program helyettesíti a rendszerindítót vagy meghamisítja azt, az UEFI nem engedi, hogy elinduljon. Ez megakadályozza, hogy a rosszindulatú programok eltérítsék a rendszerindítási folyamatot és elrejtsék magukat az operációs rendszer elől.
Hogyan engedi a Microsoft a Linux disztribúciókat biztonságos indítással indítani
Ezt a funkciót elméletileg csak a rosszindulatú programok elleni védelemre tervezték. Tehát a Microsoft lehetőséget kínál a Linux disztribúciók indítására. Ezért néhány modern Linux disztribúció - például az Ubuntu és a Fedora - „csak úgy működik” a modern számítógépeken, még akkor is, ha a Secure Boot engedélyezve van. A Linux disztribúciók egyszeri 99 dolláros díjat fizethetnek a Microsoft Sysdev portál eléréséért, ahol jelentkezhetnek a rendszerindítójuk aláírására.
A Linux disztribúciók általában „shim” aláírással rendelkeznek. Az alátét egy kicsi rendszerbetöltő, amely egyszerűen elindítja a Linux disztribúciók GRUB fő betöltőjét. A Microsoft által aláírt shim ellenőrzi, hogy elindítja-e a Linux disztribúció által aláírt rendszerindítót, majd a Linux disztribúció rendesen elindul.
Az Ubuntu, a Fedora, a Red Hat Enterprise Linux és az openSUSE jelenleg támogatja a Secure Boot alkalmazást, és a modern hardvereken mindenféle módosítás nélkül fog működni. Lehet, hogy vannak mások is, de ezekről tudunk. Néhány Linux disztribúció filozófiailag ellenzi a Microsoft aláírásának igénylését.
Hogyan tilthatja le vagy vezérelheti a biztonságos indítást
Ha ez csak a Biztonságos rendszerindítás lenne, akkor nem futtathatna semmilyen, a Microsoft által nem jóváhagyott operációs rendszert a számítógépén. De valószínűleg vezérelheti a Secure Boot-ot a számítógépe UEFI firmware-jével, amely olyan, mint a régebbi számítógépek BIOS-ja.
A Biztonságos rendszerindítás vezérlésének két módja van. A legegyszerűbb módszer az UEFI firmware elérése és teljes letiltása. Az UEFI firmware nem ellenőrzi, hogy aláírt rendszerindítót futtat-e, és bármi elindul. Bármely Linux disztribúciót elindíthat, vagy akár a Windows 7 rendszert is telepítheti, amely nem támogatja a Biztonságos indítást. A Windows 8 és 10 rendben fog működni, csak elveszíti a biztonsági előnyeit, ha a Secure Boot védi a rendszerindítási folyamatot.
A Biztonságos rendszerindítást tovább testreszabhatja. Beállíthatja, hogy a Biztonságos rendszerindítás mely aláírási tanúsítványokat kínálja. Telepíthet új tanúsítványokat és eltávolíthatja a meglévő tanúsítványokat. Egy olyan szervezet, amely Linux-ot futtatott a számítógépein, választhatta például a Microsoft tanúsítványainak eltávolítását, és a szervezet saját tanúsítványának telepítését a helyére. Ezek a PC-k akkor csak az adott szervezet által jóváhagyott és aláírt rendszerbetöltőket töltik be.
Ezt egy személy is megteheti - aláírhatja saját Linux rendszerindítóját, és megbizonyosodhat arról, hogy a számítógép csak az Ön által személyesen összeállított és aláírt rendszerindító betöltőket tudja elindítani. Ez az a fajta vezérlés és teljesítmény, amelyet a Secure Boot kínál.
Amit a Microsoft megkövetel a PC-gyártóktól
A Microsoft nem csak azt követeli meg, hogy a PC-gyártók engedélyezzék a Biztonságos rendszerindítást, ha azt a szép „Windows 10” vagy „Windows 8” tanúsító matricát akarják a számítógépükre. A Microsoft megköveteli, hogy a PC-gyártók sajátos módon valósítsák meg.
A Windows 8 PC-k esetében a gyártóknak módot kellett adniuk arra, hogy kikapcsolják a Biztonságos rendszerindítást. A Microsoft megkövetelte a PC-gyártóktól, hogy tegyenek egy Secure Boot kill kill kapcsolót a felhasználók kezébe.
Windows 10 PC-knél ez már nem kötelező. A PC-gyártók választhatják a Biztonságos rendszerindítás engedélyezését, és nem adnak módot a felhasználóknak a kikapcsolásra. Azonban valójában nincs tudomásunk arról, hogy PC-gyártók csinálnák ezt.
Hasonlóképpen, bár a PC-gyártóknak tartalmazniuk kell a Microsoft fő „Microsoft Windows Production PCA” kulcsát, hogy a Windows elindulhasson, nem kell feltüntetniük a „Microsoft Corporation UEFI CA” kulcsot. Ez a második kulcs csak ajánlott. Ez a második, opcionális kulcs, amelyet a Microsoft használ a Linux rendszerindító betöltőinek aláírásához. Az Ubuntu dokumentációja magyarázza ezt.
Más szavakkal, nem minden számítógép feltétlenül indítja el az aláírt Linux disztribúciókat bekapcsolt Secure Boot mellett. Megint a gyakorlatban nem láttunk olyan PC-ket, amelyek ezt megtették. Talán egyetlen PC-gyártó sem akarja az egyetlen olyan laptopot gyártani, amelyre nem lehet Linuxot telepíteni.
Legalábbis a mainstream Windows PC-knek lehetővé kell tenniük a Secure Boot letiltását, ha úgy tetszik, és be kell indítaniuk a Microsoft által aláírt Linux disztribúciókat akkor is, ha nem tiltja le a Secure Boot alkalmazást.
A biztonságos indítást nem lehet kikapcsolni a Windows RT rendszeren, de a Windows RT nem működik
ÖSSZEFÜGGŐ: Mi a Windows RT, és miben különbözik a Windows 8-tól?
A fentiek mindegyike igaz a szokásos Windows 8 és 10 operációs rendszerekre a szokásos Intel x86 hardveren. Ez más az ARM-nál.
Tovább Windows RT - a Windows 8 verziója ARM hardver , amely a Microsoft Surface RT-jére és a Surface 2-re szállított, többek között - a Secure Boot programot nem lehetett letiltani. Ma a Secure Boot még mindig nem kapcsolható be Windows 10 Mobile hardver - más szóval: Windows 10 rendszert futtató telefonok.
Ez azért van, mert a Microsoft azt akarta, hogy az ARM-alapú Windows RT rendszereket "eszközöknek", ne pedig PC-knek gondolja. Mint A Microsoft elmondta a Mozillának , A Windows RT „már nem Windows.”
A Windows RT azonban már nem működik. Az ARM-hardverhez nincs a Windows 10 asztali operációs rendszer verziója, ezért ez már nem az, ami miatt aggódnia kell. De ha a Microsoft visszahozza a Windows RT 10 hardvert, akkor valószínűleg nem tudja letiltani rajta a Biztonságos rendszerindítást.
Kép jóváírása: Nagyköveti bázis , John Bristowe
