I PC moderni vengono forniti con una funzionalità chiamata "Avvio protetto" abilitata. Questa è una funzionalità della piattaforma in UEFA , quale sostituisce il tradizionale BIOS del PC . Se un produttore di PC desidera applicare un adesivo con il logo "Windows 10" o "Windows 8" sul proprio PC, Microsoft richiede di abilitare l'avvio protetto e seguire alcune linee guida.
Sfortunatamente, ti impedisce anche di installare alcune distribuzioni Linux, il che può essere un bel problema.
In che modo Secure Boot protegge il processo di avvio del PC
Secure Boot non è progettato solo per rendere più difficile l'esecuzione di Linux. Ci sono reali vantaggi di sicurezza nell'avere Secure Boot abilitato e anche gli utenti Linux possono trarne vantaggio.
Un BIOS tradizionale avvierà qualsiasi software. Quando avvii il PC, controlla i dispositivi hardware in base all'ordine di avvio che hai configurato e tenta di avviarsi da essi. I PC tipici normalmente troveranno e avvieranno il caricatore di avvio di Windows, che prosegue per avviare il sistema operativo Windows completo. Se usi Linux, il BIOS troverà e avvierà il boot loader GRUB, utilizzato dalla maggior parte delle distribuzioni Linux.
Tuttavia, è possibile che malware, come un rootkit, sostituisca il boot loader. Il rootkit potrebbe caricare il tuo normale sistema operativo senza alcuna indicazione che qualcosa non andasse, rimanendo completamente invisibile e non rilevabile sul tuo sistema. Il BIOS non conosce la differenza tra malware e un boot loader affidabile, si limita ad avviare qualunque cosa trovi.
Secure Boot è progettato per fermare questo . I PC Windows 8 e 10 vengono forniti con il certificato di Microsoft archiviato in UEFI. UEFI controllerà il boot loader prima di avviarlo e assicurerà che sia firmato da Microsoft. Se un rootkit o un altro malware sostituisce il tuo boot loader o lo manomette, UEFI non ne consentirà l'avvio. Ciò impedisce al malware di dirottare il processo di avvio e di nascondersi dal sistema operativo.
In che modo Microsoft consente alle distribuzioni Linux di avviarsi con l'avvio protetto
Questa funzione è, in teoria, progettata solo per proteggere dal malware. Quindi Microsoft offre un modo per aiutare le distribuzioni Linux ad avviarsi comunque. Ecco perché alcune moderne distribuzioni Linux, come Ubuntu e Fedora, "funzioneranno" sui PC moderni, anche con Secure Boot abilitato. Le distribuzioni Linux possono pagare una tariffa una tantum di $ 99 per accedere al portale Microsoft Sysdev, dove possono richiedere la firma dei loro boot loader.
Le distribuzioni Linux generalmente hanno uno "shim" firmato. Lo shim è un piccolo boot loader che avvia semplicemente il boot loader GRUB principale delle distribuzioni Linux. Lo shim firmato da Microsoft verifica che stia avviando un boot loader firmato dalla distribuzione Linux, quindi la distribuzione Linux si avvia normalmente.
Ubuntu, Fedora, Red Hat Enterprise Linux e openSUSE attualmente supportano Secure Boot e funzioneranno senza modifiche sull'hardware moderno. Potrebbero essercene altri, ma questi sono quelli di cui siamo a conoscenza. Alcune distribuzioni Linux sono filosoficamente contrarie alla richiesta di essere firmate da Microsoft.
Come disattivare o controllare l'avvio protetto
Se fosse tutto ciò che Secure Boot ha fatto, non saresti in grado di eseguire alcun sistema operativo non approvato da Microsoft sul tuo PC. Ma probabilmente puoi controllare l'avvio protetto dal firmware UEFI del tuo PC, che è come il BIOS nei PC meno recenti.
Esistono due modi per controllare l'avvio protetto. Il metodo più semplice è accedere al firmware UEFI e disabilitarlo completamente. Il firmware UEFI non verificherà che tu stia eseguendo un boot loader firmato e qualsiasi cosa si avvierà. Puoi avviare qualsiasi distribuzione Linux o persino installare Windows 7, che non supporta l'avvio protetto. Windows 8 e 10 funzioneranno bene, perderai solo i vantaggi di sicurezza di avere Secure Boot per proteggere il tuo processo di avvio.
È inoltre possibile personalizzare ulteriormente l'avvio protetto. È possibile controllare quali certificati di firma Secure Boot offre. Sei libero di installare nuovi certificati e rimuovere certificati esistenti. Un'organizzazione che esegue Linux sui propri PC, ad esempio, potrebbe scegliere di rimuovere i certificati di Microsoft e installare il certificato dell'organizzazione al suo posto. Quei PC avrebbero quindi avviato solo boot loader approvati e firmati da quella specifica organizzazione.
Un individuo potrebbe farlo anche tu: potresti firmare il tuo boot loader Linux e assicurarti che il tuo PC possa avviare solo boot loader che hai compilato e firmato personalmente. Questo è il tipo di controllo e potenza che Secure Boot offre.
Cosa richiede Microsoft ai produttori di PC
Microsoft non richiede solo ai fornitori di PC di abilitare l'avvio protetto se vogliono quel simpatico adesivo di certificazione "Windows 10" o "Windows 8" sui loro PC. Microsoft richiede ai produttori di PC di implementarlo in un modo specifico.
Per i PC Windows 8, i produttori dovevano darti un modo per disattivare l'avvio protetto. Microsoft ha richiesto ai produttori di PC di mettere un kill switch Secure Boot nelle mani degli utenti.
Per i PC Windows 10, questo non è più obbligatorio. I produttori di PC possono scegliere di abilitare l'avvio protetto e non fornire agli utenti un modo per disattivarlo. Tuttavia, non siamo effettivamente a conoscenza di alcun produttore di PC che lo faccia.
Allo stesso modo, sebbene i produttori di PC debbano includere la chiave principale "Microsoft Windows Production PCA" di Microsoft in modo che Windows possa avviarsi, non devono includere la chiave "Microsoft Corporation UEFI CA". Questa seconda chiave è solo consigliata. È la seconda chiave facoltativa che Microsoft utilizza per firmare i caricatori di avvio di Linux. Documentazione di Ubuntu spiega questo.
In altre parole, non tutti i PC avvieranno necessariamente le distribuzioni Linux firmate con l'avvio protetto attivato. Ancora una volta, in pratica, non abbiamo visto nessun PC che lo abbia fatto. Forse nessun produttore di PC vuole realizzare l'unica linea di laptop su cui non è possibile installare Linux.
Per ora, almeno, i PC Windows tradizionali dovrebbero consentirti di disabilitare l'avvio protetto, se lo desideri, e dovrebbero avviare le distribuzioni Linux che sono state firmate da Microsoft anche se non disabiliti l'avvio protetto.
L'avvio protetto non può essere disabilitato su Windows RT, ma Windows RT è guasto
RELAZIONATO: Che cos'è Windows RT e in che modo è diverso da Windows 8?
Tutto quanto sopra è vero per i sistemi operativi Windows 8 e 10 standard su hardware Intel x86 standard. È diverso per ARM.
Su Windows RT —La versione di Windows 8 per Hardware ARM , fornito su Surface RT e Surface 2 di Microsoft, tra gli altri dispositivi, Secure Boot non poteva essere disabilitato. Oggi, Secure Boot non può ancora essere disabilitato Windows 10 Mobile hardware, in altre parole, telefoni che eseguono Windows 10.
Questo perché Microsoft voleva che pensassi ai sistemi Windows RT basati su ARM come "dispositivi", non come PC. Come Microsoft told Mozilla , Windows RT "non è più Windows".
Tuttavia, Windows RT è ora morto. Non esiste una versione del sistema operativo desktop Windows 10 per hardware ARM, quindi questo non è più qualcosa di cui ti devi preoccupare. Tuttavia, se Microsoft ripristina l'hardware Windows RT 10, probabilmente non sarai in grado di disabilitare l'avvio protetto su di esso.
Credito immagine: Ambassador Base , John Bristowe
