Nowoczesne komputery są dostarczane z włączoną funkcją o nazwie „Bezpieczny rozruch”. To jest funkcja platformy w UEFA , który zastępuje tradycyjny BIOS komputera . Jeśli producent komputerów PC chce umieścić naklejkę z logo „Windows 10” lub „Windows 8” na swoim komputerze, firma Microsoft wymaga, aby włączył Bezpieczny rozruch i postępował zgodnie z pewnymi wskazówkami.
Niestety, zapobiega to również instalacji niektórych dystrybucji Linuksa, co może być dość kłopotliwe.
Jak bezpieczny rozruch zabezpiecza proces uruchamiania komputera
Bezpieczny rozruch nie jest zaprojektowany tylko po to, aby utrudniać korzystanie z Linuksa. Włączenie funkcji Secure Boot ma wiele zalet w zakresie bezpieczeństwa, a nawet użytkownicy systemu Linux mogą z nich skorzystać.
Tradycyjny BIOS uruchomi każde oprogramowanie. Podczas uruchamiania komputera sprawdza on urządzenia sprzętowe zgodnie ze skonfigurowaną kolejnością rozruchu i podejmuje próbę uruchomienia z nich. Typowe komputery PC zwykle znajdują i uruchamiają program ładujący system Windows, który uruchamia pełny system operacyjny Windows. Jeśli używasz Linuksa, BIOS znajdzie i uruchomi program ładujący GRUB, którego używa większość dystrybucji Linuksa.
Możliwe jest jednak, że złośliwe oprogramowanie, takie jak rootkit, zastąpi program ładujący. Rootkit mógł załadować normalny system operacyjny bez żadnych oznak, że coś jest nie tak, pozostając całkowicie niewidocznym i niewykrywalnym w systemie. BIOS nie zna różnicy między złośliwym oprogramowaniem a zaufanym programem ładującym - po prostu uruchamia wszystko, co znajdzie.
Bezpieczny rozruch ma na celu powstrzymanie tego . Komputery z systemem Windows 8 i 10 są dostarczane z certyfikatem firmy Microsoft przechowywanym w UEFI. UEFI sprawdzi program ładujący przed jego uruchomieniem i upewni się, że jest podpisany przez firmę Microsoft. Jeśli rootkit lub inny rodzaj złośliwego oprogramowania zastąpi program ładujący lub sabotuje go, UEFI nie pozwoli na jego uruchomienie. Zapobiega to przejęciu procesu uruchamiania przez złośliwe oprogramowanie i ukrywaniu się przed systemem operacyjnym.
Jak firma Microsoft pozwala dystrybucjom Linuksa na rozruch z bezpiecznym rozruchem
Ta funkcja jest teoretycznie przeznaczona tylko do ochrony przed złośliwym oprogramowaniem. Dlatego Microsoft oferuje sposób, aby pomóc w uruchomieniu dystrybucji Linuksa. Dlatego niektóre współczesne dystrybucje Linuksa - takie jak Ubuntu i Fedora - będą „po prostu działać” na nowoczesnych komputerach PC, nawet przy włączonym Bezpiecznym rozruchu. Dystrybucje Linuksa mogą uiścić jednorazową opłatę w wysokości 99 USD za dostęp do portalu Microsoft Sysdev, gdzie mogą ubiegać się o podpisanie swoich programów ładujących.
Dystrybucje Linuksa na ogół mają podpis „podkładki”. Podkładka to mały program ładujący, który po prostu uruchamia główny program ładujący GRUB dystrybucji Linuksa. Podpisana przez firmę Microsoft podkładka sprawdza, czy uruchamia program ładujący podpisany przez dystrybucję Linuksa, a następnie dystrybucja Linuksa uruchamia się normalnie.
Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE obsługują obecnie Secure Boot i będą działać bez żadnych zmian na nowoczesnym sprzęcie. Mogą być inni, ale to są ci, których jesteśmy świadomi. Niektóre dystrybucje Linuksa są filozoficznie przeciwne składaniu wniosków o podpisanie przez firmę Microsoft.
Jak wyłączyć lub kontrolować bezpieczny rozruch
Gdyby to było wszystko, co robił Bezpieczny rozruch, nie byłbyś w stanie uruchomić na swoim komputerze systemu operacyjnego niezatwierdzonego przez firmę Microsoft. Ale prawdopodobnie możesz kontrolować Bezpieczne uruchamianie z oprogramowania układowego UEFI komputera, które jest podobne do systemu BIOS w starszych komputerach.
Istnieją dwa sposoby kontrolowania bezpiecznego rozruchu. Najłatwiejszą metodą jest przejście do oprogramowania układowego UEFI i całkowite wyłączenie go. Oprogramowanie układowe UEFI nie sprawdzi, czy używasz podpisanego programu ładującego i nic się nie uruchomi. Możesz uruchomić dowolną dystrybucję Linuksa, a nawet zainstalować system Windows 7, który nie obsługuje bezpiecznego rozruchu. Windows 8 i 10 będą działać dobrze, po prostu stracisz zalety bezpieczeństwa wynikające z posiadania bezpiecznego rozruchu chroniącego proces rozruchu.
Możesz także dodatkowo dostosować Bezpieczny rozruch. Możesz kontrolować, które certyfikaty podpisywania oferuje Secure Boot. Możesz zarówno zainstalować nowe certyfikaty, jak i usunąć istniejące. Na przykład organizacja, która używa Linuksa na swoich komputerach, może usunąć certyfikaty firmy Microsoft i zamiast tego zainstalować własny certyfikat organizacji. Te komputery będą wtedy uruchamiały tylko programy ładujące zatwierdzone i podpisane przez tę konkretną organizację.
Osoba fizyczna też może to zrobić - możesz podpisać własny program ładujący Linuksa i upewnić się, że twój komputer może uruchamiać tylko te programy ładujące, które osobiście skompilowałeś i podpisałeś. To rodzaj kontroli i mocy, jaką oferuje bezpieczny rozruch.
Czego firma Microsoft wymaga od producentów komputerów
Microsoft nie tylko wymaga, aby dostawcy komputerów PC włączali Bezpieczny rozruch, jeśli chcą mieć na swoich komputerach ładną naklejkę z certyfikatem „Windows 10” lub „Windows 8”. Microsoft wymaga od producentów komputerów osobistych zaimplementowania go w określony sposób.
W przypadku komputerów z systemem Windows 8 producenci musieli zaoferować sposób wyłączenia bezpiecznego rozruchu. Firma Microsoft wymagała od producentów komputerów PC udostępnienia użytkownikom wyłącznika awaryjnego bezpiecznego rozruchu.
W przypadku komputerów z systemem Windows 10 nie jest to już obowiązkowe. Producenci komputerów PC mogą włączyć Bezpieczny rozruch i nie dawać użytkownikom możliwości jego wyłączenia. Jednak tak naprawdę nie znamy żadnych producentów komputerów PC, którzy to robią.
Podobnie, chociaż producenci komputerów PC muszą uwzględniać główny klucz Microsoft „Microsoft Windows Production PCA”, aby system Windows mógł się uruchomić, nie muszą uwzględniać klucza „Microsoft Corporation UEFI CA”. Ten drugi klucz jest tylko zalecany. To drugi opcjonalny klucz, którego Microsoft używa do podpisywania programów ładujących Linuksa. Dokumentacja Ubuntu wyjaśnia to.
Innymi słowy, nie wszystkie komputery muszą uruchamiać podpisane dystrybucje Linuksa z włączonym Bezpiecznym uruchamianiem. Ponownie, w praktyce nie widzieliśmy żadnego komputera, który to zrobił. Być może żaden producent komputerów PC nie chce stworzyć jedynej linii laptopów, na których nie można zainstalować Linuksa.
Przynajmniej na razie główne komputery z systemem Windows powinny umożliwiać wyłączenie bezpiecznego rozruchu, jeśli chcesz, i powinny uruchamiać dystrybucje Linuksa podpisane przez firmę Microsoft, nawet jeśli nie wyłączysz Bezpiecznego rozruchu.
Nie można wyłączyć bezpiecznego rozruchu w systemie Windows RT, ale system Windows RT nie działa
ZWIĄZANE Z: Co to jest Windows RT i czym różni się od Windows 8?
Wszystko to dotyczy standardowych systemów operacyjnych Windows 8 i 10 na standardowym sprzęcie Intel x86. W przypadku ARM jest inaczej.
Na Windows RT —Wersja systemu Windows 8 dla Sprzęt ARM , który był dostarczany między innymi na Surface RT i Surface 2 firmy Microsoft - nie można było wyłączyć bezpiecznego rozruchu. Obecnie Bezpiecznego rozruchu nadal nie można wyłączyć Windows 10 Mobile sprzęt - innymi słowy telefony z systemem Windows 10.
To dlatego, że Microsoft chciał, abyś myślał o systemach Windows RT opartych na architekturze ARM jako o „urządzeniach”, a nie komputerach. Tak jak Microsoft powiedział Mozilli , Windows RT „to już nie Windows”.
Jednak system Windows RT jest teraz martwy. Nie ma wersji systemu operacyjnego Windows 10 na komputery stacjonarne dla sprzętu ARM, więc nie musisz się już tym martwić. Ale jeśli Microsoft przywróci sprzęt Windows RT 10, prawdopodobnie nie będziesz w stanie wyłączyć na nim bezpiecznego rozruchu.
Źródło zdjęcia: Baza Ambasadora , John Bristowe
