Moderna datorer levereras med en funktion som kallas ”Secure Boot” aktiverad. Detta är en plattformsfunktion i UEFA , som ersätter det traditionella PC-BIOS . Om en datortillverkare vill placera en "Windows 10" eller "Windows 8" logotyp klistermärke på sin dator, kräver Microsoft att de aktiverar Secure Boot och följer några riktlinjer.
Tyvärr hindrar det dig också från att installera vissa Linux-distributioner, vilket kan vara ganska besvärligt.
Hur Secure Boot säkrar datorns startprocess
Secure Boot är inte bara utformat för att göra det svårare att köra Linux. Det finns verkliga säkerhetsfördelar med att Secure Boot är aktiverat, och även Linux-användare kan dra nytta av dem.
En traditionell BIOS startar vilken programvara som helst. När du startar din dator kontrollerar den hårdvaruenheterna enligt startordningen du har konfigurerat och försöker starta från dem. Vanliga datorer kommer normalt att hitta och starta Windows startladdare, som fortsätter att starta hela Windows-operativsystemet. Om du använder Linux kommer BIOS att hitta och starta GRUB-startladdaren, som de flesta Linux-distributioner använder.
Det är dock möjligt för skadlig programvara, till exempel en rootkit, att ersätta din startladdare. Rootsatsen kan ladda ditt vanliga operativsystem utan att indikera att något är fel, förbli helt osynligt och omöjligt att upptäcka på ditt system. BIOS känner inte till skillnaden mellan skadlig programvara och en betrodd startladdare - den startar bara vad den hittar.
Secure Boot är utformat för att stoppa detta . Datorer med Windows 8 och 10 levereras med Microsofts certifikat lagrat i UEFI. UEFI kommer att kontrollera startlastaren innan den startar och se till att den är signerad av Microsoft. Om en rootkit eller annan skadlig kod ersätter din startladdare eller manipulerar den, tillåter UEFI inte den att starta. Detta förhindrar skadlig kod från att kapa din startprocess och dölja sig från ditt operativsystem.
Hur Microsoft tillåter Linux-distributioner att starta med säker start
Denna funktion är i teorin bara utformad för att skydda mot skadlig kod. Så Microsoft erbjuder ett sätt att hjälpa Linux-distributioner att starta ändå. Därför kommer vissa moderna Linux-distributioner - som Ubuntu och Fedora - att "bara fungera" på moderna datorer, även om Secure Boot är aktiverat. Linux-distributioner kan betala en engångsavgift på $ 99 för att få åtkomst till Microsoft Sysdev-portalen, där de kan ansöka om att få sina bootloaders signerade.
Linux-distributioner har vanligtvis en "shim" signerad. Shim är en liten startladdare som helt enkelt startar Linux-distributionens GRUB-startladdare. Den Microsoft-signerade shim kontrollerar att den startar en startladdare signerad av Linux-distributionen och sedan startar Linux-distributionen normalt.
Ubuntu, Fedora, Red Hat Enterprise Linux och openSUSE stöder för närvarande Secure Boot och fungerar utan några tweaks på modern hårdvara. Det kan finnas andra, men det är de vi känner till. Vissa Linux-distributioner är filosofiskt emot att ansöka om att bli signerad av Microsoft.
Hur du kan inaktivera eller kontrollera säker start
Om det var allt som Secure Boot gjorde skulle du inte kunna köra något icke-Microsoft-godkänt operativsystem på din dator. Men du kan troligtvis styra Secure Boot från din dators UEFI-firmware, vilket är som BIOS i äldre datorer.
Det finns två sätt att kontrollera Secure Boot. Den enklaste metoden är att gå till UEFI-firmware och inaktivera den helt. UEFI-firmware kontrollerar inte att du kör en signerad startladdare, och allt kommer att starta. Du kan starta vilken Linux-distribution som helst eller till och med installera Windows 7, som inte stöder Secure Boot. Windows 8 och 10 fungerar bra, du tappar bara säkerhetsfördelarna med att Secure Boot skyddar din startprocess.
Du kan också ytterligare anpassa Secure Boot. Du kan styra vilka signeringscertifikat Secure Boot erbjuder. Du kan både installera nya certifikat och ta bort befintliga certifikat. En organisation som körde Linux på sina datorer kan till exempel välja att ta bort Microsofts certifikat och installera organisationens eget certifikat istället. Dessa datorer skulle då bara starta startladdare som godkänts och undertecknats av den specifika organisationen.
En person kan också göra detta - du kan underteckna din egen Linux-startladdare och se till att din dator bara kan starta startladdare som du personligen sammanställt och signerat. Det är den typen av kontroll och kraft som Secure Boot erbjuder.
Vad Microsoft kräver av PC-tillverkare
Microsoft kräver inte bara att PC-leverantörer aktiverar Secure Boot om de vill ha den fina "Windows 10" eller "Windows 8" certifieringsdekalen på sina datorer. Microsoft kräver att PC-tillverkare implementerar det på ett specifikt sätt.
För Windows 8-datorer måste tillverkarna ge dig ett sätt att stänga av Secure Boot. Microsoft krävde PC-tillverkare att lägga en Secure Boot kill-switch i användarnas händer.
För Windows 10-datorer är detta inte längre obligatoriskt. PC-tillverkare kan välja att aktivera Secure Boot och inte ge användarna ett sätt att stänga av det. Vi känner dock inte till några datortillverkare som gör detta.
Även om PC-tillverkare måste inkludera Microsofts viktigaste "Microsoft Windows Production PCA" -nyckel så att Windows kan starta, behöver de inte inkludera "Microsoft Corporation UEFI CA" -nyckeln. Denna andra tangent rekommenderas bara. Det är den andra valfria nyckeln som Microsoft använder för att signera Linux-startladdare. Ubuntus dokumentation förklarar detta.
Med andra ord kommer inte alla datorer nödvändigtvis att starta signerade Linux-distributioner med Secure Boot aktiverat. Igen, i praktiken har vi inte sett några datorer som gjorde detta. Kanske ingen PC-tillverkare vill tillverka den enda raden av bärbara datorer som du inte kan installera Linux på.
För närvarande bör åtminstone vanliga Windows-datorer tillåta dig att inaktivera Secure Boot om du vill, och de ska starta Linux-distributioner som har signerats av Microsoft även om du inte inaktiverar Secure Boot.
Säker start kunde inte inaktiveras i Windows RT, men Windows RT är död
RELATERAD: Vad är Windows RT och hur skiljer det sig från Windows 8?
Allt ovan gäller för vanliga Windows 8 och 10-operativsystem på den vanliga Intel x86-hårdvaran. Det är annorlunda för ARM.
På Windows RT —Versionen av Windows 8 för ARM-hårdvara , som levererades på Microsofts Surface RT och Surface 2, bland andra enheter - Säker start kunde inte inaktiveras. Idag kan Secure Boot fortfarande inte inaktiveras Windows 10 Mobile hårdvara - med andra ord telefoner som kör Windows 10.
Det beror på att Microsoft ville att du skulle tänka på ARM-baserade Windows RT-system som "enheter", inte som datorer. Som Sa Microsoft till Mozilla , Windows RT "är inte Windows längre."
Men Windows RT är nu dött. Det finns ingen version av Windows 10 stationära operativsystem för ARM-hårdvara, så det här är inget du behöver oroa dig för längre. Men om Microsoft tar tillbaka Windows RT 10-maskinvara kommer du sannolikt inte att kunna inaktivera Secure Boot på den.
Bildkredit: Ambassadörsbas , John Bristowe
