If-Koubou

Jak bezpieczne uruchamianie działa na Windows 8 i 10 i co to oznacza dla systemu Linux

Jak bezpieczne uruchamianie działa na Windows 8 i 10 i co to oznacza dla systemu Linux (Jak)

Współczesne komputery wyposażone są w funkcję zwaną "Bezpieczne uruchamianie". Jest to funkcja platformy w UEFI, która zastępuje tradycyjny BIOS komputera. Jeśli producent komputera chce umieścić na swoim komputerze naklejkę z logo "Windows 10" lub "Windows 8", Microsoft wymaga włączenia opcji Bezpiecznego rozruchu i przestrzegania pewnych wytycznych.

Niestety, uniemożliwia także instalację niektórych dystrybucji Linuksa, co może być dość kłopotliwe.

Jak bezpieczny rozruch zabezpiecza proces uruchamiania komputera

Bezpieczne uruchamianie nie jest zaprojektowane tylko w celu utrudnienia działania systemu Linux. Zabezpieczenie rozruchu zapewnia rzeczywiste korzyści związane z bezpieczeństwem, a nawet użytkownicy Linuksa mogą z nich korzystać.

Tradycyjny BIOS uruchomi każde oprogramowanie. Po uruchomieniu komputera sprawdza on urządzenia sprzętowe zgodnie z skonfigurowaną kolejnością rozruchu i próbuje uruchomić się z nich. Typowe komputery zwykle znajdują i uruchamiają program ładujący systemu Windows, który uruchamia pełny system operacyjny Windows. Jeśli używasz Linuksa, BIOS odnajdzie i uruchomi program ładujący GRUB, którego używa większość dystrybucji Linuksa.

Jednak złośliwe oprogramowanie, takie jak rootkit, może zastąpić program rozruchowy. Rootkit może załadować twój normalny system operacyjny bez żadnego wskazania, że ​​coś jest nie tak, pozostając całkowicie niewidocznym i niewykrywalnym w twoim systemie. BIOS nie zna różnicy między złośliwym oprogramowaniem a zaufanym programem rozruchowym - po prostu uruchamia to, co znajdzie.

Bezpieczny rozruch ma na celu zatrzymanie tego. Komputery z Windows 8 i 10 są dostarczane z certyfikatem Microsoft przechowywanym w UEFI. UEFI sprawdzi moduł ładujący przed uruchomieniem go i upewni się, że jest podpisany przez Microsoft. Jeśli rootkit lub inny złośliwy program zastąpi twój program ładujący lub sabotuje go, UEFI nie pozwoli na jego uruchomienie. Zapobiega to przechwytywaniu złośliwego oprogramowania przez proces rozruchu i ukrywaniu się przed systemem operacyjnym.

W jaki sposób Microsoft zezwala na dystrybucje Linuksa do rozruchu z bezpiecznym rozruchem

Ta funkcja jest teoretycznie zaprojektowana w celu ochrony przed złośliwym oprogramowaniem. Więc Microsoft oferuje sposób, aby pomóc w uruchomieniu dystrybucji Linuksa. Dlatego niektóre współczesne dystrybucje Linuksa - takie jak Ubuntu i Fedora - będą "działać" na nowoczesnych komputerach, nawet przy włączonym Bezpiecznym uruchomieniu. Dystrybucje Linuksa mogą płacić jednorazową opłatę w wysokości 99 USD za dostęp do portalu Microsoft Sysdev, gdzie mogą ubiegać się o podpisanie swoich ładowarek.

Dystrybucje systemu Linux mają zwykle podpis "shim". Shim to mały program ładujący, który po prostu uruchamia główny program ładujący GRUB dystrybucji dystrybucyjnej. Podpisana przez Microsoft podkładka sprawdza, czy ładuje bootloadera podpisanego przez dystrybucję Linuksa, a następnie dystrybucja Linuksa uruchamia się normalnie.

Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE obsługują obecnie Bezpieczne uruchamianie i działają bez jakichkolwiek ulepszeń na nowoczesnym sprzęcie. Mogą istnieć inne, ale te są nam znane. Niektóre dystrybucje Linuksa są filozoficznie przeciwne do ubiegania się o podpisanie przez Microsoft.

Jak można wyłączyć lub kontrolować bezpieczne uruchamianie

Gdyby to było wszystko, co zrobiłby Bezpieczny rozruch, nie byłbyś w stanie uruchomić na swoim komputerze żadnego systemu operacyjnego zatwierdzonego przez firmę Microsoft. Ale prawdopodobnie można kontrolować Bezpieczne uruchamianie z oprogramowania układowego UEFI swojego komputera, które przypomina system BIOS na starszych komputerach.

Istnieją dwa sposoby kontrolowania bezpiecznego rozruchu. Najprostszą metodą jest przejście do oprogramowania układowego UEFI i całkowite wyłączenie go. Oprogramowanie układowe UEFI nie sprawdzi, czy uruchomiony jest podpisany program ładujący, a wszystko zostanie uruchomione. Możesz uruchomić dowolną dystrybucję Linuksa, a nawet zainstalować system Windows 7, który nie obsługuje bezpiecznego rozruchu. Windows 8 i 10 będą działały dobrze, po prostu stracisz zalety bezpieczeństwa związane z tym, że Secure Boot chroni twój proces uruchamiania.

Możesz także dodatkowo dostosować bezpieczny rozruch. Możesz kontrolować, które certyfikaty podpisywania Bezpieczne oferty rozruchowe. Możesz zarówno instalować nowe certyfikaty, jak i usuwać istniejące certyfikaty. Organizacja, która na przykład uruchomiła Linuksa na swoich komputerach, może usunąć certyfikaty Microsoft i zainstalować w tym miejscu własny certyfikat organizacji. Te komputery będą wtedy uruchamiać tylko ładowniki rozruchowe zatwierdzone i podpisane przez tę konkretną organizację.

Może to również zrobić osoba fizyczna - możesz podpisać własny program ładujący systemu Linux i upewnić się, że Twój komputer może uruchamiać tylko program ładujący, który osobiście skompilowałeś i podpisałeś. To rodzaj kontroli i mocy, które oferuje Secure Boot.

Co Microsoft wymaga od producentów komputerów

Microsoft nie wymaga od dostawców komputerów tylko włączenia opcji Bezpiecznego rozruchu, jeśli chcą mieć na swoich komputerach ładne naklejki "Windows 10" lub "Windows 8". Firma Microsoft wymaga od producentów komputerów osobistych wdrożenia go w określony sposób.

W przypadku komputerów z systemem Windows 8 producenci musieli dać ci możliwość wyłączenia Bezpiecznego rozruchu. Firma Microsoft wymagała od producentów komputerów umieszczania przełącznika bezpiecznego uruchamiania w rękach użytkowników.

W przypadku komputerów z systemem Windows 10 nie jest to już obowiązkowe. Producenci komputerów mogą włączyć funkcję Bezpiecznego rozruchu i nie dać użytkownikom sposobu na jej wyłączenie. Jednak w rzeczywistości nie jesteśmy świadomi producentów komputerów, którzy to robią.

Podobnie, podczas gdy producenci komputerów muszą zawierać klucz Microsoftu "Microsoft Windows Production PCA", aby system mógł się uruchamiać, nie muszą zawierać klucza "Microsoft Corporation UEFI CA". Ten drugi klucz jest zalecany tylko. Jest to drugi, opcjonalny klucz, którego używa Microsoft do podpisywania programów ładujących system Linux. Dokumentacja Ubuntu wyjaśnia to.

Innymi słowy, nie wszystkie komputery PC będą musiały uruchamiać podpisane dystrybucje systemu Linux z włączonym Bezpiecznym uruchomieniem. Ponownie, w praktyce nie widzieliśmy żadnych komputerów, które to zrobiły. Być może żaden producent komputerów PC nie chce stworzyć jedynej linii laptopów, na których nie można zainstalować Linuksa.

Na razie przynajmniej mainstreamowe komputery PC powinny pozwolić na wyłączenie Bezpiecznego rozruchu, jeśli chcesz, i powinny uruchamiać dystrybucje Linuksa, które zostały podpisane przez Microsoft, nawet jeśli nie wyłączysz Bezpiecznego rozruchu.

Nie można wyłączyć bezpiecznego rozruchu w systemie Windows RT, ale system Windows RT nie działa

Wszystkie powyższe są prawdziwe w przypadku standardowych systemów operacyjnych Windows 8 i 10 na standardowym sprzęcie Intel x86. Dla ARM jest inaczej.

W systemie Windows RT - wersja systemu Windows 8 dla sprzętu ARM, która została dostarczona na platformach Surface RT i Surface 2 firmy Microsoft, między innymi urządzeniami - nie można wyłączyć bezpiecznego rozruchu. Obecnie Secure Boot nadal nie może być wyłączony na sprzęcie Windows 10 Mobile - innymi słowy, telefony z systemem Windows 10.

Dzieje się tak dlatego, że Microsoft chciał, abyś myślał o systemach Windows RT opartych na ARM jako "urządzeniach", a nie komputerach. Jak Microsoft powiedział Mozilli, Windows RT "nie jest już Windowsem."

Jednak Windows RT jest już martwy. Nie ma wersji systemu operacyjnego Windows 10 dla sprzętu ARM, więc nie musisz się już o to martwić. Ale jeśli Microsoft przywróci sprzęt Windows RT 10, prawdopodobnie nie będzie w stanie wyłączyć Bezpiecznego rozruchu.

Image Credit: Ambassador Base, John Bristowe