Як безпечний Boot працює на Windows 8 і 10, і що це означає для Linux
Сучасні ПК поставляються з функцією, що називається "Secure Boot" включена. Це функція платформи в UEFI, яка замінює традиційний BIOS комп'ютера. Якщо виробник ПК хоче розмістити на комп'ютері наклейку з логотипом «Windows 10» або «Windows 8», корпорація Майкрософт вимагає, щоб вони увімкнули безпечне завантаження та дотримувалися деяких вказівок.
На жаль, це також перешкоджає встановленню деяких дистрибутивів Linux, що може бути досить неприємним.
Як безпечний завантаження захищає процес завантаження комп'ютера
Безпечне завантаження не просто розроблено, щоб зробити роботу з Linux складнішою. Існують реальні переваги безпеки для включення Secure Boot, і навіть користувачі Linux можуть отримати вигоду від них.
Традиційний BIOS буде завантажувати будь-яке програмне забезпечення. Під час завантаження комп'ютера він перевіряє апаратні пристрої відповідно до встановленого порядку завантаження і намагається завантажитися з них. Типові ПК зазвичай знаходять і завантажують завантажувач Windows, який продовжує завантажувати повну операційну систему Windows. Якщо ви використовуєте Linux, BIOS знайде і завантажить завантажувач GRUB, який використовує більшість дистрибутивів Linux.
Проте, для шкідливих програм, таких як руткіт, можна замінити завантажувач. Руткит може завантажувати вашу нормальну операційну систему без жодних вказівок, що все було неправильно, залишаючись повністю невидимим і невизначеним у вашій системі. BIOS не знає різниці між шкідливим програмним забезпеченням і надійним завантажувачем - він просто завантажує все, що він знаходить.
Безпечне завантаження призначене для припинення цього. Windows 8 і 10 ПК поставляються з сертифікатом Microsoft, що зберігається в UEFI. UEFI перевірить завантажувач перед запуском і переконається, що його підписано Microsoft. Якщо руткіт або інший шматок шкідливої програми замінить завантажувач або втручається в нього, UEFI не дозволить його завантажувати. Це запобігає захоплення шкідливого програмного забезпечення вашим процесом завантаження та приховування від операційної системи.
Як Microsoft дозволяє Linux-дистрибутивам завантажуватися з захищеним завантаженням
Ця теорія, теоретично, призначена лише для захисту від шкідливих програм. Таким чином, Microsoft пропонує спосіб допомогти завантаженню дистрибутивів Linux. Ось чому деякі сучасні дистрибутиви Linux, такі як Ubuntu і Fedora, «просто працюватимуть» на сучасних комп'ютерах, навіть якщо увімкнено Secure Boot. Дистрибутиви Linux можуть платити одноразову плату в розмірі $ 99 для доступу до порталу Microsoft Sysdev, де вони можуть подати заявку на підписання своїх завантажувачів.
Дистрибутиви Linux, як правило, мають підпис "shim". Прокладка - це невеликий завантажувач, який просто завантажує дистрибутиви Linux основним завантажувачем GRUB. Підписаний Microsoft shim перевіряє, чи він завантажує завантажувач, підписаний дистрибутивом Linux, а потім дистрибутив Linux, як правило, завантажується.
Ubuntu, Fedora, Red Hat Enterprise Linux і openSUSE в даний час підтримують Secure Boot, і будуть працювати без будь-яких хитрощів на сучасному апаратному забезпеченні. Можуть бути й інші, але ці ми знаємо. Деякі дистрибутиви Linux філософськи виступають проти застосування підпису Microsoft.
Як ви можете відключити або керувати безпечним завантаженням
Якщо все це було зроблено для Secure Boot, на вашому ПК ви не зможете запустити будь-яку операційну систему, не затверджену Microsoft. Але ви, швидше за все, можете керувати Secure Boot з прошивки UEFI вашого комп'ютера, яка подібна до BIOS у старих ПК.
Є два способи керування безпечним завантаженням. Найпростіший спосіб - пройти до прошивки UEFI і повністю вимкнути її. Прошивка UEFI не перевірятиме, чи ви запускаєте підписаний завантажувач, і все завантажиться. Ви можете завантажувати будь-який дистрибутив Linux або навіть інсталювати Windows 7, який не підтримує безпечне завантаження. Windows 8 і 10 працюватимуть відмінно, ви просто втратите переваги безпеки, пов'язані з безпечним завантаженням, щоб захистити процес завантаження.
Ви також можете додатково налаштувати Secure Boot. Можна керувати сертифікатами підпису Secure Boot. Ви можете встановлювати нові сертифікати та видаляти існуючі сертифікати. Наприклад, організація, яка керувала Linux на своїх комп'ютерах, могла вибирати видалення сертифікатів Майкрософт та встановлення власного сертифіката організації на своє місце. Ці ПК тоді лише затверджувались і підписувалися саме цією організацією.
Це може зробити і людина - ви можете підписати свій власний завантажувач Linux і переконатися, що ваш комп'ютер може лише завантажувати завантажувачі, які ви особисто компілювали і підписували. Це таке управління і потужність Secure Boot пропонує.
Що Microsoft вимагає від виробників ПК
Корпорація Майкрософт не просто вимагає, щоб постачальники ПК увімкнули Secure Boot, якщо вони хочуть, щоб на своїх комп’ютерах на стійких комп'ютерах містилася наклейка сертифікації «Windows 10» або «Windows 8». Корпорація Майкрософт вимагає, щоб виробники ПК реалізували її специфічним чином.
Для комп'ютерів з ОС Windows 8 виробники повинні були дати вам можливість вимкнути безпечне завантаження. Корпорація Майкрософт вимагала від виробників комп'ютерів встановити перемикач "Захист завантаження" в руках користувачів.
Для ПК з Windows 10 це більше не є обов'язковим. Виробники ПК можуть ввімкнути Secure Boot, а не дозволити користувачам вимкнути його. Однак, насправді нам не відомі виробники ПК, які це роблять.
Аналогічним чином, у той час як виробники ПК повинні включати основну клавішу Microsoft "Виробництво Windows Windows PCA", щоб Windows могла завантажуватися, вони не повинні включати ключ "Microsoft Corporation UEFI CA". Цей другий ключ рекомендується лише. Це другий, необов'язковий ключ, який Microsoft використовує для підписування завантажувачів Linux. У документації Ubuntu це пояснюється.
Іншими словами, не всі комп'ютери обов'язково завантажуватимуть підписані дистрибутиви Linux з включеним Secure Boot. Знову ж таки, на практиці ми не бачили жодних комп'ютерів, які це робили. Можливо, жоден виробник ПК не хоче робити єдину лінію ноутбуків, на яких не можна встановити Linux.
Поки що, принаймні, масові комп'ютери з Windows повинні дозволити вам вимкнути Secure Boot, якщо хочете, і вони повинні завантажувати дистрибутиви Linux, які були підписані Microsoft, навіть якщо ви не вимкнете Secure Boot..
Безпечний завантаження не може бути відключений на Windows RT, але Windows RT є мертвим
Все вищесказане стосується стандартних операційних систем Windows 8 і 10 на стандартному апаратному забезпеченні Intel x86. Різні для ARM.
На Windows RT-версії Windows 8 для апаратного забезпечення ARM, що поставляється на поверхнях RT і Surface 2 Microsoft, серед інших пристроїв Secure Boot не можна було вимкнути. Сьогодні Secure Boot все ще не може бути відключений у Windows 10 Mobile - іншими словами, телефони, що працюють під керуванням Windows 10. \ t.
Це тому, що Microsoft хотіла, щоб ви думали про системи Windows RT на базі ARM як "пристрої", а не ПК. Як Microsoft сказала Mozilla, Windows RT більше не Windows.
Проте Windows RT тепер помер. Не існує жодної версії операційної системи Windows 10 для апаратного забезпечення ARM, тому це більше не потрібно турбуватися. Але, якщо Microsoft не поверне апаратне забезпечення Windows RT 10, то, швидше за все, ви не зможете вимкнути безпечне завантаження на ньому.
Зображення: Посол бази, Джон Брістоу