If-Koubou

Как безопасното стартиране работи на Windows 8 и 10 и какво означава за Linux

Как безопасното стартиране работи на Windows 8 и 10 и какво означава за Linux (Как да)

Съвременните компютри се доставят с функция, наречена "Secure Boot", която е активирана. Това е функция на платформата в UEFI, която заменя традиционния BIOS на компютъра. Ако производителят на компютър иска да постави стикер за лого "Windows 10" или "Windows 8" на своя компютър, Microsoft изисква те да активират Secure Boot и да следват някои насоки.

За съжаление, това също ви предпазва от инсталирането на някои Linux дистрибуции, което може да бъде доста караница.

Как безопасното стартиране осигурява процеса на стартиране на компютъра

Secure Boot не е предназначен само за да затрудни работата на Linux. Съществуват реални предимства в сигурността, които позволяват сигурното зареждане и дори потребителите на Linux могат да се възползват от тях.

Един традиционен BIOS ще зареди всеки софтуер. Когато стартирате компютъра си, той проверява хардуерните устройства според зададения от вас ред на зареждане и се опитва да зареди от тях. Типичните персонални компютри нормално ще намерят и зареждат зареждащата програма за Windows, която започва да зарежда пълната операционна система Windows. Ако използвате Linux, BIOS ще намери и зареди обувката за зареждане на GRUB, която повечето Linux дистрибуции използват.

Възможно е обаче злонамереният софтуер, като например rootkit, да замени вашия bootloader. В rootkit може да се зареди вашата нормална операционна система без никаква индикация, че нещо не е наред, оставайки напълно невидим и неоткриваем на вашата система. BIOS не знае разликата между злонамерен софтуер и надежден зареждащ оператор - то просто зарежда всичко, което намира.

Secure Boot е създаден, за да спре това. Windows 8 и 10 компютри се доставят със сертификат на Microsoft, съхраняван в UEFI. UEFI ще провери зареждащата машина, преди да я стартира и ще се увери, че е подписана от Microsoft. Ако rootkit или друго злонамерен софтуер замени вашия bootloader или го махнат, UEFI няма да му позволи да зареди. Това предотвратява злонамерен софтуер да отвлече процеса на зареждане и да се скрие от вашата операционна система.

Как Microsoft позволява на Linux Distributions да се зареждат със Secure Boot

Тази функция, на теория, е просто предназначена за защита срещу злонамерен софтуер. Така че Microsoft предлага начин да помогне на Linux дистрибуции да се зарежда така или иначе. Ето защо някои модерни Linux дистрибуции - като Ubuntu и Fedora - ще "работят" само на съвременни компютри, дори и със защитено зареждане. Линукс дистрибуциите могат да плащат еднократна такса от $ 99 за достъп до портала на Microsoft Sysdev, където могат да кандидатстват за подписване на техните зареждащи устройства.

Линукс дистрибуциите обикновено имат подпис. Шайтът е малък зареждащ оператор, който просто зарежда основния зареждащ диск на GRUB за Linux дистрибуции. Проверката на подписката, подписана от Microsoft, гарантира, че е стартирала обувка за зареждане, подписана от Linux дистрибуцията, а след това Linux разпространението обувки нормално.

Ubuntu, Fedora, Red Hat Enterprise Linux и openSUSE в момента поддържат Secure Boot и ще работят без никакви ощипвания на съвременния хардуер. Може да има и други, но това са онези, за които сме наясно. Някои дистрибуции на Linux философски се противопоставят на заявлението за подписване от Microsoft.

Как можете да деактивирате или да контролирате сигурното зареждане

Ако това е всичко, което сте направили, няма да можете да пускате на компютъра си операционна система, която не е одобрена от Microsoft. Но вие вероятно ще контролирате Secure Boot от UEFI фърмуера на вашия компютър, което е подобно на BIOS на по-стари компютри.

Има два начина за управление на Secure Boot. Най-лесният начин е да се насочите към фърмуера UEFI и да го деактивирате напълно. Фърмуерът UEFI няма да провери, за да се увери, че пускате подписан зареждащ буутър, и всичко ще стартира. Можете да зареждате всяка дистрибуция на Linux или дори да инсталирате Windows 7, който не поддържа Secure Boot. Windows 8 и 10 ще работят добре, просто ще загубите предимствата на защитата от това, че имате Secure Boot, за да защитите процеса на зареждане.

Освен това можете да персонализирате допълнително защитеното зареждане. Можете да контролирате кои сертификати за подписване предлага Secure Boot. Можете свободно да инсталирате нови сертификати и да премахвате съществуващи сертификати. Организацията, която пускаше Linux на компютрите си например, може да избере да премахне сертификатите на Microsoft и да инсталира собствения сертификат на организацията на негово място. Тези персонални компютри ще стартират само обувки за зареждане, одобрени и подписани от тази конкретна организация.

Лице може да направи това и вие - можете да подпишете свой собствен зареждащ компютър за Linux и да се уверите, че вашият компютър може да стартира само зареждащи устройства, които лично сте компилирали и подписали. Това е вид контрол и мощност Secure Boot предлага.

Какво изисква Microsoft от производителите на компютри

Microsoft не просто изисква от производителите на компютри да активират Secure Boot, ако искат да имат хубав "Windows 10" или "Windows 8" стикер за сертифициране на компютрите си. Microsoft изисква производителите на компютри да я прилагат по определен начин.

За Windows 8 компютри, производителите трябваше да ви дадат начин да изключите защитеното стартиране. Microsoft изисква от производителите на персонални компютри да пуснат ключ за затваряне на Secure Boot в ръцете на потребителите.

За Windows 10 компютри това вече не е задължително. Производителите на персонални компютри могат да изберат да разрешат сигурното зареждане и да не дадат на потребителите възможност да го изключат. Въпреки това, ние всъщност не сме наясно с производителите на компютри, които правят това.

По подобен начин, докато производителите на персонални компютри трябва да включват основния ключ на Microsoft "Microsoft Windows Production PCA", така че Windows да може да стартира, те не трябва да включват клавиша "Microsoft Corporation UEFI CA". Този втори ключ се препоръчва само. Това е вторият, незадължителен ключ, който Microsoft използва за подписване на зареждащи устройства за Linux. Документацията на Ubuntu обяснява това.

С други думи, не всички компютри задължително ще зареждат подписани Linux дистрибуции със Secure Boot включен. Отново на практика не сме виждали компютри, които са направили това. Може би никой производител на компютри не иска да направи единствената линия лаптопи, на която не можете да инсталирате Linux.

Засега най-малкото, обикновените компютри с Windows трябва да ви позволят да деактивирате сигурното зареждане, ако искате, и те трябва да зареждат Linux дистрибуции, подписани от Майкрософт, дори ако не забраните Secure Boot.

Secure Boot не може да бъде деактивирано за Windows RT, но Windows RT е мъртъв

Всичко това е вярно за стандартните Windows 8 и 10 операционни системи на стандартния хардуер Intel x86. Това е различно за ARM.

В Windows RT - версията на Windows 8 за ARM хардуер, която е доставена на Surface RT и Surface 2 на Microsoft, наред с други устройства - Secure Boot, не може да бъде деактивирана. Днес Secure Boot все още не може да бъде деактивиран на Windows 10 Mobile хардуер - с други думи, телефони, които работят с Windows 10.

Това е така, защото Microsoft искаше да мислите за системите Windows RT, базирани на ARM, като "устройства", а не компютри. Както каза Microsoft за Mozilla, Windows RT "вече не е Windows."

Windows RT обаче вече е мъртъв. Няма версия на настолната операционна система Windows 10 за хардуер ARM, така че това не е нещо, за което вече трябва да се притеснявате. Но ако Microsoft върне хардуера на Windows RT 10, вероятно няма да можете да деактивирате сигурното зареждане.

Image Credit: Посланик База Джон Бристове