Cik droša sāknēšana darbojas uz Windows 8 un 10, un ko tas nozīmē Linux
Modernie datori ir aprīkoti ar funkciju “Droša sāknēšana”. Tā ir platformas funkcija UEFI, kas aizstāj tradicionālo datora BIOS. Ja datora ražotājs vēlas ielādēt savu datoru uz Windows 10 vai Windows 8 logotipa, Microsoft pieprasa, lai tie iespējotu drošu sāknēšanu un ievēro dažas vadlīnijas.
Diemžēl tas arī neļauj jums instalēt dažus Linux izplatījumus, kas var būt diezgan apgrūtinoši.
Cik droša sāknēšana nodrošina datora palaišanas procesu
Droša sāknēšana nav tikai paredzēta, lai padarītu Linux darbību sarežģītāku. Pastāv reālas drošības priekšrocības, ja ir iespējota droša sāknēšana, un pat Linux lietotāji no tiem var gūt labumu.
Tradicionālā BIOS palaidīs jebkuru programmatūru. Sākot datoru, tā pārbauda aparatūras ierīces atbilstoši konfigurētajai sāknēšanas secībai un mēģina tos noņemt. Tipiski datori parasti atradīs un palaidīs Windows boot loader, kas turpinās, lai sāktu pilnu Windows operētājsistēmu. Ja lietojat Linux, BIOS atradīs un palaidīs GRUB boot loader, ko izmanto lielākā daļa Linux izplatīšanas.
Tomēr ļaunprātīgas programmatūras, piemēram, rootkit, ir iespējams nomainīt jūsu boot loader. Rootkit var ielādēt jūsu parasto operētājsistēmu bez norādēm, ka nekas nepareizi, jūsu sistēmā paliekot pilnīgi neredzams un nenosakāms. BIOS nezina atšķirību starp ļaunprātīgu programmatūru un uzticamu boot loader-tas tikai zābaki neatkarīgi no tā konstatē.
Droša sāknēšana ir paredzēta, lai to apturētu. Windows 8 un 10 datoriem ir Microsoft sertifikāts, kas tiek glabāts UEFI. UEFI pārbaudīs boot loader pirms tā palaišanas un nodrošinās, ka to paraksta Microsoft. Ja rootkit vai cits ļaunprātīgas programmatūras gabals aizvieto jūsu boot loader vai tam ir manipulācijas, UEFI neļaus to boot. Tas neļauj ļaunprātīgām programmatūrām nolaupīt jūsu sāknēšanas procesu un slēpt sevi no jūsu operētājsistēmas.
Kā Microsoft atļauj Linux izplatīšanu sākt ar Secure Boot
Šī funkcija teorētiski ir paredzēta, lai aizsargātu pret ļaunprātīgu programmatūru. Tāpēc Microsoft piedāvā veidu, kā palīdzēt Linux izplatīšanas sākumā. Tāpēc daži mūsdienīgi Linux izplatījumi, piemēram, Ubuntu un Fedora, „vienkārši strādās” uz mūsdienīgiem datoriem, pat ja ir iespējots Secure Boot. Linux izplatīšana var samaksāt vienreizēju maksu 99 ASV dolāros, lai piekļūtu Microsoft Sysdev portālam, kur viņi var pieteikties, lai parakstītu iekrāvēju iekrāvējus.
Linux sadalījumiem parasti ir parakstīts “shim”. Shim ir mazs sāknēšanas iekrāvējs, kas vienkārši sāk izmantot Linux izplatīšanas galveno GRUB boot loader. Microsoft parakstītie shim pārbauda, lai nodrošinātu, ka tā sāk bootloader, ko parakstījis Linux izplatītājs, un pēc tam parasti Linux izplatīšanas zābaki.
Ubuntu, Fedora, Red Hat Enterprise Linux un openSUSE pašlaik atbalsta Secure Boot, un darbosies bez jebkādām tweaks par mūsdienu aparatūru. Var būt arī citi, bet tie ir tie, par kuriem mēs zinām. Daži Linux izplatījumi ir filozofiski pretēji tam, lai pieteiktos Microsoft parakstīšanai.
Kā jūs varat atspējot vai kontrolēt drošu sāknēšanu
Ja tas viss būtu bijis Droša sāknēšana, datorā nevarētu darbināt nevienu Microsoft apstiprinātu operētājsistēmu. Bet jūs droši vien varat kontrolēt Secure Boot no sava datora UEFI programmaparatūras, kas ir līdzīga BIOS vecākiem datoriem.
Secure Boot var kontrolēt divos veidos. Vieglākais veids ir doties uz UEFI programmaparatūru un pilnībā atspējot. UEFI programmaparatūra netiks pārbaudīta, lai pārliecinātos, ka jūs izmantojat parakstītu boot loader, un viss sāksies. Jūs varat palaist jebkuru Linux izplatīšanu vai pat instalēt sistēmu Windows 7, kas neatbalsta drošu sāknēšanu. Windows 8 un 10 darbosies labi, jūs vienkārši zaudēsiet drošības priekšrocības, ja Secure Boot aizsargā jūsu boot procesu.
Varat arī turpmāk pielāgot Secure Boot. Jūs varat kontrolēt, kuri paraksta sertifikāti Secure Boot piedāvā. Jūs varat brīvi instalēt jaunus sertifikātus un noņemt esošos sertifikātus. Piemēram, organizācija, kas darbojās Linux datoros, varēja izvēlēties noņemt Microsoft sertifikātus un savā vietā instalēt organizācijas sertifikātu. Pēc tam šie datori tikai boot boot iekrāvēji apstiprināti un parakstīti ar šo konkrēto organizāciju.
Indivīds to var izdarīt, arī jūs varētu parakstīt savu Linux boot loader un pārliecināties, ka jūsu dators var palaist tikai boot-loader, ko jūs personīgi apkopojāt un parakstījāt. Tas ir tāds kontroles un jaudas drošais sāknēšanas piedāvājums.
Ko Microsoft pieprasa no datora ražotājiem
Microsoft ne tikai pieprasa, lai PC pārdevēji ļautu drošu sāknēšanu, ja viņi vēlas, lai datorā būtu uzlīmēta uzlīme “Windows 10” vai “Windows 8”. Microsoft pieprasa, lai datora ražotāji to īstenotu noteiktā veidā.
Windows 8 datoriem ražotājiem bija jāsniedz jums veids, kā izslēgt Secure Boot. Microsoft pieprasīja datoru ražotājiem nodot Secure Boot kill slēdzi lietotāju rokās.
Windows 10 datoriem tas vairs nav obligāts. PC ražotāji var izvēlēties nodrošināt drošu sāknēšanu un nedot lietotājiem iespēju to izslēgt. Tomēr mēs faktiski neapzinās nevienu PC ražotāju, kas to dara.
Līdzīgi, lai gan datoru ražotājiem ir jāietver Microsoft galvenā Microsoft Microsoft ražošanas procesa PCA atslēga, lai sistēma Windows varētu palaist, viņiem nav jāietver „Microsoft Corporation UEFI CA” taustiņš. Šis otrais taustiņš ir ieteicams tikai. Tā ir otrā izvēles iespēja, ko Microsoft izmanto, lai parakstītu Linux boot iekrāvējus. Ubuntu dokumentācija to izskaidro.
Citiem vārdiem sakot, ne visi datori noteikti sāks parakstīt Linux izplatījumus, kad ir ieslēgts Secure Boot. Arī praksē mēs neesam redzējuši nevienu datoru, kas to darīja. Iespējams, neviens datora ražotājs nevēlas izveidot vienīgo klēpjdatoru līniju, kurā nevarat instalēt Linux.
Vismaz vismaz galvenajiem Windows datoriem vajadzētu ļaut jums atslēgt Secure Boot, ja vēlaties, un viņiem ir jāaktivizē Linux paraksti, kurus ir parakstījis Microsoft, pat ja neesat atspējojis Secure Boot.
Droša sāknēšana nevar tikt atspējota Windows RT, bet Windows RT ir Dead
Visi iepriekš minētie standarti attiecas uz standarta Windows 8 un 10 operētājsistēmām standarta Intel x86 aparatūrā. ARM atšķiras.
Windows RT-ARM aparatūras Windows 8 versiju, kas tika nosūtīta uz Microsoft Surface RT un 2. virsmas, starp citām ierīcēm-Secure Boot nevarēja atspējot. Šodien drošā sāknēšana joprojām nevar tikt atspējota operētājsistēmā Windows 10 Mobile aparatūra - citiem vārdiem sakot, tālruņiem, kas darbojas sistēmā Windows 10.
Tas ir tāpēc, ka Microsoft vēlējās, lai jūs domājat par ARM balstītām Windows RT sistēmām kā “ierīcēm”, nevis datoriem. Kā Microsoft pastāstīja Mozilla, Windows RT "vairs nav Windows."
Tomēr Windows RT tagad ir miris. ARM aparatūrai nav Windows 10 darbvirsmas operētājsistēmas versijas, tāpēc tas vairs nav jāuztraucas. Bet, ja Microsoft atkal atjauno Windows RT 10 aparatūru, jūs, iespējams, nevarēsit atspējot Secure Boot.
Attēla kredīts: vēstnieks Base, John Bristowe