Kako Secure Boot radi na Windows 8 i 10, i što to znači za Linux
Moderna računala isporučuju se s značajkom "Secure Boot". Ovo je značajka platforme u UEFI-ju, koja zamjenjuje tradicionalni PC BIOS. Ako proizvođač računala želi staviti naljepnicu s logotipom "Windows 10" ili "Windows 8" na svoje računalo, Microsoft zahtijeva da omoguće Secure Boot i slijede neke smjernice.
Nažalost, također vas sprečava u instaliranju nekih Linux distribucija, što može biti prilično gnjavaža.
Kako sigurno podizanje sustava osigurava proces pokretanja vašeg računala
Sigurno pokretanje nije samo dizajnirano kako bi Linux bio teži. Postoje stvarne sigurnosne prednosti za omogućavanje Secure Boot-a, pa čak i korisnici Linuxa mogu imati koristi od njih.
Tradicionalni BIOS će pokrenuti bilo koji softver. Kada pokrenete računalo, on provjerava hardverske uređaje u skladu s redoslijedom podizanja sustava koji ste konfigurirali i pokušava ih pokrenuti. Tipična računala obično će pronaći i dignuti Windows boot loader, koji nastavlja s dizanjem punog operativnog sustava Windows. Ako koristite Linux, BIOS će pronaći i pokrenuti GRUB boot loader, koji koristi većina Linux distribucija.
Međutim, moguće je da zlonamjerni softver, kao što je rootkit, zamijeni vaš boot loader. Rootkit bi mogao učitati vaš normalan operativni sustav bez ikakvih naznaka da je sve u redu, ostajući potpuno nevidljiv i nevidljiv na vašem sustavu. BIOS ne zna razliku između zlonamjernog softvera i pouzdanog pokretačkog programa za pokretanje sustava - on samo pokreće sve što pronađe.
Sigurno podizanje je dizajnirano da zaustavi ovo. Windows 8 i 10 računala isporučuju se s Microsoftovim certifikatom pohranjenim u UEFI-ju. UEFI će provjeriti pokretački program prije pokretanja i provjeriti je li ga potpisao Microsoft. Ako rootkit ili drugi dio zlonamjernog softvera zamijeni vaš boot loader ili se njime mijenja, UEFI mu neće dopustiti pokretanje. To sprječava zlonamjerni softver da otima vaš proces pokretanja i skriva se od vašeg operativnog sustava.
Kako Microsoft dozvoljava Linux distribucijama da se pokreću sa sigurnim pokretanjem
Ta je značajka, u teoriji, samo dizajnirana za zaštitu od zlonamjernog softvera. Tako Microsoft nudi način kako svejedno podići Linux distribucije. Zato će neke moderne Linux distribucije poput Ubuntua i Fedora-e "raditi samo" na modernim računalima, čak i ako je omogućen Secure Boot. Distribucije Linuxa mogu platiti jednokratnu naknadu od $ 99 za pristup Microsoft Sysdev portalu, gdje se mogu prijaviti za potpisivanje svojih pokretačkih programa.
Linux distribucije obično imaju potpisan "shim". Shim je mali boot loader koji jednostavno pokreće Linux distribucije za glavni GRUB boot loader. Microsoft potpisao podmetač provjerava je li to dizanje bootloader potpisan Linux distribucija, a zatim Linux distribucija se normalno pokreće.
Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE trenutno podržavaju Secure Boot i radit će bez ikakvih izmjena na suvremenom hardveru. Možda postoje drugi, ali to su oni koje smo svjesni. Neke distribucije Linuxa filozofski se protive primjeni da ih Microsoft potpiše.
Kako možete onemogućiti ili upravljati sigurnim pokretanjem
Ako je to sve učinio Secure Boot, na računalu ne biste mogli pokrenuti operativni sustav koji nije odobrio Microsoft. No, vjerojatno možete kontrolirati Secure Boot s vašeg UEFI firmvera na računalu, koji je poput BIOS-a na starijim računalima.
Postoje dva načina za kontrolu sigurnog pokretanja. Najlakši način je da se uputite na UEFI firmware i onemogućite ga u cijelosti. UEFI firmware neće provjeriti da li ste pokrenuli potpisani boot loader i sve će se pokrenuti. Možete pokrenuti bilo koju Linux distribuciju ili čak instalirati Windows 7, koji ne podržava Secure Boot. Windows 8 i 10 će dobro funkcionirati, samo ćete izgubiti sigurnosne prednosti zaštite Secure Boot sustava.
Također možete dodatno prilagoditi Secure Boot. Možete kontrolirati koje certifikate potpisuje Secure Boot. Slobodno možete instalirati nove certifikate i ukloniti postojeće certifikate. Organizacija koja je upravljala Linuxom na svojim računalima, na primjer, mogla je odabrati uklanjanje Microsoftovih certifikata i instalaciju vlastitog certifikata organizacije na svoje mjesto. Ta bi računala tada samo odobrila i potpisala određenu organizaciju.
To bi mogao učiniti i pojedinac - možete potpisati svoj Linux boot loader i osigurati da vaše računalo može pokretati samo boot loader koji ste osobno kompilirali i potpisali. To je vrsta kontrole i snage koju Secure Boot nudi.
Što Microsoft zahtijeva od proizvođača računala
Microsoft ne zahtijeva samo da dobavljači računala omoguće Secure Boot ako žele lijepu naljepnicu s certifikatom "Windows 10" ili "Windows 8" na svojim računalima. Microsoft zahtijeva od proizvođača računala da ga implementiraju na specifičan način.
Za računala s operativnim sustavom Windows 8, proizvođači su vam morali dati način da isključite Secure Boot. Microsoft je od proizvođača računala zahtijevao da u ruke korisnika stavi prekidač za zabranu sigurnog pokretanja.
Za računala s operativnim sustavom Windows 10, to više nije obvezno. Proizvođači računala mogu omogućiti Secure Boot i ne omogućiti korisnicima da ga isključe. Međutim, zapravo nismo svjesni proizvođača računala koji to rade.
Isto tako, dok proizvođači računala moraju uključiti Microsoftov glavni “Microsoft Windows Production PCA” ključ kako bi se sustav Windows mogao pokrenuti, ne moraju uključivati ključ “Microsoft Corporation UEFI CA”. Ovaj drugi ključ preporučuje se samo. To je drugi, neobavezan ključ koji Microsoft koristi za potpisivanje Linuxa. Ubuntuova dokumentacija to objašnjava.
Drugim riječima, ne moraju sva računala nužno podizati potpisane Linux distribucije uz uključen Secure Boot. Opet, u praksi, nismo vidjeli nijedno računalo koje je to učinilo. Možda nijedan proizvođač računala ne želi napraviti jedinu liniju prijenosnih računala na koju ne možete instalirati Linux.
Za sada, barem, mainstream Windows računala trebaju vam omogućiti da onemogućite Secure Boot ako želite, i trebali bi dignuti Linux distribucije koje je Microsoft potpisao čak i ako ne onemogućite Secure Boot.
Secure Boot ne može biti onemogućen na Windows RT, ali Windows RT je mrtav
Sve navedeno vrijedi za standardne operacijske sustave Windows 8 i 10 na standardnom Intel x86 hardveru. Drugačije je za ARM.
Na Windows RT-u, verzija sustava Windows 8 za hardver ARM-a, koji je isporučen na Microsoftovoj površini RT i Surface 2, među ostalim uređajima - Secure Boot, ne može biti onemogućena. Danas Secure Boot i dalje ne može biti onemogućen na Windows 10 Mobile hardveru - drugim riječima, telefoni koji pokreću Windows 10.
To je zato što je Microsoft htio da o Windows RT sustavima zasnovanim na ARM-u smatrate "uređajima", a ne računalima. Kao što je Microsoft rekao Mozilli, Windows RT više nije Windows.
Međutim, Windows RT je sada mrtav. Ne postoji verzija operativnog sustava Windows 10 za hardver ARM-a, tako da više o tome ne morate brinuti. No, ako Microsoft vrati Windows RT 10 hardver, vjerojatno ga nećete moći onemogućiti.
Zasluge za sliku: Ambasadorska baza, John Bristowe