Kuidas töötab turvaline alglaadimine operatsioonisüsteemides Windows 8 ja 10 ning mida see Linuxi jaoks tähendab

Kaasaegsed arvutid on varustatud funktsiooniga „Secure Boot“. See on UEFI platvormi funktsioon, mis asendab tavapärast arvuti BIOS-i. Kui arvutitootja soovib oma arvutisse asetada logokleebise „Windows 10” või „Windows 8”, nõuab Microsoft, et ta lubaks turvalise alglaadimise ja järgiks mõningaid juhiseid.

Kahjuks takistab see ka mõne Linuxi jaotuse installimist, mis võib olla üsna tülikas.

Kuidas turvaline alglaadimine kindlustab teie arvuti alglaadimise protsessi

Secure Boot ei ole mõeldud ainult Linuxi käitamise keerukamaks muutmiseks. Turvalise alglaadimise lubamisel on reaalseid turvalisuse eeliseid ja isegi Linuxi kasutajad saavad neist kasu.

Traditsiooniline BIOS käivitab mis tahes tarkvara. Arvuti käivitamisel kontrollib see riistvaraseadeid vastavalt teie konfigureeritud alglaadimise järjekorrale ja proovib neist käivitada. Tavaliselt leiavad ja käivitavad tavalised arvutid Windowsi alglaaduri, mis käivitab kogu Windowsi operatsioonisüsteemi. Kui kasutate Linuxit, leiab ja käivitab BIOS GRUB-i laadimislaaduri, mida enamik Linuxi distributsioonidest kasutab.

Siiski võib pahavara, näiteks rootkit, teie alglaaduri asendada. Rootkit võib laadida teie tavalise operatsioonisüsteemi, ilma et oleks midagi valesti, jäädes süsteemis täiesti nähtamatuks ja tuvastamatuks. BIOS ei tea, mis vahe on pahavara ja usaldusväärse alglaaduri vahel - ta lihtsalt käivitab kõik, mida leiab.

Secure Boot on loodud selle peatamiseks. Windows 8 ja 10 arvutid tarnitakse koos Microsofti sertifikaadiga, mis on salvestatud UEFI-sse. UEFI kontrollib alglaadijat enne selle käivitamist ja tagab, et selle on Microsofti allkirjastanud. Kui rootkit või mõni muu pahavara asendab teie alglaaduri või rikub seda, ei luba UEFI seda käivitada. See hoiab ära pahavara kaaperdamisprotsessi ja operatsioonisüsteemi eest varjamise.

Kuidas Microsoft lubab Linuxi distributsioonidel turvalise alglaadimisega käivitada

See funktsioon on teoreetiliselt loodud just pahavara eest kaitsmiseks. Niisiis pakub Microsoft viisi, kuidas Linuxi distributsioone igal juhul käivitada. Sellepärast töötavad mõned kaasaegsed Linuxi jaotused - nagu Ubuntu ja Fedora - lihtsalt kaasaegsetes arvutites, isegi kui turvaline alglaadimine on lubatud. Linuxi distributsioonid võivad maksta ühekordset tasu 99 dollarit, et pääseda portaali Microsoft Sysdev, kus nad saavad taotleda oma alglaadijate allkirjastamist.

Linuxi distributsioonidel on üldjuhul allkirjastatud "shim". Shim on väike alglaadur, mis lihtsalt käivitab Linuxi distributsioonide GRUB-i alglaaduri. Microsofti allkirjastatud shim kontrollib, kas see käivitab Linuxi distributsiooni allkirjastatud alglaaduri ja seejärel käivitub Linuxi levitamine normaalselt.

Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE toetavad praegu turvalist alglaadimist ja töötavad tänapäevases riistvaras ilma igasuguste muudatusteta. Võib olla ka teisi, kuid neist oleme teadlikud. Mõned Linuxi distributsioonid on filosoofiliselt vastu Microsofti allkirjastamise taotlemisele.

Kuidas saab turvalist alglaadimist keelata või kontrollida

Kui see oleks kõik turvaline alglaadimine, ei saaks te arvutis käitada ühtegi Microsofti heakskiitmata operatsioonisüsteemi. Kuid tõenäoliselt saate turvalist alglaadimist kontrollida oma arvuti UEFI püsivara abil, mis on nagu vanemate arvutite BIOS.

Turvalise alglaadimise juhtimiseks on kaks võimalust. Lihtsaim meetod on minna UEFI püsivara juurde ja see täielikult keelata. UEFI püsivara ei kontrolli, kas teil on allkirjastatud alglaadur, ja kõik käivitatakse. Võite käivitada mis tahes Linuxi levitamise või isegi installida Windows 7, mis ei toeta turvalist alglaadimist. Windows 8 ja 10 töötavad hästi, kaotate lihtsalt turvalisuse eelised, kui turvaline alglaadimine teie alglaadimisprotsessi kaitseb.

Samuti saate turvalist alglaadimist veelgi kohandada. Saate kontrollida, milliseid allkirjastamise sertifikaate Secure Boot pakub. Võite vabalt nii uusi sertifikaate installida kui ka olemasolevaid eemaldada. Näiteks organisatsioon, mis käitas Linuxi oma arvutites, võib eemaldada Microsofti sertifikaadid ja installida selle asemele organisatsiooni enda sertifikaadi. Need PC-d käivitaksid siis ainult selle konkreetse organisatsiooni poolt heaks kiidetud ja allkirjastatud alglaadurid.

Ka üksikisik võiks seda teha - võite alla kirjutada oma Linuxi alglaadurile ja veenduda, et teie arvuti saab käivitada ainult teie enda koostatud ja allkirjastatud alglaadureid. Sellist juhtimist ja toite pakub turvaline alglaadimine.

Mida Microsoft nõuab arvutitootjatelt

Microsoft ei nõua ainult, et arvutimüüjad lubaksid turvalise alglaadimise, kui nad tahavad oma arvutisse seda kena „Windows 10” või „Windows 8” sertifitseerimiskleebist. Microsoft nõuab, et arvutitootjad rakendaksid seda konkreetsel viisil.

Windows 8 personaalarvutite jaoks pidid tootjad andma teile võimaluse turvaline alglaadimine välja lülitada. Microsoft nõudis arvutitootjatelt, et kasutajate kätte saaks lüliti Turvaline alglaadimine.

Windows 10 arvutite puhul pole see enam kohustuslik. Arvutitootjad saavad lubada turvalise alglaadimise ja ei anna kasutajatele võimalust seda välja lülitada. Kuid me pole tegelikult teadlikud ühestki arvutitootjast, kes seda teeks.

Samamoodi, kuigi arvutitootjad peavad Windowsi käivitamiseks lisama Microsofti peamise võtme „Microsoft Windows Production PCA”, ei pea nad sisaldama võtit „Microsoft Corporation UEFI CA”. See teine ​​võti on ainult soovitatav. See on teine ​​valikuline võti, mida Microsoft kasutab Linuxi alglaadurite allkirjastamiseks. Ubuntu dokumentatsioon selgitab seda.

Teisisõnu, kõik arvutid ei käivitu tingimata allkirjastatud Linuxi distributsioonidega, kui Secure Boot on sisse lülitatud. Jällegi, praktikas pole me näinud ühtegi arvutit, kes seda teeks. Võib-olla ei taha ükski arvutitootja teha ainsat sülearvutite sarja, kuhu te Linuxi installida ei saa.

Praegu peaksid vähemalt Windowsi peavoolu arvutid lubama teil turvalise alglaadimise keelata, kui soovite, ja nad peaksid käivitama Microsofti allkirjastatud Linuxi jaotused ka siis, kui te pole turvalist alglaadimist keelanud.

Turvalist alglaadimist ei saanud Windows RT-s keelata, kuid Windows RT on surnud

SEOTUD:Mis on Windows RT ja kuidas see erineb Windows 8-st?

Kõik ülaltoodu kehtib tavaliste Inteli x86 riistvaraga Windows 8 ja 10 operatsioonisüsteemide kohta. ARM-i puhul on see erinev.

Operatsioonisüsteemis Windows RT - ARM-i riistvara jaoks mõeldud Windows 8 versiooni, mis tarniti muude seadmete hulgas ka Microsofti Surface RT-s ja Surface 2-s - ei saanud turvalist alglaadimist keelata. Täna ei saa turvalist alglaadimist ikkagi Windows 10 Mobile riistvaral keelata - teisisõnu telefonides, kus töötab Windows 10.

Selle põhjuseks on asjaolu, et Microsoft soovis, et ARM-põhised Windows RT süsteemid tuleksid seadmeteks, mitte arvutiteks. Nagu Microsoft Mozillale ütles, pole Windows RT "enam Windows".

Kuid Windows RT on nüüdseks surnud. ARM-riistvara jaoks pole Windows 10 töölauaoperatsioonisüsteemi versiooni, seega ei pea te selle pärast enam muretsema. Kuid kui Microsoft toob tagasi Windows RT 10 riistvara, ei saa te tõenäoliselt turvalist alglaadimist sellel keelata.

Pildikrediit: suursaadikubaas, John Bristowe