Hvor sikker oppstart virker på Windows 8 og 10, og hva det betyr for Linux
Moderne PCer leveres med en funksjon som kalles "Secure Boot" aktivert. Dette er en plattformfunksjon i UEFI, som erstatter det tradisjonelle PC BIOS. Hvis en PC-produsent ønsker å plassere et "Windows 10" eller "Windows 8" -logoen til PCen, krever Microsoft at de aktiverer sikker oppstart og følger noen retningslinjer.
Dessverre forhindrer det deg også i å installere noen Linux-distribusjoner, noe som kan være ganske trøbbel.
Hvor sikker oppstart sikrer PC-en din Boot-prosess
Secure Boot er ikke bare designet for å gjøre kjører Linux vanskeligere. Det er virkelige sikkerhetsfordeler ved å ha Secure Boot aktivert, og til og med Linux-brukere kan dra nytte av dem.
En tradisjonell BIOS starter opp programvare. Når du starter datamaskinen, kontrollerer den maskinvareenhetene i henhold til oppstartsrekkefølgen du har konfigurert, og forsøker å starte opp fra dem. Typiske PCer vil normalt finne og starte oppstartslasteren for Windows, som fortsetter å starte hele Windows-operativsystemet. Hvis du bruker Linux, vil BIOS finne og starte GRUB boot loader, som de fleste Linux distribusjoner bruker.
Det er imidlertid mulig for skadelig programvare, for eksempel en rootkit, å erstatte oppstartslasteren. Rotkittet kunne laste det vanlige operativsystemet uten at noe var feil, forblir helt usynlig og uoppdagelig på systemet. BIOS vet ikke forskjellen mellom skadelig programvare og en pålitelig oppstartslader - den støtter bare hva den finner.
Secure Boot er designet for å stoppe dette. Windows 8 og 10 PCer leveres med Microsofts sertifikat lagret i UEFI. UEFI vil sjekke oppstartsladeren før du starter den og sørger for at den er signert av Microsoft. Hvis en rootkit eller et annet stykke skadelig programvare erstatter oppstartsladeren eller tamper med den, vil UEFI ikke tillate det å starte opp. Dette forhindrer at skadelig programvare kjører oppstartsprosessen og skjuler seg fra operativsystemet.
Hvordan Microsoft tillater Linux-distribusjoner å starte opp med sikker oppstart
Denne funksjonen er, i teorien, bare designet for å beskytte mot skadelig programvare. Så Microsoft tilbyr en måte å hjelpe Linux distribusjons oppstart uansett. Det er derfor noen moderne Linux-distribusjoner som Ubuntu og Fedora vil "bare virke" på moderne PCer, selv med Secure Boot aktivert. Linux-distribusjoner kan betale et engangsavgift på $ 99 for å få tilgang til Microsoft Sysdev-portalen, der de kan søke om at de har oppstartslasterne signert.
Linux-distribusjoner har vanligvis en "shim" signert. Shim er en liten oppstartslaster som bare støtter Linux-distribusjonens hoved GRUB-opplaster. Den Microsoft-signerte shim-kontrollen kontrollerer at den starter en oppstartslaster signert av Linux-distribusjonen, og deretter Linux-distribusjonsstøvlene normalt.
Ubuntu, Fedora, Red Hat Enterprise Linux, og openSUSE støtter for øyeblikket Secure Boot, og vil fungere uten noen tweaks på moderne maskinvare. Det kan være andre, men det er de vi er klar over. Noen Linux-distribusjoner er filosofisk imot å søke om å bli signert av Microsoft.
Slik kan du deaktivere eller kontrollere sikker oppstart
Hvis det var alt Secure Boot gjorde, ville du ikke kunne kjøre et ikke-Microsoft-godkjent operativsystem på PCen. Men du kan sannsynligvis kontrollere Secure Boot fra datamaskinens UEFI-firmware, som er som BIOS i eldre PCer.
Det er to måter å kontrollere Secure Boot. Den enkleste metoden er å gå til UEFI-fastvaren og deaktivere den helt. UEFI-fastvaren vil ikke kontrollere at du kjører en signert oppstartslader, og alt vil starte opp. Du kan starte en Linux-distribusjon eller installere Windows 7, som ikke støtter Secure Boot. Windows 8 og 10 fungerer bra, du vil bare miste sikkerhetsfordelene ved å ha Secure Boot beskytte oppstartsprosessen din.
Du kan også tilpasse Secure Boot videre. Du kan kontrollere hvilke signeringssertifikater Secure Boot tilbyr. Du kan gratis installere nye sertifikater og fjerne eksisterende sertifikater. En organisasjon som kjørte Linux på sine PCer, kan for eksempel velge å fjerne Microsofts sertifikater og installere organisasjonens eget sertifikat på plass. Disse PCene ville da bare starte oppstartslaster godkjent og signert av den aktuelle organisasjonen.
En person kan også gjøre dette - du kunne signere din egen Linux oppstartslaster og sørge for at PC-en din bare kunne starte oppstartslaster du personlig sammensatt og signert. Det er den typen kontroll og kraft som Secure Boot tilbyr.
Hva Microsoft krever av PC Produsenter
Microsoft krever ikke bare at PC-leverandører aktiverer Secure Boot hvis de vil ha den fine "Windows 10" eller "Windows 8" -sertifiseringsklienten på sine PCer. Microsoft krever at PC-produsenter implementerer det på en bestemt måte.
For Windows 8-PCer, måtte produsentene gi deg en måte å slå sikker start på. Microsoft krevde PC-produsenter å sette en Secure Boot kill-bryter i brukernes hender.
For Windows 10-PCer er dette ikke lenger obligatorisk. PC-produsenter kan velge å aktivere Secure Boot og ikke gi brukerne mulighet til å slå den av. Vi er imidlertid ikke klar over noen PC-produsenter som gjør dette.
På samme måte, mens PC-produsenter må inkludere Microsofts viktigste "Microsoft Windows Production PCA" -tast, slik at Windows kan starte opp, må de ikke inkludere "Microsoft Corporation UEFI CA" -tasten. Denne andre nøkkelen anbefales kun. Det er den andre valgfrie nøkkelen som Microsoft bruker til å signere Linux oppstartslaster. Ubuntu dokumentasjon forklarer dette.
Med andre ord, ikke alle PCer vil nødvendigvis starte opprettede Linux-distribusjoner med Secure Boot slått på. Igjen, i praksis har vi ikke sett noen PCer som gjorde dette. Kanskje ingen PC-produsent ønsker å lage den eneste linjen med bærbare datamaskiner du ikke kan installere Linux på.
For nå, i det minste skal vanlige Windows-PCer tillate deg å deaktivere Secure Boot hvis du vil, og de skal starte Linux-distribusjoner som er signert av Microsoft, selv om du ikke deaktiverer Secure Boot.
Sikker start kan ikke deaktiveres på Windows RT, men Windows RT er Dead
Alt ovenfor gjelder for standard Windows 8 og 10 operativsystemer på standard Intel x86-maskinvaren. Det er annerledes for ARM.
På Windows RT-versjonen av Windows 8 for ARM-maskinvare, som sendes på Microsofts Surface RT og Surface 2, kunne ikke andre enheter-Secure Boot deaktiveres. I dag kan Secure Boot ikke deaktiveres på Windows 10 Mobile-maskinvare, med andre ord, telefoner som kjører Windows 10.
Det er fordi Microsoft ville at du skulle tenke på ARM-baserte Windows RT-systemer som "enheter", ikke PCer. Som Microsoft fortalte Mozilla, er Windows RT "ikke Windows lenger."
Men Windows RT er nå død. Det er ingen versjon av operativsystemet Windows 10 for ARM-maskinvare, så dette er ikke noe du trenger å bekymre deg for lenger. Men hvis Microsoft bringer tilbake Windows RT 10-maskinvare, vil du sannsynligvis ikke kunne deaktivere Secure Boot på den.
Image Credit: Ambassador Base, John Bristowe