Ako bezpečná spúšťa funguje v systémoch Windows 8 a 10 a čo znamená pre Linux
Moderné počítače dodávajú s funkciou nazývanou "Secure Boot" povolené. Toto je platforma vo funkcii UEFI, ktorá nahrádza tradičné PC BIOS. Ak chce výrobca osobného počítača umiestniť do svojho počítača nálepku s logom "Windows 10" alebo "Windows 8", spoločnosť Microsoft vyžaduje, aby povolili funkciu Secure Boot a dodržiavali niektoré smernice.
Bohužiaľ, zabraňuje vám aj inštalácii niektorých distribúcií Linuxu, čo môže byť dosť hádka.
Ako zabezpečené zavádzanie zabezpečuje proces zavádzania počítača
Funkcia Secure Boot nie je určená len na to, aby zjednodušila prevádzku Linuxu. Existujú skutočné bezpečnostné výhody, ktoré umožňujú zabezpečiť bezpečnú bootovanie, a dokonca aj užívatelia Linuxu môžu mať z nich prospech.
Tradičný systém BIOS spustí akýkoľvek softvér. Pri spúšťaní počítača kontroluje hardvérové zariadenia podľa poradia zavádzania, ktoré ste nakonfigurovali, a pokúša sa ich spustiť. Typické počítače zvyčajne nájdu a zavádzajú zavádzací systém Windows, ktorý naštartuje celý operačný systém Windows. Ak používate systém Linux, systém BIOS nájde a zavedie spúšťač GRUB, ktorý používa väčšina distribúcií Linuxu.
Je však možné, že malware, napríklad rootkit, nahradí váš zavádzač. Rootkit by mohol načítať váš normálny operačný systém bez indikácie, že nie je nič zlé, zostať úplne neviditeľné a nedetekovateľné vo vašom systéme. Systém BIOS nepozná rozdiel medzi škodlivým softvérom a dôveryhodným zavádzacím zariadením - jednoducho zavádza všetko, čo nájde.
Funkcia Secure Boot je navrhnutá tak, aby to zastavila. Počítače so systémom Windows 8 a 10 sa dodávajú s certifikátom spoločnosti Microsoft uloženým v systéme UEFI. UEFI skontroluje zavádzací systém pred spustením a zabezpečí, aby bol podpísaný spoločnosťou Microsoft. Ak rootkit alebo iný kus škodlivého softvéru nahradí váš zavádzač alebo ho nahradí, UEFI ho nedovolí zaviesť. To zabraňuje zneužitiu malware zo zavádzacieho procesu a skrytie sa z vášho operačného systému.
Ako spoločnosť Microsoft povoľuje distribúcie Linuxu na zavádzanie so zabezpečeným zavádzaním
Táto funkcia je teoreticky navrhnutá len na ochranu pred škodlivým softvérom. Takže spoločnosť Microsoft ponúka spôsob, ako pomôcť distribuciam Linuxu zaviesť. To je dôvod, prečo niektoré moderné distribúcie Linuxu, napríklad Ubuntu a Fedora, "budú práve" fungovať na moderných počítačoch, dokonca aj so zapnutou funkciou Secure Boot. Distribúcie Linuxu môžu platiť jednorazový poplatok vo výške 99 USD na prístup na portál Microsoft Sysdev, kde môžu požiadať o podpísanie zavádzacích zariadení.
Distribúcie liniek Linuxu majú všeobecne "podpis". Podložka je malý zavádzač, ktorý jednoducho zavádza hlavný zavádzač GRUB distribučných liniek GRUB. Podložka podpisovaná spoločnosťou Microsoft skontroluje, či je spustená boot loader podpísaná distribúciou Linux a potom distribučné booty Linuxu normálne.
Ubuntu, Fedora, Red Hat Enterprise Linux a openSUSE v súčasnosti podporujú Secure Boot a budú fungovať bez akýchkoľvek vylepšení moderného hardvéru. Môžu to byť iné, ale to sú tie, o ktorých sme si vedomí. Niektoré distribúcie Linuxu sú filozoficky protirečené tomu, aby podali žiadosť o podpísanie spoločnosťou Microsoft.
Ako môžete zakázať alebo ovládať zabezpečené zavádzanie
Ak by to bolo všetko zabezpečené zavádzanie, nebudete môcť na svojom počítači spustiť žiadny operačný systém, ktorý nie je schválený spoločnosťou Microsoft. Ale pravdepodobne môžete ovládať Secure Boot z firmvéru UEFI vášho počítača, ktorý je ako BIOS vo starších počítačoch.
Existujú dva spôsoby, ako ovládať Secure Boot. Najjednoduchšia metóda je smerovať do firmvéru UEFI a úplne ho vypnúť. Firmvér UEFI nekontroluje, či máte spustený podpísaný zavádzač a všetko sa spustí. Môžete spustiť akúkoľvek Linuxovú distribúciu alebo dokonca nainštalovať systém Windows 7, ktorý nepodporuje Secure Boot. Systém Windows 8 a 10 bude fungovať v poriadku, stratíte bezpečnostné výhody zabezpečenia zavádzacieho procesu.
Môžete tiež ďalej prispôsobiť funkciu Secure Boot. Môžete určiť, ktoré podpisové certifikáty ponúka Secure Boot. Môžete slobodne nainštalovať nové certifikáty a odstrániť existujúce certifikáty. Organizácia, ktorá spustila systém Linux na svojich počítačoch, môže napríklad vybrať odstránenie certifikátov spoločnosti Microsoft a nainštalovať vlastný certifikát organizácie. Tieto počítače by potom spustili iba zavádzacie zariadenia, ktoré schválili a podpísali túto konkrétnu organizáciu.
Jeden by to mohol urobiť aj on - môžete podpisovať vlastný zavádzač systému Linux a zaistiť, aby váš počítač mohol spustiť iba zavádzače, ktoré ste osobne zostavili a podpísali. To je druh kontroly a výkonu Secure Boot ponúka.
Čo spoločnosť Microsoft vyžaduje od výrobcov počítačov
Spoločnosť Microsoft nielenže vyžaduje, aby dodávatelia počítačov povolili funkciu Secure Boot, ak chcú pekné Windows 10 alebo Windows 8 certifikačné štítky na svojich počítačoch. Spoločnosť Microsoft požaduje od výrobcov počítačov, aby ju konkrétne implementovali.
Pre počítače s operačným systémom Windows 8 výrobcovia museli poskytnúť spôsob, ako vypnúť funkciu Secure Boot. Spoločnosť Microsoft požadovala od výrobcov počítačov, aby v rukách používateľa spustili prepínač Zabezpečený zavádzací boot.
Pre počítače s operačným systémom Windows 10 to už nie je povinné. Výrobcovia počítačov si môžu vybrať možnosť zabezpečiť zavádzanie a nedávať používateľom možnosť vypnúť ho. V skutočnosti však nie sme si vedomí žiadnych výrobcov počítačov, ktorí to robia.
Podobne, zatiaľ čo výrobcovia počítačov musia zahrnúť hlavný kľúč "Microsoft Windows PCA", aby mohol systém Windows zavádzať, nemusia obsahovať kľúč "Microsoft Corporation UEFI CA". Tento druhý kľúč sa odporúča len. Je to druhý, voliteľný kľúč, ktorý spoločnosť Microsoft používa na podpisovanie zavádzačov systému Linux. Dokumentácia Ubuntu vysvetľuje túto skutočnosť.
Inými slovami, nie všetky počítače budú nevyhnutne spustiť podpísané distribúcie Linux so zapnutou funkciou Secure Boot. Opäť sme v praxi nevideli žiadne počítače, ktoré to robili. Možno žiadny výrobca počítačov nechce vytvoriť jediný rad notebookov, na ktoré nemôžete nainštalovať Linux.
Zatiaľ by ste mali prinajmenšom bežné počítače so systémom Windows umožniť zakázať funkciu Secure Boot, ak chcete, a mali by spustiť distribúcie Linuxu, ktoré boli podpísané spoločnosťou Microsoft, a to aj vtedy, ak zakážete bezpečnú bootovanie.
Zabezpečené spustenie nemôže byť zakázané v systéme Windows RT, ale Windows RT je mŕtvy
Všetky uvedené skutočnosti platia pre štandardné operačné systémy Windows 8 a 10 na štandardnom hardvéri Intel x86. Je to iné pre ARM.
V systéme Windows RT - verzia systému Windows 8 pre hardvér ARM, ktorá bola dodávaná na povrchoch spoločnosti Microsoft Surface RT a Surface 2, medzi inými zariadeniami - Secure Boot nemohla byť zakázaná. Secure Boot ešte nemôže byť deaktivovaný v systéme Windows 10 Mobile - inými slovami telefóny, ktoré používajú Windows 10.
Je to preto, lebo Microsoft chcel, aby ste si mysleli, že systémy Windows RT založené na ARM sú "zariadenia", nie počítače. Microsoft povedal Mozille, Windows RT "už nie je Windows."
Windows RT je však teraz mŕtvy. Neexistuje žiadna verzia operačného systému Windows 10 pre operačný systém ARM, takže to nie je niečo, na čo sa už musíte starať. Ak však spoločnosť Microsoft prináša hardvér systému Windows RT 10, pravdepodobne nebudete môcť vypnúť funkciu Secure Boot.
Image Credit: Veľvyslanec Base, John Bristowe