כיצד עובד אתחול מאובטח ב - Windows 8 ו - 10, ומה זה אומר עבור לינוקס

מחשבים מודרניים הספינה עם תכונה בשם "אתחול מאובטח" מופעלת. זוהי תכונה פלטפורמה ב UEFI, אשר מחליף את ה- BIOS המסורתי של המחשב. אם יצרן מחשב רוצה להציב מדבקה של "Windows 10" או "Windows 8" במחשב האישי שלהם, מיקרוסופט דורשת מהם להפעיל את Secure Boot ולפעול בהתאם להנחיות מסוימות.

למרבה הצער, זה גם מונע ממך להתקין כמה הפצות לינוקס, אשר יכול להיות די מטרד.

כיצד מאובטח מאובטח מאבטח את תהליך האתחול של המחשב

אתחול מאובטח לא נועד רק כדי להפוך את ריצה לינוקס קשה יותר. ישנם יתרונות אבטחה אמיתיים שיש Secure Boot מופעלת, ואפילו משתמשי לינוקס יכולים להפיק תועלת מהם.

BIOS המסורתי יהיה אתחול כל תוכנה. בעת אתחול המחשב, הוא בודק את התקני החומרה בהתאם להזמנת האתחול שהגדרת, ומנסה לאתחל מהם. מחשבים אופייניים בדרך כלל למצוא אתחול אתחול של Windows, אשר ממשיך על מנת לאתחל את מערכת ההפעלה Windows מלא. אם אתה משתמש ב- Linux, ה- BIOS יאתר את מנהל האתחול GRUB ויאתחל אותו, ברוב ההפצות של Linux.

עם זאת, ייתכן שתוכנות זדוניות, כגון rootkit, יחליפו את מטעין האתחול. Rootkit יכול לטעון את מערכת ההפעלה הרגילה שלך ללא שום אינדיקציה משהו לא בסדר, להישאר בלתי נראה לחלוטין ובלתי ניתן לגילוי על המערכת שלך. ה- BIOS אינו יודע את ההבדל בין תוכנות זדוניות לבין מטעין אתחול מהימן - הוא פשוט מגף את מה שהוא מוצא.

אתחול מאובטח נועד לעצור את זה. Windows 8 ו- 10 מחשבים אישיים נשלחים עם אישור Microsoft המאוחסן ב- UEFI. UEFI תבדוק את מטעין האתחול לפני השקתו ולוודא שהוא חתום על-ידי Microsoft. אם rootkit או חתיכה אחרת של תוכנה זדונית האם להחליף את מטעין אתחול או לחבל עם זה, UEFI לא יאפשר לה אתחול. פעולה זו מונעת מתוכנות זדוניות לחטוף את תהליך האתחול שלך ולהסתיר את עצמה ממערכת ההפעלה שלך.

כיצד מיקרוסופט מאפשרת הפצות לינוקס לאתחל עם אתחול מאובטח

תכונה זו, בתיאוריה, נועד רק כדי להגן מפני תוכנות זדוניות. כך שמיקרוסופט מציעה דרך לעזור לחלוקת לינוקס בכל מקרה. לכן, חלק מההפצות המודרניות של לינוקס - כמו אובונטו ופדורה - יעבדו "רק" על מחשבים מודרניים, גם אם האפשרות Secure Boot מופעלת. הפצות לינוקס יכול לשלם תשלום חד פעמי של 99 $ כדי לגשת פורטל Sysdev של מיקרוסופט, שבו הם יכולים לחול על יש את מטעני האתחול שלהם חתם.

הפצות לינוקס בדרך כלל יש "shim" חתם. Shim הוא מטעין אתחול קטן כי פשוט המגפיים את הפצות לינוקס הראשי GRUB האתחול. מיקרוסופט חתמה shim בודק כדי להבטיח את זה אתחול מטעין אתחול חתום על ידי ההפצה לינוקס, ולאחר מכן את הפצה לינוקס המגפיים בדרך כלל.

Ubuntu, Fedora, Red Hat Enterprise Linux ו- openSUSE תומכים כעת ב- Secure Boot, ויעבדו ללא כל שינוי בחומרה המודרנית. אולי יש אחרים, אבל אלה הם אלה שאנו מודעים להם. חלק מההפצות של לינוקס מתנגדות באופן פילוסופי לחתימה על ידי מיקרוסופט.

איך אתה יכול להשבית או אתחול מאובטח

אם זה היה כל אתחול מאובטח עשה, אתה לא יוכל להפעיל כל מערכת ההפעלה שאינה מאושרת על ידי Microsoft במחשב. אבל אתה יכול כנראה לשלוט Secure Boot מן הקושחה UEFI של המחשב, וזה כמו ה- BIOS במחשבים ישנים.

ישנן שתי דרכים לשלוט ב - Secure Boot. השיטה הקלה ביותר היא ראש הקושחה UEFI ולהשבית אותו לחלוטין. הקושחה UEFI לא לבדוק כדי לוודא שאתה מפעיל מטעין אתחול חתום, וכל דבר יהיה אתחול. ניתן לאתחל כל הפצה לינוקס או אפילו להתקין את Windows 7, אשר אינו תומך Secure Boot. Windows 8 ו 10 יעבוד בסדר, אתה פשוט לאבד את היתרונות של אבטחה שיש אתחול מאובטח להגן על תהליך האתחול.

אתה יכול גם להתאים אישית את Secure Boot. אתה יכול לקבוע אילו חתימות אישורים מאובטחת חתימה. אתה רשאי להתקין אישורים חדשים ולהסיר אישורים קיימים. ארגון שניהל את לינוקס במחשבים האישיים שלו, לדוגמה, יכול לבחור להסיר את אישורי מיקרוסופט ולהתקין את האישור של הארגון במקומו. מחשבים אלה היו אז רק אתחול מעמיסים האישור חתם על ידי אותו ארגון ספציפי.

אדם יכול לעשות את זה גם - אתה יכול לחתום על מטעין אתחול לינוקס שלך ולוודא המחשב יכול רק אתחול אתחול מעמיסים אתה אישית הידור וחתם. זה סוג של שליטה כוח מציעה אתחול מאובטח.

מה דורש מיקרוסופט של יצרנים PC

מיקרוסופט לא רק דורשת ספקי PC לאפשר Secure Boot אם הם רוצים זה נחמד "Windows 10" או "Windows 8" מדבקה הסמכה על המחשבים האישיים שלהם. מיקרוסופט דורשת מיצרני המחשבים האישיים ליישם אותה באופן ספציפי.

עבור Windows 8 מחשבים אישיים, יצרנים היו צריכים לתת לך דרך לבטל אתחול מאובטח. מיקרוסופט דורשת יצרני מחשבים אישיים לשים את מתג האיתור המאובטח בידי המשתמשים.

עבור Windows 10 מחשבים אישיים, זה כבר לא חובה. יצרני PC יכולים לבחור לאפשר אתחול מאובטח ולא לתת למשתמשים דרך לכבות אותו. עם זאת, אנחנו לא ממש מודעים לכל יצרני המחשבים האישיים שעושים זאת.

באופן דומה, בעוד יצרני המחשבים האישיים צריכים לכלול את המפתח הראשי של Microsoft Windows Microsoft PCA, כך ש- Windows יכול לבצע אתחול, הם אינם חייבים לכלול את המפתח "Microsoft Corporation UEFI CA". המפתח השני מומלץ. זהו המפתח השני, האופציונלי שבו משתמשת Microsoft כדי לחתום על מעמיסי האתחול של Linux. התיעוד של אובונטו מסביר זאת.

במילים אחרות, לא כל המחשבים בהכרח יפעילו את הפצות לינוקס חתומות עם הפעלת אתחול מאובטח. שוב, בפועל, לא ראינו כל המחשבים שעשו זאת. אולי לא יצרנית PC רוצה לעשות את השורה היחידה של מחשבים ניידים אתה לא יכול להתקין את לינוקס ב.

לעת עתה, לפחות, מחשבי Windows מיינסטרים אמורים לאפשר לך להשבית את ה- Secure Boot אם אתה אוהב, והם צריכים לאתחל הפצות לינוקס שנחתמו על-ידי Microsoft גם אם לא תבטל אתחול מאובטח.

לא ניתן להשבית ב - Windows RT, אבל Windows RT הוא מת

כל האמור לעיל נכון לגבי מערכות הפעלה סטנדרטיות של Windows 8 ו- 10 בחומרה סטנדרטית Intel x86. זה שונה עבור ARM.

ב- Windows RT - גירסת Windows 8 עבור חומרת ARM, אשר נשלחה על פני השטח של Microsoft ו- Surface 2, בין התקנים אחרים - Secure Boot לא ניתן להשבית. היום, Secure Boot עדיין לא יכול להיות מושבת בחומרה של Windows 10 Mobile - במילים אחרות, טלפונים שמריצים את Windows 10.

הסיבה לכך היא שמיקרוסופט רצתה שתחשוב על מערכות Windows RT מבוססות ARM בתור "התקנים", ולא מחשבים אישיים. כפי שמיקרוסופט סיפרה ל- Mozilla, Windows RT "כבר לא חלונות".

עם זאת, Windows RT הוא עכשיו מת. אין גרסה של Windows 10 שולחן העבודה של מערכת ההפעלה עבור חומרה ARM, אז זה לא משהו שאתה צריך לדאוג יותר. אבל, אם מיקרוסופט תביא את החומרה של Windows RT 10, סביר להניח שלא תוכל להשבית את ה- Secure Boot על זה.

קרדיט תדמית: שגריר בייס, ג'ון בריסטו