כיצד לאתחל ולהתקין את לינוקס על מחשב UEFI עם אתחול מאובטח
מחשבי Windows חדשים מגיעים עם קושחת UEFI ו- Secure Boot מופעלת. האתחול המאובטח מונע את הפעלתן של מערכות ההפעלה, אלא אם הן חתומות על-ידי מפתח הטעון ל- UEFI - מחוץ לתוכנית, רק תוכנה חתומה על-ידי Microsoft יכולה לבצע אתחול.
Microsoft מנדטים כי ספקי PC לאפשר למשתמשים לבטל את Secure Boot, כך שתוכל לבטל את Secure Boot או להוסיף מפתח מותאם אישית משלך כדי לעקוף את המגבלה הזו. לא ניתן להשבית את המארח המאובטח במכשירי ARM שבהם פועל Windows RT.
כיצד עובד מאובטח
מחשבים שמגיעים עם Windows 8 ו- Windows 8.1 כוללים קושחה UEFI במקום ה- BIOS המסורתי. כברירת מחדל, הקושחה של UEFI של ההתקן תפעיל רק את מטעני האתחול החתומים על ידי מפתח המשובץ בקושחת UEFI. תכונה זו ידועה בשם "אתחול מאובטח" או "מהימן אתחול". על מחשבים מסורתיים ללא תכונה זו אבטחה, rootkit יכול להתקין את עצמו ולהיות מטעין אתחול. ה- BIOS של המחשב היה לטעון את rootkit בזמן האתחול, אשר היה האתחול לטעון את Windows, מסתיר את עצמה ממערכת ההפעלה הטבעה עצמו ברמה עמוקה.
אתחול מאובטח חוסם את זה - המחשב רק אתחול התוכנה מהימן, כך מטעני האתחול זדוני לא יוכלו להדביק את המערכת.
במחשב Intel x86 (לא במחשבי ARM), יש לך שליטה על אתחול מאובטח. באפשרותך לבחור להשבית אותו או אפילו להוסיף מפתח חתימה משלך. ארגונים יכולים להשתמש במפתחות שלהם כדי להבטיח שרק מערכות הפעלה לינוקס מאושרות יכולות לאתחל, לדוגמה.
אפשרויות להתקנת לינוקס
יש לך כמה אפשרויות להתקנת לינוקס במחשב עם Secure Boot:
- בחר הפצה לינוקס התומכת אתחול מאובטח: גרסאות מודרניות של אובונטו - החל מאובונטו 12.04.2 LTS ו- 12.10 - יאתקנו ויתקינו בדרך כלל ברוב המחשבים עם אפשרות אתחול מאובטח. הסיבה לכך היא כי מטעין האתחול EFI בשלב ראשון של אובונטו נחתם על ידי מיקרוסופט. עם זאת, מפתח Ubuntu מציין כי מטעין האתחול של אובונטו לא חתום עם מפתח זה נדרש על ידי תהליך ההסמכה של מיקרוסופט, אבל פשוט המפתח של מיקרוסופט אומר "מומלץ". משמעות הדבר היא כי אובונטו לא יכול לאתחל על כל המחשבים UEFI. המשתמשים עשויים להשבית את Secure Boot כדי להשתמש ב- Ubuntu במחשבים אישיים מסוימים.
- השבת את אתחול מאובטח: Secure Boot יכול להיות מושבת, אשר יחליף את היתרונות הביטחוניים שלה על היכולת לקבל אתחול המחשב שלך משהו, בדיוק כמו מחשבים ישנים עם ה- BIOS המסורתי לעשות. זה גם הכרחי אם אתה רוצה להתקין גירסה ישנה יותר של Windows שלא פותחה עם Secure Boot בראש, כגון Windows 7.
- הוסף מפתח חתימה לקושחה של UEFI: חלק מהפצות לינוקס עשויות לחתום על מטעני האתחול שלהם באמצעות המפתח שלהם, שאותם ניתן להוסיף לקושחת UEFI. זה לא נראה שכיח כרגע.
אתה צריך לבדוק כדי לראות איזה תהליך ההפצה שלך לינוקס מומלץ. אם עליך לאתחל הפצה לינוקס ישנה יותר שאינה מספקת מידע על כך, עליך פשוט לבטל את אתחול מאובטח.
אתה אמור להיות מסוגל להתקין את הגירסאות הנוכחיות של אובונטו - או לשחרר LTS או את המהדורה האחרונה - ללא כל בעיה על רוב המחשבים החדשים. עיין בסעיף האחרון לקבלת הוראות על אתחול מתוך התקן נשלף.
כיצד לבטל אתחול מאובטח
באפשרותך לשלוט באבטחה מאובטחת ממסך הגדרות הקושחה של UEFI. כדי לגשת למסך זה, יהיה עליך לגשת לתפריט אפשרויות האתחול ב- Windows 8. לשם כך, פתח את סמל ההגדרות - הקש על מקש Windows + I כדי לפתוח אותו - לחץ על לחצן ההפעלה ולאחר מכן לחץ והחזק את המקש Shift כ- אתה לוחץ על הפעלה מחדש.
המחשב יופעל מחדש במסך אפשרויות האתחול המתקדמות. בחר באפשרות פתרון בעיות, בחר אפשרויות מתקדמות ולאחר מכן בחר הגדרות UEFI. (ייתכן שלא תראה את האפשרות 'הגדרות UEFI' בכמה מחשבי Windows 8, גם אם הם מגיעים עם UffI - עיין בתיעוד של היצרן לקבלת מידע על הגעה למסך ההגדרות של UEFI במקרה זה).
תועבר למסך הגדרות UEFI, שבו תוכל לבחור לבטל את אתחול מאובטח או להוסיף מפתח משלך.
אתחול ממדיה נשלפת
באפשרותך לבצע אתחול מתוך מדיה נשלפת על-ידי גישה לתפריט אפשרויות האתחול באותו האופן - הקש Shift תוך כדי לחיצה על האפשרות הפעל מחדש. הכנס את התקן האתחול של הבחירה, בחר השתמש בהתקן ובחר את ההתקן שממנו ברצונך לאתחל.
לאחר אתחול מהתקן הניתן להסרה, באפשרותך להתקין את Linux כרגיל, או פשוט להשתמש בסביבה החיה מהמכשיר הנשלף מבלי להתקין אותו.
זכור כי Secure Boot הוא תכונת אבטחה שימושית. אתה צריך להשאיר את זה מופעלת אלא אם כן אתה צריך להפעיל את מערכות ההפעלה כי לא אתחול עם Secure Boot מופעלת.