Kaip saugūs įkrovos darbai atliekami „Windows 8“ ir „10“ ir „kas tai reiškia„ Linux “
Šiuolaikiniai kompiuteriai įjungia funkciją, vadinamą „saugiu įkrovimu“. Tai platformos funkcija UEFI, kuri pakeičia tradicinę kompiuterio BIOS. Jei kompiuterio gamintojas nori į savo kompiuterį įdėti „Windows 10“ arba „Windows 8“ logotipo lipduką, „Microsoft“ reikalauja, kad jie įgalintų saugų įkrovą ir laikytųsi kai kurių gairių.
Deja, ji taip pat neleidžia diegti kai kurių „Linux“ platinimų, kurie gali būti gana sunkūs.
Kaip saugus įkrovimas apsaugo jūsų kompiuterio įkrovos procesą
„Secure Boot“ nėra sukurta taip, kad būtų sunkiau paleisti „Linux“. Yra tikri saugumo privalumai, kai įgalinta „Secure Boot“, ir net „Linux“ naudotojai gali jais naudotis.
Tradicinė BIOS paleidžia bet kokią programinę įrangą. Paleidus kompiuterį, jis tikrina aparatūros įrenginius pagal sukonfigūruotą tvarką ir bando juos paleisti. Paprastai kompiuteriai paprastai randa ir įkelia „Windows“ įkrovos įkroviklį, kuris įjungia visą „Windows“ operacinę sistemą. Jei naudojate „Linux“, „BIOS“ suras ir paleis GRUB įkrovos krautuvą, kurį naudoja dauguma „Linux“ platinimo programų.
Tačiau kenkėjiškų programų, pvz., Rootkit, gali pakeisti savo įkrovos krautuvą. „Rootkit“ gali įkelti jūsų įprastą operacinę sistemą be jokios nuorodos, kad nieko blogo, jūsų sistemoje likti visiškai nematomas ir neaptinkamas. BIOS nežino skirtumo tarp kenkėjiškų programų ir patikimų įkrovos krautuvų - tai tik batai, ką ji nustato.
Saugi įkrovos programa skirta tai sustabdyti. „Windows 8“ ir „10“ kompiuteriai su „Microsoft“ sertifikatu saugomi UEFI. „UEFI“ prieš paleidžiant jį patikrins įkrovos krautuvą ir užtikrins, kad ją pasirašytų „Microsoft“. Jei rootkit ar kita kenkėjiškų programų dalis pakeičia jūsų įkrovos krautuvą arba jį sugadina, UEFI neleis jam paleisti. Tai neleidžia kenkėjiškų programų užgrobti jūsų įkrovos proceso ir paslėpti save nuo operacinės sistemos.
Kaip „Microsoft“ leidžia „Linux Distribution“ paleisti su „Secure Boot“
Ši funkcija teoriškai yra skirta apsaugoti nuo kenkėjiškų programų. Taigi „Microsoft“ siūlo būdą, kaip padėti „Linux“ platinimui. Štai kodėl kai kurie šiuolaikiniai „Linux“ paskirstymai, kaip „Ubuntu“ ir „Fedora“, „tiesiog dirbs“ šiuolaikiniuose kompiuteriuose, net jei įgalinta „Secure Boot“. „Linux“ platinimas gali sumokėti vienkartinį 99 JAV dolerio mokestį, kad galėtumėte pasiekti „Microsoft Sysdev“ portalą, kur jie gali kreiptis dėl savo „boot“ krautuvų pasirašymo.
„Linux“ platinimuose paprastai yra „shim“. Plokštelė yra mažas įkrovos krautuvas, kuris paprasčiausiai įjungia pagrindinį „Linux“ paskirstymo GRUB įkrovos krautuvą. „Microsoft“ pasirašytas „shim“ patikrina, ar jis paleistas „Linux“ platintojo pasirašytą įkrovos krautuvą, o tada „Linux“ platinimo batai paprastai įsijungia.
„Ubuntu“, „Fedora“, „Red Hat Enterprise Linux“ ir „openSUSE“ šiuo metu palaiko „Secure Boot“ ir veikia be jokių šiuolaikinės techninės įrangos. Gali būti ir kitų, tačiau apie tai žinome. Kai kurie Linux platinimai yra filosofiškai nepritaria „Microsoft“ pasirašymui.
Kaip galite išjungti arba valdyti saugų įkrovą
Jei tai buvo „Secure Boot“, jūsų kompiuteryje negalėsite paleisti jokios patvirtintos „Microsoft“ operacinės sistemos. Tačiau tikriausiai galite kontroliuoti „Secure Boot“ iš kompiuterio „UEFI“ programinės įrangos, kuri yra panaši į senesnių kompiuterių BIOS.
Yra du būdai, kaip valdyti „Secure Boot“. Paprasčiausias būdas yra eiti į UEFI programinę įrangą ir visiškai išjungti. UEFI aparatinė programinė įranga netikrins, ar naudojate pasirašytą įkrovos krautuvą, ir viskas bus paleista. Galite paleisti bet kokį „Linux“ platinimą arba net įdiegti „Windows 7“, kuri nepalaiko „Secure Boot“. „Windows 8“ ir „10“ veiks gerai, tik prarandate „Secure Boot“ apsaugos privalumus.
Taip pat galite toliau pritaikyti „Secure Boot“. Galite kontroliuoti, kurie pasirašymo sertifikatai yra saugūs. Galite laisvai įdiegti naujus sertifikatus ir pašalinti esamus sertifikatus. Pavyzdžiui, organizacija, kuri savo kompiuteryje vadovavo „Linux“, galėjo pašalinti „Microsoft“ sertifikatus ir įdiegti savo pačios organizacijos sertifikatą. Tada šie kompiuteriai tik įkrovos įkrovos krautuvus, patvirtintus ir pasirašytus tos konkrečios organizacijos.
Asmuo galėtų tai padaryti, taip pat galėtumėte pasirašyti savo „Linux“ įkroviklį ir įsitikinti, kad jūsų kompiuteris gali paleisti tik įkrovos krautuvus, kuriuos asmeniškai surašėte ir pasirašėte. Tai yra tokio tipo kontrolės ir galios saugaus paleidimo pasiūlymai.
Ką Microsoft reikalauja kompiuterių gamintojų
„Microsoft“ ne tik reikalauja, kad „PC“ tiekėjai įgalintų „Secure Boot“, jei nori, kad „PC 10“ arba „Windows 8“ sertifikavimo lipdukas būtų ant jų kompiuterių. „Microsoft“ reikalauja, kad kompiuterių gamintojai ją įgyvendintų konkrečiu būdu.
„Windows 8“ kompiuteriams gamintojai turėjo suteikti jums galimybę išjungti „Secure Boot“. „Microsoft“ reikalavo, kad kompiuterių gamintojai įjungtų „Secure Boot Kill“ jungiklį naudotojų rankose.
„Windows 10“ kompiuteriams tai nėra privaloma. Kompiuterių gamintojai gali pasirinkti įgalinti „Secure Boot“ ir nesuteikti vartotojams galimybės jį išjungti. Tačiau mes nežinome jokių kompiuterių gamintojų, kurie tai daro.
Panašiai, nors kompiuterių gamintojai turi įtraukti „Microsoft“ pagrindinį „Microsoft Windows gamybos PCA“ klavišą, kad „Windows“ galėtų paleisti, jie neturi įtraukti „Microsoft Corporation UEFI CA“ klavišo. Šis antrasis raktas rekomenduojamas. Tai antras, neprivalomas raktas, kurį „Microsoft“ naudoja „Linux“ įkrovos krautuvams pasirašyti. Tai paaiškina Ubuntu dokumentacija.
Kitaip tariant, ne visi kompiuteriai būtinai pradės pasirašyti „Linux“ platinimus su „Secure Boot“. Vėlgi, praktikoje mes nematėme jokių kompiuterių, kurie tai padarė. Galbūt nė vienas kompiuterio gamintojas nenori padaryti vienintelės nešiojamųjų kompiuterių linijos, kurių negalite įdiegti „Linux“.
Dabar, bent jau, pagrindiniai „Windows“ kompiuteriai turėtų leisti jums išjungti saugų įkrovą, jei norite, ir jie turėtų paleisti „Linux“ platinimus, kuriuos pasirašė „Microsoft“, net jei neleidžiate saugios įkrovos.
„Windows RT“ negali būti išjungta „Secure Boot“, tačiau „Windows RT“ yra „Dead“
Visa tai pasakytina apie standartines „Windows“ 8 ir 10 operacines sistemas standartinėje „Intel x86“ aparatūroje. Tai skiriasi ARM.
„Windows RT“ - „Windows 8“ versija, skirta „ARM“ aparatinei įrangai, kuri buvo pristatyta „Microsoft Surface RT“ ir „Surface 2“, be kitų įrenginių, „Secure Boot“ negali būti išjungta. Šiandien „Secure Boot“ vis dar negali būti išjungta „Windows 10 Mobile“ aparatinėje įrangoje, kitaip tariant, telefonuose, kuriuose veikia „Windows 10“.
Taip yra todėl, kad „Microsoft“ norėjo, kad jūs galvotumėte apie „ARM“ pagrįstas „Windows RT“ sistemas kaip „įrenginius“, o ne kompiuterius. Kaip „Microsoft“ pasakė „Mozilla“, „Windows RT“ nebėra „Windows“.
Tačiau „Windows RT“ dabar yra miręs. „ARM“ aparatinei įrangai nėra jokios „Windows 10“ darbalaukio operacinės sistemos versijos, taigi tai ne ką reikia nerimauti. Tačiau, jei „Microsoft“ atneš „Windows RT 10“ aparatinę įrangą, greičiausiai negalėsite išjungti „Secure Boot“.
Vaizdo kreditas: Ambasadoriaus bazė, John Bristowe