Jak bezpieczne uruchamianie działa w systemie Windows 8 i 10 oraz co to oznacza dla systemu Linux
Współczesne komputery wyposażone są w funkcję zwaną "Bezpieczne uruchamianie". Jest to funkcja platformy w UEFI, która zastępuje tradycyjny BIOS komputera. Jeśli producent komputera chce umieścić na swoim komputerze naklejkę z logo "Windows 10" lub "Windows 8", Microsoft wymaga włączenia opcji Bezpiecznego rozruchu i przestrzegania wskazówek.
Niestety, uniemożliwia także instalację niektórych dystrybucji Linuksa, co może być dość kłopotliwe.
Jak bezpieczny rozruch zabezpiecza proces rozruchu komputera
Bezpieczne uruchamianie nie jest zaprojektowane tylko w celu utrudnienia działania systemu Linux. Korzystanie z Bezpiecznego rozruchu ma wiele zalet, a nawet użytkownicy Linuksa mogą z nich korzystać.
Tradycyjny BIOS uruchomi każde oprogramowanie. Po uruchomieniu komputera sprawdza on urządzenia sprzętowe zgodnie z skonfigurowaną kolejnością rozruchu i próbuje uruchomić się z nich. Typowe komputery zwykle znajdują i uruchamiają program ładujący systemu Windows, który uruchamia pełny system operacyjny Windows. Jeśli używasz Linuksa, BIOS odnajdzie i uruchomi program ładujący GRUB, którego używa większość dystrybucji Linuksa.
Jednak złośliwe oprogramowanie, takie jak rootkit, może zastąpić program rozruchowy. Rootkit może załadować twój normalny system operacyjny bez żadnego wskazania, że coś jest nie tak, pozostając całkowicie niewidocznym i niewykrywalnym w twoim systemie. BIOS nie zna różnicy między złośliwym oprogramowaniem a zaufanym programem rozruchowym - po prostu uruchamia to, co znajdzie.
Bezpieczny rozruch ma na celu zatrzymanie tego. Windows 8 i 10 komputerów PC są dostarczane z certyfikatem Microsoft przechowywanym w UEFI. UEFI sprawdzi moduł ładujący przed uruchomieniem go i upewni się, że jest podpisany przez Microsoft. Jeśli rootkit lub inny złośliwy program zastąpi twój program ładujący lub narusza go, UEFI nie pozwoli na jego uruchomienie. Zapobiega to przechwytywaniu złośliwego oprogramowania przez proces rozruchu i ukrywaniu się przed systemem operacyjnym.
W jaki sposób Microsoft zezwala na dystrybucje Linuksa do rozruchu przy użyciu bezpiecznego rozruchu
Ta funkcja jest teoretycznie zaprojektowana w celu ochrony przed złośliwym oprogramowaniem. Tak więc Microsoft oferuje sposób, aby pomóc w uruchomieniu dystrybucji Linuksa. Dlatego niektóre współczesne dystrybucje Linuksa - takie jak Ubuntu i Fedora - będą "działać" na nowoczesnych komputerach, nawet przy włączonym Bezpiecznym uruchomieniu. Dystrybucje Linuksa mogą płacić jednorazową opłatę w wysokości 99 USD za dostęp do portalu Microsoft Sysdev, gdzie mogą ubiegać się o podpisanie ich bootloadera.
Dystrybucje systemu Linux mają zwykle podpisaną "shim". Shim to mały program ładujący, który po prostu uruchamia główny program ładujący GRUB dystrybucji dystrybucyjnej. Podpisana przez Microsoft podkładka sprawdza, czy ładuje bootloadera podpisanego przez dystrybucję Linuksa, a następnie dystrybucja Linuksa uruchamia się normalnie.
Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE obsługują obecnie Bezpieczne uruchamianie i będą działać bez żadnych ulepszeń na nowoczesnym sprzęcie. Mogą istnieć inne, ale te są nam znane. Niektóre dystrybucje Linuksa są filozoficznie przeciwne ubieganiu się o podpisanie przez Microsoft.
Jak można wyłączyć lub kontrolować bezpieczne uruchamianie
Gdyby to było wszystko, co zrobiłby Bezpieczny rozruch, nie byłbyś w stanie uruchomić na swoim komputerze żadnego systemu operacyjnego zatwierdzonego przez firmę Microsoft. Ale prawdopodobnie możesz kontrolować Bezpieczne uruchamianie z oprogramowania układowego UEFI twojego komputera, które przypomina system BIOS na starszych komputerach.
Istnieją dwa sposoby kontrolowania bezpiecznego rozruchu. Najprostszą metodą jest przejście do oprogramowania układowego UEFI i całkowite wyłączenie go. Oprogramowanie układowe UEFI nie sprawdzi, czy uruchomiony jest podpisany program ładujący, a wszystko zostanie uruchomione. Możesz uruchomić dowolną dystrybucję Linuksa, a nawet zainstalować system Windows 7, który nie obsługuje bezpiecznego rozruchu. Windows 8 i 10 będą działały dobrze, po prostu stracisz zalety bezpieczeństwa związane z zabezpieczeniem rozruchu przez Secure Boot.
Możesz także dodatkowo dostosować bezpieczny rozruch. Możesz kontrolować, które certyfikaty podpisywania Bezpieczne oferty rozruchowe. Możesz zarówno zainstalować nowe certyfikaty, jak i usunąć istniejące certyfikaty. Na przykład organizacja, która uruchomiła Linuksa na swoich komputerach, może usunąć certyfikaty Microsoft i zainstalować w tym miejscu własny certyfikat organizacji. Te komputery będą wtedy tylko uruchamiać boot loader, zatwierdzony i podpisany przez tę konkretną organizację.
Może to również zrobić osoba fizyczna - możesz podpisać własny program ładujący systemu Linux i upewnić się, że twój komputer może jedynie uruchamiać program ładujący, który osobiście skompilowałeś i podpisałeś. To rodzaj kontroli i mocy, które oferuje Secure Boot.
Co Microsoft wymaga od producentów komputerów
Microsoft nie wymaga od dostawców komputerów tylko włączenia bezpiecznego rozruchu, jeśli chcą mieć na swoich komputerach ładne naklejki "Windows 10" lub "Windows 8". Firma Microsoft wymaga od producentów komputerów osobistych wdrożenia go w określony sposób.
W przypadku komputerów z systemem Windows 8 producenci musieli dać ci sposób na wyłączenie Bezpiecznego rozruchu. Firma Microsoft wymagała od producentów komputerów umieszczania przełącznika zabez- pieczającego Bezpieczne uruchamianie w rękach użytkowników.
W przypadku komputerów z systemem Windows 10 nie jest to już obowiązkowe. Producenci komputerów mogą włączyć opcję Bezpiecznego rozruchu i nie dać użytkownikom sposobu na wyłączenie go. Jednak właściwie nie jesteśmy świadomi producentów komputerów, którzy to robią.
Podobnie, podczas gdy producenci komputerów muszą zawierać klucz Microsoftu "Microsoft Windows Production PCA", aby Windows mógł się uruchomić, nie muszą zawierać klucza "Microsoft Corporation UEFI CA". Ten drugi klucz jest zalecany tylko. Jest to drugi, opcjonalny klucz, którego używa Microsoft do podpisywania programów ładujących system Linux. Dokumentacja Ubuntu wyjaśnia to.
Innymi słowy, nie wszystkie komputery PC będą musiały uruchamiać podpisane dystrybucje systemu Linux z włączonym Bezpiecznym uruchomieniem. Ponownie, w praktyce nie widzieliśmy żadnych komputerów, które to zrobiły. Być może żaden producent komputerów PC nie chce stworzyć jedynej linii laptopów, na których nie można zainstalować Linuksa.
Na razie przynajmniej mainstreamowe komputery PC powinny pozwolić na wyłączenie bezpiecznego rozruchu, jeśli chcesz, i powinny uruchamiać dystrybucje Linuksa, które zostały podpisane przez Microsoft, nawet jeśli nie wyłączysz bezpiecznego rozruchu.
Nie można wyłączyć bezpiecznego rozruchu w systemie Windows RT, ale system Windows RT nie działa
Wszystkie powyższe są prawdziwe w przypadku standardowych systemów operacyjnych Windows 8 i 10 na standardowym sprzęcie Intel x86. Dla ARM jest inaczej.
W systemie Windows RT - wersja systemu Windows 8 dla sprzętu ARM, która została dostarczona na powierzchniach Surface RT i Surface 2 firmy Microsoft, między innymi urządzeniami - nie można wyłączyć bezpiecznego rozruchu. Obecnie Secure Boot nadal nie może być wyłączony na sprzęcie Windows 10 Mobile - innymi słowy, telefony z systemem Windows 10.
Dzieje się tak, ponieważ Microsoft chciał, abyś myślał o systemach Windows RT opartych na ARM jako "urządzeniach", a nie komputerach. Jak Microsoft powiedział Mozilli, Windows RT "nie jest już Windowsem."
Jednak system Windows RT jest już martwy. Nie ma wersji systemu operacyjnego Windows 10 dla sprzętu ARM, więc nie musisz się już o to martwić. Ale jeśli Microsoft przywróci sprzęt Windows RT 10, prawdopodobnie nie będzie w stanie wyłączyć Bezpiecznego rozruchu.
Image Credit: Ambassador Base, John Bristowe