Laman » bagaimana untuk » Bagaimana Secure Boot Works pada Windows 8 dan 10, dan What It Means for Linux

    Bagaimana Secure Boot Works pada Windows 8 dan 10, dan What It Means for Linux

    PC moden menghantar dengan ciri yang dipanggil "Selamat Boot" yang didayakan. Ini adalah ciri platform di UEFI, yang menggantikan BIOS PC tradisional. Sekiranya pengilang PC mahu meletakkan pelekat logo "Windows 10" atau "Windows 8" ke PC mereka, Microsoft memerlukan mereka untuk mengaktifkan Boot Secure dan ikuti beberapa garis panduan.

    Malangnya, ia juga menghalang anda daripada memasang beberapa pengedaran Linux, yang boleh menjadi masalah.

    Bagaimana Boot Secure Mengamankan Proses Boot PC Anda

    Boot Secure bukan hanya direka untuk membuat Linux berjalan lebih sukar. Terdapat kelebihan keselamatan sebenar untuk membolehkan Boot Secure diaktifkan, dan bahkan pengguna Linux boleh mendapat manfaat daripadanya.

    BIOS tradisional akan boot apa-apa perisian. Apabila anda boot PC anda, ia menyemak peranti perkakasan mengikut urutan butiran yang telah anda konfigurasikan, dan cuba untuk boot dari mereka. PC tipikal biasanya akan mencari dan boot boot loader Windows, yang seterusnya untuk boot sistem operasi Windows penuh. Sekiranya anda menggunakan Linux, BIOS akan mencari dan boot boot loader GRUB, yang mana kebanyakan pengedaran Linux digunakan.

    Bagaimanapun, mungkin malware, seperti rootkit, untuk menggantikan pemuat boot anda. Rootkit boleh memuatkan sistem operasi normal anda tanpa petunjuk apa-apa yang salah, tinggal sepenuhnya tidak dapat dilihat dan tidak dapat dikesan pada sistem anda. BIOS tidak tahu perbezaan antara malware dan boot loader yang dipercayai-hanya butir apa sahaja yang didapati.

    Boot Secure direka untuk menghentikannya. Windows 8 dan 10 PC dihantar dengan sijil Microsoft yang disimpan di UEFI. UEFI akan menyemak pemuat boot sebelum melancarkannya dan memastikan ia ditandatangani oleh Microsoft. Sekiranya rootkit atau sekeping malware lain menggantikan pemuat boot anda atau merosakkannya, UEFI tidak akan membenarkannya boot. Ini menghalang malware daripada merampas proses boot anda dan menyembunyikan dirinya dari sistem operasi anda.

    Bagaimana Microsoft Membenarkan Pengagihan Linux untuk Boot dengan Boot Secure

    Ciri ini, secara teori, hanya direka untuk melindungi daripada perisian hasad. Oleh itu, Microsoft menawarkan cara untuk membantu boot distribusi Linux. Itulah sebabnya beberapa pengedaran Linux moden seperti Ubuntu dan Fedora-akan "hanya berfungsi" pada PC moden, walaupun dengan Boot Secure diaktifkan. Pengagihan Linux boleh membayar yuran satu kali sebanyak $ 99 untuk mengakses portal Microsoft Sysdev, di mana mereka boleh memohon untuk memuat pemuat but pemuat.

    Pengagihan Linux umumnya mempunyai "shim" yang ditandatangani. Shim itu adalah pemuat but penyambung kecil yang hanya butar pengedar Linux utama GRUB boot loader. Pemeriksaan shim yang ditandatangani Microsoft untuk memastikan ia boot pemuat boot yang ditandatangani oleh pengedaran Linux, dan kemudian but penyebaran Linux biasanya.

    Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini menyokong Boot Secure, dan akan berfungsi tanpa sebarang tweak pada perkakasan moden. Mungkin ada orang lain, tetapi ini adalah yang kita sedar. Sesetengah pengagihan Linux secara falsafah menentang pemakaian yang ditandatangani oleh Microsoft.

    Bagaimana Anda Boleh Lumpuhkan atau Mengawal Boot Secure

    Sekiranya itu adalah semua Secure Boot, anda tidak akan dapat menjalankan mana-mana sistem operasi yang tidak diluluskan Microsoft pada PC anda. Tetapi anda mungkin dapat mengawal Boot Secure dari firmware UEFI PC anda, yang seperti BIOS pada PC lama.

    Terdapat dua cara untuk mengawal Boot Secure. Kaedah yang paling mudah adalah menuju ke firmware UEFI dan matikan sepenuhnya. Firmware UEFI tidak akan memastikan untuk menjalankan boot loader yang ditandatangani, dan apa pun akan boot. Anda boleh boot setiap pengedaran Linux atau memasang Windows 7, yang tidak menyokong Boot Secure. Windows 8 dan 10 akan berfungsi dengan baik, anda hanya akan kehilangan kelebihan keselamatan untuk mempunyai Boot Secure yang melindungi proses boot anda.

    Anda juga boleh menyesuaikan Boot Secure. Anda boleh mengawal mana sijil menandatangani tawaran Secure Boot. Anda bebas untuk kedua-dua memasang sijil baru dan mengalih keluar sijil sedia ada. Contohnya, organisasi yang menjalankan Linux pada PCnya boleh memilih untuk mengeluarkan sijil Microsoft dan memasang sijil sendiri di tempatnya. Mereka PC akan hanya boot pemuat boot yang diluluskan dan ditandatangani oleh organisasi tertentu itu.

    Seorang individu boleh melakukannya juga-anda boleh menandatangani pemuat boot Linux anda sendiri dan memastikan PC anda hanya boleh boot pemuat boot yang secara peribadi disusun dan ditandatangani. Itulah jenis kawalan dan kuasa tawaran Boot Secure.

    Apa Microsoft Memerlukan Pengilang PC

    Microsoft tidak hanya memerlukan vendor PC yang membolehkan Boot Secure jika mereka mahu pelekat pensijilan "Windows 10" atau "Windows 8" yang bagus pada PC mereka. Microsoft memerlukan pengilang PC melaksanakannya dengan cara tertentu.

    Untuk Windows 8 PC, pengeluar terpaksa memberi anda cara untuk mengaktifkan Boot Secure. Microsoft memerlukan pengeluar PC untuk meletakkan suis selamatkan Boot selamat di tangan pengguna.

    Untuk Windows 10 PC, ini tidak lagi wajib. Pengilang PC boleh memilih untuk mendayakan Boot Secure dan tidak memberi pengguna cara untuk mematikannya. Walau bagaimanapun, kami tidak menyedari mana-mana pengeluar PC yang melakukan ini.

    Begitu juga, semasa pengilang PC perlu memasukkan kunci utama "Microsoft Windows Production PCA" Microsoft supaya Windows dapat boot, mereka tidak perlu memasukkan kunci "Microsoft Corporation UEFI CA". Kunci kedua ini hanya disyorkan. Ia merupakan pilihan kedua, yang digunakan oleh Microsoft untuk menandatangani pemuat but penyambung Linux. Dokumentasi Ubuntu menerangkan ini.

    Dalam erti kata lain, tidak semua PC semestinya boot telah disalurkan dengan distribusi Linux dengan Secure Boot dihidupkan. Sekali lagi, dalam praktiknya, kita tidak melihat mana-mana PC yang melakukan ini. Mungkin pengeluar PC tidak mahu membuat satu-satunya komputer riba yang anda tidak dapat memasang Linux.

    Buat masa ini, sekurang-kurangnya, PC Windows arus perdana akan membolehkan anda untuk mematikan Boot Secure jika anda suka, dan mereka harus boot distribusi Linux yang telah ditandatangani oleh Microsoft walaupun anda tidak mematikan Boot Secure.

    Boot Secure Tidak Boleh Dinyahaktifkan pada Windows RT, tetapi Windows RT adalah Dead

    Semua perkara di atas adalah benar untuk sistem operasi Windows 8 dan 10 standard pada perkakasan Intel x86 standard. Ia berbeza untuk ARM.

    Pada Windows RT-versi Windows 8 untuk perkakasan ARM, yang dihantar pada Surface RT dan Surface 2 Microsoft, antara peranti lain-Boot Secure tidak dapat dilumpuhkan. Hari ini, Boot Secure masih tidak boleh dilumpuhkan pada Windows 10 Peranti mudah alih-dengan kata lain, telefon yang menjalankan Windows 10.

    Itu kerana Microsoft mahu anda memikirkan sistem Windows RT berasaskan ARM sebagai "peranti," bukan PC. Seperti kata Microsoft kepada Mozilla, Windows RT "bukan Windows lagi."

    Walau bagaimanapun, Windows RT kini sudah mati. Tidak ada versi sistem operasi desktop Windows 10 untuk perkakasan ARM, jadi ini bukan sesuatu yang perlu anda bimbangkan lagi. Tetapi, jika Microsoft tidak membawa perkakasan Windows RT 10, anda mungkin tidak akan dapat mematikan Boot Secure di atasnya.

    Kredit Imej: Pangkalan Duta, John Bristowe