Kahjuks takistab see ka mõne Linuxi distributsiooni installimist, mis võib olla üsna lihtne.
Kuidas turvaline käivitamine tagab teie arvuti käivitusprotsessi?
Secure Boot ei ole mõeldud ainult selleks, et muuta Linuxi käitumine keerulisemaks. Turvalise käivitamise võimaldamiseks on tõelised turvalisuse eelised ja isegi Linuxi kasutajad saavad neist kasu saada.
Traditsiooniline BIOS käivitab kõik tarkvara. Arvuti käivitamisel kontrollib see riistvaraseadmeid vastavalt teie seadistatud boot-järjekorrale ja proovib neid käivitada. Tüüpilised arvutid leiavad tavaliselt ja käivitavad Windowsi alglaadurit, mis käivitab kogu Windowsi operatsioonisüsteemi. Kui kasutate Linuxi, otsib BIOS ja käivitab GRUBi alglaadur, mida enamik Linuxi distributsioone kasutab.
Siiski on võimalik alglaadurit asendada pahavara, näiteks rootkit. Rootkit võis teie tavapärase operatsioonisüsteemi laadida ilma, et midagi oleks valesti, jäädes oma süsteemis täiesti nähtamatuks ja tuvastamatuks. BIOS ei tunne pahavara ja usaldusväärse alglaaduriga vahet - see lihtsalt leiab kõik, mida ta leiab.
Secure Boot on mõeldud selle peatamiseks. Windows 8 ja 10 arvutit laevad UEFI-sse salvestatud Microsofti sertifikaadiga. UEFI kontrollib alglaadurit enne selle käivitamist ja tagab Microsofti selle allkirja. Kui rootkit või muu tükk pahavara asendab teie alglaadurit või selle vastu võitleb, ei luba UEFI seda käivitada. See takistab pahavara teie käivitamisprotsessi kaaperdamist ja oma operatsioonisüsteemist varjamist.
Kuidas Microsoft lubab Linuxi distributsioone turvalise käivitusega käivitada
Linuxi distributsioonid on üldjuhul allkirjastatud. Shim on väike boot loader, mis lihtsalt laeb Linuxi põhikomponentide GRUB alglaadurit. Microsofti poolt allkirjastatud kontrollkäivituskinnitused tagavad, et see käivitub Linuxi levialas allkirjastatud alglaaduriga ja seejärel levib tavaliselt Linuxi jaotus.
Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE toetavad praegu Secure Boot'i ja töötavad ilma modifikatsioonideta kaasaegse riistvara. Võib olla teisi, kuid need on need, millest me oleme teadlikud. Mõned Linuxi distributsioonid on filosoofiliselt vastuolus Microsofti allkirjastatud avaldustega.
Kuidas saate turvalist käivitust keelata või seda kontrollida
Secure Boot'i kontrollimiseks on kaks võimalust. Lihtsaim meetod on juhtida UEFI püsivara ja täielikult välja lülitada. UEFI püsivara ei kontrolli, kas olete allkirjastatud alglaadurit käitanud, ja midagi saab käivitada. Saate käivitada mis tahes Linuxi turustamise või isegi installida Windows 7, mis ei toeta Secure Boot'i. Windows 8 ja 10 töötavad hästi, võite lihtsalt kaotada turvalisuse eelised, kuna Secure Boot kaitseb teie käivitamisprotsessi.
Võite veelgi turvalisema käivitamise kohandada. Saate kontrollida, millised allkirjutussertifikaadid tagavad boot-pakkumised. Uute sertifikaatide installimiseks ja olemasolevate sertifikaatide eemaldamiseks on teil vabadus. Näiteks võib organisatsioon, mis käivitas oma arvutites Linuxi, valida Microsofti sertifikaate ja installida selle asemel organisatsiooni enda sertifikaati. Need arvutid käivitavad siis ainult selle konkreetse organisatsiooni poolt heaks kiidetud ja allkirjastatud käivituslaadurid.
Üksikisik võiks seda ka teha - saate oma Linuxi alglaadurit allkirjastada ja tagada, et teie arvuti saaks ainult käivitada laadijaid, mida olete isiklikult koostanud ja allkirjastanud. See on kindel kontroll ja võimsus Secure Boot pakub.
Mida Microsoft vajab PC-tootjad
Microsoft ei nõua ainult seda, et arvutite turustajad lubaksid turvalist käivitusprogrammi, kui tahavad, et nende Windowsi või Windows 8 sertifikaadi kleebis oleks nende arvutis. Microsoft nõuab, et arvutitootjad rakendaksid seda konkreetsel viisil.
Windows 8-arvutite puhul peaksid tootjad andma teile võimaluse turvalise boot välja lülitada. Microsoft nõudis arvutitootjaid, et kasutajate kätte panna turvaline boot-klahvi lüliti.
Windows 10-arvuti jaoks pole see enam kohustuslik. Arvutitootjad võivad lubada turvalise käivitamise ja ei anna kasutajatele võimalust selle välja lülitada. Kuid me ei tea tegelikult ühtegi arvutite tootjat, kes seda teevad.
Samamoodi, kuigi arvuti tootjad peavad sisaldama Microsofti peamist Microsoft Windowsi tootmist PCA-võtit, et Windows saaks käivitada, ei pea nad kaasama Microsoft Corporation UEFI CA-võtit. See teine võti on soovitatav ainult. See on teine vabatahtlik võti, mida Microsoft kasutab Linuxi alglaadurite allkirjastamiseks. Ubuntu dokumentatsioon seda selgitab.
Teisisõnu ei pruugi kõik arvutid kindlasti käivitada allkirjastatud Linuxi distributsioonid, kui Secure Boot on sisse lülitatud. Praktikas pole me näinud ühtegi arvutit, kes seda tegid. Võimalik, et ükski arvuti tootja ei soovi luua ainuüksi sülearvuteid, mida ei saa Linuxi installida.
Praegu peaksid vähemalt tavapärased Windowsi arvutid võimaldama sul turvalist boot välja lülitada, kui soovite, ning peaksid käivitama Microsoft poolt allkirjastatud Linuxi distributsioonid isegi siis, kui te ei blokeeri Secure Boot'i.
Secure Boot ei saa Windows RT-s keelata, kuid Windows RT on surnud
Windows RT-s - Windows 8 versioon ARM riistvarale, mis saadetakse Microsofti Surface RT-i ja Surface 2-le, muude seadmete hulgas - Secure Boot'i ei saa keelata. Täna ei saa Windows 10 Mobile riistvara ikkagi turvalist boot ikkagi keelata - teisisõnu, Windows 10-ga töötavad telefonid.
Sellepärast, et Microsoft soovis, et te arvate ARM-põhistest Windows RT süsteemidest kui "seadetest", mitte arvutitest. Nagu Microsoft ütles Mozillale, ei ole Windows RT enam enam Windowsi.
Kuid Windows RT on nüüd surnud. ARM-riistvara jaoks pole Windows 10 operatsioonisüsteemi versiooni, mistõttu ei pea enam muretsema. Kuid kui Microsoft taastab Windows RT 10 riistvara, ei pruugi see tõenäoliselt turvalist boot seda keelata.
