Deja, ji taip pat neleidžia jums įdiegti kai kurių "Linux" paskirstymų, o tai gali būti gana varginanti problema.
Kaip saugus paleidimas užtikrina kompiuterio paleidimo procesą
Secure Boot yra ne tik sukurta siekiant, kad "Linux" veiktų sunkiau. Turi tikrų saugumo pranašumų, kad būtų įjungta "Secure Boot", ir netgi "Linux" vartotojai gali jiems pasinaudoti.
Tradicinė BIOS paleis bet kokią programinę įrangą. Kai paleisite savo kompiuterį, jis tikrina aparatūros įrenginius pagal jūsų sukonfigūruotą paleidimo tvarką ir bando paleisti iš jų. Tipiniai kompiuteriai paprastai randa ir paleidžia "Windows" įkroviklį, kuris paleidžia visą "Windows" operacinę sistemą. Jei naudosite Linux, BIOS suras ir paleis GRUB įkrovos programą, kurią naudoja dauguma Linux distribucijų.
Tačiau kenkėjiška programa, pvz., Rootkit, gali pakeisti įkrovos tvarkyklę. Rootkitė gali įkelti įprastą operacinę sistemą be jokio nurodymo, kad nieko nebūtų klaidingas, visai nematydamas ir neaptinkamas jūsų sistemoje. BIOS nežino skirtumo tarp kenkėjiškos programinės įrangos ir patikimo įkrovos tvarkyklės - ji tik įkūnija viską, ką ji randa.
Secure Boot yra skirtas tai sustabdyti. "Windows 8" ir 10 "kompiuterių" siunčiami kartu su "Microsoft" sertifikatu, saugomu UEFI. Prieš paleidžiant UEFI patikrins pakrovimo įrenginį ir užtikrins, kad jį pasirašytų "Microsoft". Jei rootkitas ar kitas kenkėjiškų programų dalis pakeičia jūsų įkrovos tvarkyklę arba ją sugadina, UEFI neleidžia jai paleisti. Tai neleidžia kenkėjiškoms programoms užgrobti paleidimo proceso ir nuslėpti save nuo operacinės sistemos.
Kaip "Microsoft" leidžia "Linux" paskirstymui paleisti naudojant saugią įkėlimo programą
Linux distribucijos paprastai yra pasirašytos. "Shim" yra mažas įkroviklis, kuris paprastai paleidžia pagrindinius "GRUB" įkrovos įrenginius. "Microsoft" pasirašyta apkrova tikrina, ar paleidžiamas įkroviklis, kurį pasirašo "Linux" paskirstymas, ir paprastai "Linux" paskirstymo batai.
"Ubuntu", "Fedora", "Red Hat Enterprise Linux" ir "openSUSE" šiuo metu palaiko "Secure Boot" ir dirbs be jokių šiuolaikinės įrangos patobulinimų. Gali būti kitų, bet tai mes žinome. Kai kurie "Linux" paskirstymai filosofiškai prieštarauja tam, kad "Microsoft" būtų pasirašyta.
Kaip galite išjungti arba kontroliuoti saugų paleidimą
Yra du būdai, kaip valdyti "Secure Boot". Lengviausias būdas yra eiti į UEFI programinę įrangą ir visiškai išjungti. UEFI programinė įranga nebus patikrinta, ar naudojate pasirašytą įkrovos tvarkyklę, ir viskas bus paleista. Galite paleisti bet kokį "Linux" platinimą ar net įdiegti "Windows 7", kuris nepalaiko "Secure Boot". "Windows 8" ir "10" veiks gerai, jūs tiesiog prarasite saugumo pranašumus, kad "Secure Boot" apsaugotų paleidimo procesą.
Galite taip pat galite toliau tinkinti "Secure Boot". Galite valdyti, kurie parašo sertifikatai yra saugūs. Galite nemokamai įdiegti naujus sertifikatus ir pašalinti esamus sertifikatus. Pavyzdžiui, organizacija, kuri paleido "Linux" savo asmeniniuose kompiuteriuose, galėjo nuspręsti pašalinti "Microsoft" sertifikatus ir įdiegti savo organizacijos sertifikatą savo vietoje. Tie kompiuteriai tik paleidžia įkrovos krautuvus, kuriuos patvirtino ir pasirašė ta konkreti organizacija.
Tai taip pat galėtų padaryti asmuo. Galite pasirašyti savo "Linux" įkrovos programą ir įsitikinti, kad jūsų kompiuteris gali įkelti tik asmeniškai surinktus ir pasirašytus įkėlimo įrenginius. Tai valdymo ir galios "Secure Boot" pasiūlymai.
Ką Microsoft reikalauja iš kompiuterių gamintojų
"Microsoft" ne tik reikalauja, kad PC pardavėjai įjungtų "Secure Boot", jei nori, kad jų kompiuteriuose būtų toks "Windows 10" arba "Windows 8" sertifikavimo lipdukas. "Microsoft" reikalauja, kad kompiuterių gamintojai jį įgyvendintų konkrečiu būdu.
"Windows 8" kompiuteriams gamintojai turėjo pateikti būdą išjungti "Secure Boot". "Microsoft" reikalavo, kad kompiuterių gamintojai naudotojų rankose įdiegtų "Secure Boot kill" jungiklį.
"Windows 10" kompiuteriams tai nebėra privaloma. Kompiuterių gamintojai gali pasirinkti įjungti saugią įkėlą, o ne suteikti vartotojams galimybę jį išjungti. Tačiau mes nežinome apie bet kokius kompiuterio gamintojus, kurie tai daro.
Panašiai, nors kompiuterių gamintojai turi įtraukti "Microsoft" pagrindinį "Microsoft Windows Production PCA" raktą, kad "Windows" galėtų įkelti, jie neturi įtraukti "Microsoft Corporation UEFI CA" raktą. Šis antrasis raktas yra rekomenduojamas tik. Tai antrasis neprivalomas raktas, kurį "Microsoft" naudoja pasirašius Linux įkrovos krautuvams. Ubuntu dokumentai tai paaiškina.
Kitaip tariant, ne visi kompiuteriai būtinai paleidžia pasirašytus "Linux" paskirstymus su "Secure Boot" įjungta. Vėlgi, praktiškai mes nematėme jokių kompiuterių, kurie tai padarė. Galbūt nė vienas kompiuterio gamintojas nenori sukurti vienintelės nešiojamųjų kompiuterių linijos, dėl kurios negalėsite įdiegti "Linux".
Šiuo metu, bent jau pagrindiniai "Windows" kompiuteriai turėtų leisti jums išjungti "Secure Boot", jei jums patinka, ir jie turėtų paleisti "Linux" paskirstymus, kuriuos pasirašė "Microsoft", net jei išjungsite "Secure Boot".
Secure Boot negalima išjungti Windows RT, bet Windows RT yra negyvas
"Windows RT" - "Windows 8" versija, skirta "ARM" aparatinei įrangai, kuri buvo išsiųsta "Microsoft Surface RT" ir "Surface 2", be kitų įrenginių negalima išjungti "Secure Boot". Šiandien "Secure Boot" vis dar negalima išjungti "Windows 10" mobiliajame įrenginyje, kitaip tariant, telefonuose, kuriuose veikia "Windows 10".
Taip yra todėl, kad "Microsoft" norėjo, kad jūs manote apie "ARM" pagrįstas "Windows RT" sistemas kaip "įrenginius", o ne į kompiuterius. Kaip "Microsoft" pasakė "Mozilla", "Windows RT" nebėra "Windows".
Tačiau "Windows RT" dabar yra negyvas. Nėra "Windows 10" operacinės sistemos "ARM" aparatinės įrangos versijos, taigi tai nėra kažkas, dėl ko jūs jau turite nerimauti. Tačiau, jei "Microsoft" grąžins "Windows RT 10" aparatinę įrangą, tikriausiai negalėsite išjungti "Secure Boot".
