Valitettavasti se estää myös asentamasta joitain Linux-jakeluja, mikä voi olla varsin haastavaa.
Kuinka turvallinen käynnistys suojaa tietokoneesi käynnistysprosessia
Secure Boot ei ole vain suunniteltu tekemään käynnissä olevan Linuxin vaikeammaksi. On olemassa todelliset turvallisuusetuja Secure Bootin käyttöönotossa, ja jopa Linux-käyttäjät voivat hyötyä niistä.
Perinteinen BIOS käynnistää minkä tahansa ohjelmiston. Kun käynnistät tietokoneen, se tarkistaa laitteistolaitteet konfiguroidun käynnistysjärjestyksen mukaan ja yrittää käynnistää tietokoneen. Tyypilliset tietokoneet tavallisesti etsivät ja käynnistävät Windowsin käynnistyslataimen, joka käynnistää koko Windows-käyttöjärjestelmän. Jos käytät Linuxia, BIOS löytää ja käynnistää GRUB: n käynnistyslataimen, jota useimmat Linux-jakelut käyttävät.
On kuitenkin mahdollista, että haittaohjelmat, kuten rootkit, voivat korvata käynnistyslataimen. Rootkit voi ladata normaalin käyttöjärjestelmän ilman merkkejä siitä, että mitään ei olisi vikaa, pysyttelemättä täysin näkymätöntä ja huomaamatonta järjestelmässäsi. BIOS ei tiedä eroa haittaohjelmien ja luotettavan käynnistyslataimen välillä - se käynnistyy vain, mitä se löytää.
Secure Boot on suunniteltu pysäyttämään tämän. Windows 8 ja 10 tietokonetta toimitetaan UEFI: n tallennetulla Microsoftin sertifikaatilla. UEFI tarkistaa käynnistyslataimen ennen sen käynnistämistä ja varmistaa, että Microsoft on allekirjoittanut sen. Jos rootkit tai muu haittaohjelma korvaa käynnistyslataimen tai muuttaa sitä, UEFI ei salli sen käynnistämistä. Tämä estää haittaohjelmat kaappaamalla käynnistysprosessin ja salaamalla itsesi käyttöjärjestelmästäsi.
Miten Microsoft sallii Linux-jakeluohjelmat käynnistymään turvallisella käynnistyksellä?
Tämä ominaisuus on teoriassa juuri suunniteltu suojaamaan haittaohjelmilta. Joten Microsoft tarjoaa mahdollisuuden Linux-jakelujen käynnistämiseen joka tapauksessa. Siksi jotkut nykyaikaiset Linux-jakelut, kuten Ubuntu ja Fedora, "toimivat" vain nykyaikaisilla tietokoneilla, vaikka Secure Boot -toiminto olisi käytössä. Linux-jakeluilla voi maksaa kertaluontoisen 99 dollarin maksun Microsoft Sysdev -portaalia varten, jossa he voivat hakea käynnistyskuormaajiensa allekirjoittamista.
Linux-jakeluilla on yleensä "shim" allekirjoitettu. Shim on pieni käynnistyslataaja, joka yksinkertaisesti käynnistää Linux-jakelut tärkeimmän GRUB-käynnistyslataimen. Microsoftin allekirjoittamat shim-tarkistukset varmistavat, että se käynnistää Linux-jakelun allekirjoittaman käynnistyslataimen ja sitten Linux-jakelu käynnistyy normaalisti.
Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE tukevat nykyään turvallista käynnistystyötä ja toimivat ilman nykyaikaisen laitteiston parannuksia. Voi olla muita, mutta nämä ovat ne, joista me olemme tietoisia. Jotkut Linux-jakelut filosofisesti vastustavat Microsoftin allekirjoittamista.
Miten voit estää tai hallita turvallista käynnistystä
Suojattu käynnistys voidaan hallita kahdella tavalla. Helpoin tapa on päästä UEFI-laiteohjelmistoon ja poistaa se käytöstä kokonaan. UEFI-laiteohjelmisto ei tarkista, että olet käynnistänyt allekirjoitetun käynnistyslataimen ja kaikki käynnistyy. Voit käynnistää minkä tahansa Linux-jakelun tai jopa asentaa Windows 7: n, joka ei tue Secure Bootia. Windows 8 ja 10 toimivat hyvin, menetät tietoturvaominaisuudet siitä, että Secure Boot suojaa käynnistysprosessia.
Voit myös muokata Secure Boot -ominaisuutta. Voit hallita allekirjoitustodistuksia Secure Boot tarjoaa. Voit vapaasti asentaa uusia sertifikaatteja ja poistaa olemassa olevat varmenteet. Esimerkiksi organisaatio, joka johti Linuxin tietokoneisiinsa, voi halutessaan poistaa Microsoftin sertifikaatit ja asentaa organisaation oman varmenteen sen sijaan. Nämä tietokoneet käynnistäisivät sitten vain käynnistyskuormaimet, jotka kyseinen organisaatio hyväksyi ja allekirjoitti.
Yksilö voisi myös tehdä tämän - voit allekirjoittaa oman Linux-käynnistyslataimen ja varmistaa, että tietokoneesi voi käynnistää vain käynnistyskuormaimet, jotka olet henkilökohtaisesti koonnut ja allekirjoittanut. Se on sellainen valvonta ja teho Secure Boot tarjoaa.
Mitä Microsoft tarvitsee tietokoneiden valmistajilta
Microsoft ei edellytä vain, että PC-toimittajat mahdollistavat Secure Bootin, jos he haluavat, että heidän mukavansa "Windows 10" tai "Windows 8" -sertifikaatti tarra PC: ssä. Microsoft edellyttää, että PC-valmistajat toteuttavat sen tiettyyn tapaan.
Windows 8 -tietokoneissa valmistajien oli annettava sinulle keinot ottaa käyttöön turvallinen käynnistys. Microsoft tarvitsi PC: n valmistajat asettamaan Secure Boot kill -kytkimen käyttäjien käsissä.
Windows 10 -tietokoneissa tämä ei ole enää pakollinen. Tietokoneenvalmistajat voivat ottaa käyttöön Secure Boot -toiminnon eikä antaa käyttäjille mahdollisuutta poistaa se käytöstä. Emme kuitenkaan tottele mitään tietokoneen valmistajista, jotka tekevät tämän.
Samalla kun tietokoneen valmistajien on sisällytettävä Microsoftin tärkein "Microsoft Windows Production PCA" -avain, jotta Windows voi käynnistää, heidän ei tarvitse sisällyttää "Microsoft Corporation UEFI CA" -avainta. Tätä toista näppäintä suositellaan vain. Se on toinen, valinnainen avain, jota Microsoft käyttää allekirjoittamaan Linux-käynnistyskuormaimia. Ubuntun dokumentaatio selittää tämän.
Toisin sanoen, kaikki tietokoneet eivät välttämättä käynnistä allekirjoitettuja Linux-jakeluja, kun Secure Boot on päällä. Jälleen käytännössä emme ole nähneet mitään tietokoneita, jotka tekivät niin. Ehkä mikään tietokoneen valmistaja ei halua tehdä ainoaa kannettavaa tietokonetta, jota Linux ei voi asentaa.
Tällöin ainakin pääkäyttäjien Windows-tietokoneiden pitäisi antaa sinun estää Secure Boot, jos haluat, ja heidän pitäisi käynnistää Linux-jakelut, jotka Microsoft on allekirjoittanut, vaikka et poista Secure Boot -toimintoa.
Suojattu käynnistys ei onnistunut Windows RT: ssä, mutta Windows RT on kuollut
Windows RT: ssä, Windows 8: n ARM-laitteistosta, joka toimitettiin Microsoftin Surface RT: lle ja Surface 2: lle, muiden laitteiden-Secure Bootia ei voitu poistaa käytöstä. Nykyään Secure Bootia ei voida vieläkään estää Windows 10 Mobile -laitteistolla - toisin sanoen puhelimissa, jotka käyttävät Windows 10: ta.
Siksi Microsoft halusi sinun ajatella ARM-pohjaisia Windows RT -järjestelmiä "laitteiksi", ei tietokoneiksi. Kuten Microsoft kertoi Mozillalle, Windows RT "ei ole enää Windows."
Windows RT on kuitenkin kuollut. ARM-laitteistossa ei ole versiota Windows 10 -työpöydän käyttöjärjestelmästä, joten sinun ei tarvitse enää huolehtia siitä. Jos Microsoft kuitenkin palauttaa Windows RT 10 -laitteiston, et todennäköisesti voi estää Secure Bootin käytöstä.