Kuinka suojattu käynnistys toimii Windows 8: ssa ja 10: ssä ja mitä se tarkoittaa Linuxille

Nykyaikaisissa tietokoneissa on ominaisuus nimeltä Secure Boot käytössä. Tämä on UEFI: n alustaominaisuus, joka korvaa perinteisen PC: n BIOSin. Jos tietokoneen valmistaja haluaa asettaa Windows 10- tai Windows 8 -logotarran tietokoneelleen, Microsoft vaatii heitä ottamaan käyttöön Suojattu käynnistys ja noudattamaan joitain ohjeita.

Valitettavasti se estää myös joidenkin Linux-jakelujen asentamisen, mikä voi olla melko hankalaa.

Kuinka suojattu käynnistys turvaa tietokoneen käynnistysprosessin

Suojattu käynnistys ei ole vain suunniteltu vaikeuttamaan Linuxin käyttöä. Secure Boot -toiminnon käyttöönotolla on todellisia turvallisuusetuja, ja jopa Linux-käyttäjät voivat hyötyä niistä.

Perinteinen BIOS käynnistää minkä tahansa ohjelmiston. Kun käynnistät tietokoneen, se tarkistaa laitteistot määrittämäsi käynnistysjärjestyksen mukaan ja yrittää käynnistää niistä. Tyypilliset tietokoneet yleensä löytävät ja käynnistävät Windowsin käynnistyslataimen, joka käynnistää koko Windows-käyttöjärjestelmän. Jos käytät Linuxia, BIOS löytää ja käynnistää GRUB-käynnistyslataimen, jota useimmat Linux-jakelut käyttävät.

Haittaohjelmat, kuten rootkit, voivat kuitenkin korvata käynnistyslataimen. Rootkit voi ladata normaalin käyttöjärjestelmän ilman mitään viitteitä siitä, että mikään olisi vialla. Se pysyy täysin näkymättömänä ja havaitsematta järjestelmässäsi. BIOS ei tiedä eroa haittaohjelmien ja luotettavan käynnistyslataimen välillä - se vain käynnistää kaiken löytämänsä.

Secure Boot on suunniteltu estämään tämä. Windows 8- ja 10-tietokoneet toimitetaan Microsoftin sertifikaatin kanssa, joka on tallennettu UEFI: hen. UEFI tarkistaa käynnistyslataimen ennen sen käynnistämistä ja varmistaa, että Microsoft on allekirjoittanut sen. Jos rootkit tai jokin muu haittaohjelma korvaa käynnistyslataimen tai peukaloi sen, UEFI ei salli sen käynnistymistä. Tämä estää haittaohjelmia kaappaamasta käynnistysprosessiasi ja piiloutumasta käyttöjärjestelmästäsi.

Kuinka Microsoft sallii Linux-jakelujen käynnistymisen suojatulla käynnistyksellä

Tämä ominaisuus on teoriassa suunniteltu vain suojaamaan haittaohjelmilta. Joten Microsoft tarjoaa tavan auttaa Linux-jakeluja käynnistymään joka tapauksessa. Siksi jotkut modernit Linux-jakelut, kuten Ubuntu ja Fedora, "vain toimivat" nykyaikaisissa tietokoneissa, vaikka Secure Boot olisi käytössä. Linux-jakelut voivat maksaa kertaluonteisen 99 dollarin maksun pääsystä Microsoft Sysdev -portaaliin, jossa he voivat hakea käynnistyskuormaajiensa allekirjoitusta.

Linux-jakeluissa on yleensä "shim" -merkki. Välilevy on pieni käynnistyslatain, joka vain käynnistää Linux-jakelujen GRUB-käynnistyslataimen. Microsoftin allekirjoittama välilevy tarkistaa, että se käynnistää Linux-jakelun allekirjoittaman käynnistyslataimen, ja sitten Linux-jakelu käynnistyy normaalisti.

Ubuntu, Fedora, Red Hat Enterprise Linux ja openSUSE tukevat tällä hetkellä suojattua käynnistystä ja toimivat ilman nykyaikaisten laitteiden muutoksia. Saattaa olla muitakin, mutta me olemme tietoisia näistä. Jotkut Linux-jakelut vastustavat filosofisesti Microsoftin allekirjoittamista.

Kuinka voit poistaa suojatun käynnistyksen käytöstä tai hallita sitä

Jos kaikki tämä oli suojattu käynnistys, et voi käyttää mitään Microsoftin hyväksymää käyttöjärjestelmää tietokoneellasi. Mutta voit todennäköisesti hallita Suojattua käynnistystä tietokoneesi UEFI-laiteohjelmistolta, joka on kuin vanhempien tietokoneiden BIOS.

Suojattua käynnistystä voidaan hallita kahdella tavalla. Helpoin tapa on siirtyä UEFI-laiteohjelmistoon ja poistaa se kokonaan käytöstä. UEFI-laiteohjelmisto ei tarkista, että käytät allekirjoitettua käynnistyslatainta, ja kaikki käynnistyy. Voit käynnistää minkä tahansa Linux-jakelun tai jopa asentaa Windows 7: n, joka ei tue suojattua käynnistystä. Windows 8 ja 10 toimivat hyvin, menetät vain tietoturvaedut siitä, että Secure Boot suojaa käynnistysprosessiasi.

Voit myös mukauttaa suojattua käynnistystä edelleen. Voit hallita, mitä allekirjoitustodistuksia Secure Boot tarjoaa. Voit vapaasti asentaa uusia varmenteita ja poistaa olemassa olevia varmenteita. Esimerkiksi organisaatio, joka käytti Linuxia tietokoneillaan, voi poistaa Microsoftin varmenteet ja asentaa organisaation oman varmenteen sen tilalle. Nämä tietokoneet käynnistävät vain käynnistyslataimet, jotka kyseinen organisaatio on hyväksynyt ja allekirjoittanut.

Myös henkilö voisi tehdä tämän - voit allekirjoittaa oman Linux-käynnistyslataimen ja varmistaa, että tietokoneesi voi käynnistää vain henkilökohtaisesti koonnut ja allekirjoittamasi käynnistyslataimet. Se on sellainen hallinta ja teho, jota Secure Boot tarjoaa.

Mitä Microsoft vaatii PC-valmistajilta

Microsoft ei vaadi vain, että PC-toimittajat ottavat Secure Boot -ominaisuuden käyttöön, jos he haluavat mukavan Windows 10- tai Windows 8 -sertifiointitarran tietokoneisiinsa. Microsoft vaatii PC-valmistajien toteuttamaan sen tietyllä tavalla.

Windows 8 -tietokoneissa valmistajien oli annettava sinulle tapa poistaa Suojattu käynnistys käytöstä. Microsoft vaati PC-valmistajia asettamaan Secure Boot kill kill -kytkimen käyttäjien käsiin.

Windows 10 -tietokoneissa tämä ei ole enää pakollista. PC-valmistajat voivat ottaa käyttöön suojatun käynnistyksen eivätkä anna käyttäjille tapaa sammuttaa sitä. Emme kuitenkaan ole tietoisia PC-valmistajista, jotka tekevät tämän.

Vastaavasti, vaikka PC-valmistajien on sisällytettävä Microsoftin tärkein "Microsoft Windows Production PCA" -avain, jotta Windows voi käynnistää, heidän ei tarvitse sisällyttää "Microsoft Corporation UEFI CA" -avainta. Tätä toista avainta suositellaan vain. Se on toinen valinnainen avain, jota Microsoft käyttää allekirjoittamaan Linux-käynnistyslataimet. Ubuntun dokumentaatio selittää tämän.

Toisin sanoen kaikki tietokoneet eivät välttämättä käynnistä allekirjoitettuja Linux-jakeluja, kun Secure Boot on päällä. Jälleen käytännössä emme ole nähneet yhtään PC: tä, joka tekisi tämän. Ehkä kukaan PC-valmistaja ei halua tehdä ainoaa kannettavien tietokoneiden sarjaa, johon et voi asentaa Linuxia.

Ainakin toistaiseksi Windows-tietokoneiden tulisi sallia sinun poistaa suojattu käynnistys käytöstä, jos haluat, ja niiden pitäisi käynnistää Microsoftin allekirjoittamat Linux-jakelut, vaikka et poista suojattua käynnistystä käytöstä.

Suojattua käynnistystä ei voitu poistaa käytöstä Windows RT: ssä, mutta Windows RT on kuollut

RELATED: Mikä on Windows RT ja miten se eroaa Windows 8: sta?

Kaikki yllä oleva pätee tavallisiin Windows 8- ja 10-käyttöjärjestelmiin Intel x86 -laitteilla. ARM: lla on erilainen.

Windows RT -käyttöjärjestelmässä - ARM-laitteiston Windows 8 -versiossa, joka toimitettiin muun muassa Microsoftin Surface RT- ja Surface 2 -laitteilla - Suojattua käynnistystä ei voitu poistaa käytöstä. Suojattua käynnistystä ei voida vielä poistaa käytöstä Windows 10 Mobile -laitteistossa - toisin sanoen puhelimissa, joissa on Windows 10.

Tämä johtuu siitä, että Microsoft halusi sinun ajattelevan ARM-pohjaisia ​​Windows RT -järjestelmiä "laitteina", ei tietokoneina. Kuten Microsoft kertoi Mozillalle, Windows RT "ei ole enää Windows".

Windows RT on kuitenkin kuollut. ARM-laitteistolle ei ole Windows 10 -käyttöjärjestelmän versiota, joten sinun ei tarvitse enää huolehtia siitä. Mutta jos Microsoft tuo takaisin Windows RT 10 -laitteiston, et todennäköisesti voi poistaa suojattua käynnistystä käytöstä siinä.

Kuvahyvitys: Suurlähettilään tukikohta, John Bristowe