Mennyire biztonságos a rendszerindítás Windows 8 és 10 rendszeren, és mit jelent a Linux számára
A modern PC-k „Secure Boot” nevű funkcióval rendelkeznek. Ez az UEFI platformfunkciója, amely a hagyományos PC BIOS-t helyettesíti. Ha a PC-gyártó egy „Windows 10” vagy „Windows 8” logó matricát szeretne helyezni a számítógépére, a Microsoft megköveteli, hogy engedélyezzék a biztonságos indítást, és kövessék néhány iránymutatást.
Sajnos ez megakadályozza, hogy néhány Linux disztribúciót telepítsen, ami eléggé zavaró lehet.
A biztonságos rendszerindítás megakadályozza a számítógép rendszerindítási folyamatát
A biztonságos rendszerindítás nem csak a Linux futásának megnehezítésére szolgál. Valódi biztonsági előnyei vannak a Secure Boot engedélyezésének, és még a Linux felhasználók is élvezhetik őket.
A hagyományos BIOS minden szoftvert indít. Amikor elindítja a számítógépet, ellenőrzi a hardvereszközöket a beállított rendszerindítási sorrendnek megfelelően, és megpróbálja elindítani őket. A tipikus PC-k általában megtalálják és elindítják a Windows rendszerindító betöltőjét, amely a teljes Windows operációs rendszer indításához folyik. Ha Linuxot használ, a BIOS megtalálja és elindítja a GRUB boot betöltőjét, amely a legtöbb Linux disztribúciót használja.
Lehetséges azonban, hogy a rosszindulatú programok, mint például a rootkit, cserélhessék a boot betöltőt. A rootkit betöltheti normál operációs rendszerét, jelzés nélkül, hogy bármi baj volt, teljesen láthatatlan és észrevétlen marad a rendszeren. A BIOS nem ismeri a különbséget a rosszindulatú szoftverek és a megbízható rendszerbetöltők között - ez csak csizmácsol.
A biztonságos indítás célja, hogy megállítsa ezt. A Windows 8 és 10 PC-k az UEFI-ban tárolt Microsoft tanúsítvánnyal rendelkeznek. Az UEFI ellenőrzi a rendszerindító betöltését, mielőtt elindítaná, és biztosítja, hogy a Microsoft aláírja. Ha egy rootkit vagy egy másik rosszindulatú program helyettesíti a rendszerindító betöltőjét vagy szabotálja azt, az UEFI nem teszi lehetővé a rendszerindítást. Ez megakadályozza, hogy a rosszindulatú szoftverek megakadályozzák a rendszerindítási folyamatot, és elrejtse magát az operációs rendszerétől.
Hogyan engedélyezi a Microsoft a Linux disztribúciók számára, hogy biztonságos indítással indítsanak
Ez a funkció elméletileg csak a rosszindulatú programok elleni védelemre szolgál. Tehát a Microsoft egy módot kínál arra, hogy segítsen a Linux disztribúciók indításában. Éppen ezért néhány modern Linux disztribúció, mint például az Ubuntu és a Fedora, „csak” fog működni a modern számítógépeken, még akkor is, ha a Secure Boot engedélyezve van. A Linux disztribúciók egyszeri 99 dolláros díjat fizethetnek a Microsoft Sysdev portálhoz való hozzáféréshez, ahol jelentkezhetnek a rendszerindító gépek aláírására..
A Linux-disztribúciók általában egy „shim” -et írnak alá. A vászon egy kis boot betöltő, amely egyszerűen elindítja a Linux disztribúciók fő GRUB boot betöltőjét. A Microsoft által aláírt shim ellenőrzi, hogy a Linux disztribúció által aláírt boot betöltő, majd a Linux disztribúciós csizma normálisan indul-e el.
Az Ubuntu, a Fedora, a Red Hat Enterprise Linux és az openSUSE jelenleg a Secure Boot-ot támogatja, és a modern hardvereken nem fog működni. Lehet, hogy mások is vannak, de ezek azok, amiket tudunk. Néhány Linux disztribúció filozófiaian ellenzi a Microsoft aláírását.
Hogyan lehet letiltani vagy vezérelni a biztonságos indítást
Ha ez minden Secure Boot volt, akkor nem tudna nem Microsoft által jóváhagyott operációs rendszert futtatni a számítógépen. Valószínűleg ellenőrizheti a Secure Boot-ot a számítógép UEFI firmware-ből, ami olyan, mint a régebbi számítógépek BIOS-ja.
A Secure Boot kétféleképpen vezérelhető. A legegyszerűbb módszer az UEFI firmware-hez való elmozdulás és a teljes letiltás. Az UEFI firmware nem ellenőrzi, hogy egy aláírt rendszerindító betöltő-e, és bármi is elindul. Elindíthat bármilyen Linux-terjesztést, vagy akár a Windows 7-et is telepítheti, amely nem támogatja a Biztonságos rendszerindítást. A Windows 8 és 10 jól fog működni, csak elveszíti a biztonsági előnyöket, amikor a Secure Boot védi a rendszerindítási folyamatot.
A Secure Boot-t tovább testre szabhatja. Beállíthatja, hogy a Secure Boot ajánlatok mely aláírási tanúsítványok. Ön szabadon telepíthet új tanúsítványokat, és eltávolíthatja a meglévő tanúsítványokat. Egy olyan szervezet, amely például Linuxot futtatott a PC-jén, úgy döntött, hogy eltávolítja a Microsoft tanúsítványait és telepíti a szervezet saját tanúsítványát. Ezek a PC-k ezután csak az adott szervezet által jóváhagyott és aláírt bootbetöltőket indítanák.
Ezt megteheti egy személy is - aláírhatta a saját Linux rendszerbetöltőjét, és gondoskodhat róla, hogy a számítógépe csak személyesen összeállított és aláírt bootbetöltőket indíthasson. Ez az a fajta vezérlés és hatalom, amelyet a Secure Boot kínál.
Mi a Microsoft szükséges a PC-gyártók számára
A Microsoft nem csak azt követeli meg, hogy a PC-gyártók engedélyezzék a Secure Boot-ot, ha azt szeretnék, hogy a szép „Windows 10” vagy „Windows 8” tanúsítvány matrica legyen a számítógépén. A Microsoft előírja, hogy a PC-gyártók konkrét módon hajtsák végre.
A Windows 8 PC-k esetében a gyártóknak meg kellett adniuk a módját a Secure Boot kikapcsolására. A Microsoft megkövetelte a PC-gyártók számára, hogy a Secure Boot kill-t kapcsolják a felhasználók kezébe.
Windows 10 PC esetén ez már nem kötelező. A PC-gyártók úgy dönthetnek, hogy engedélyezik a Biztonságos rendszerindítást, és nem adnak módot arra, hogy kikapcsolják. Azonban nem vagyunk tudatában azoknak a PC-gyártóknak, akik ezt teszik.
Hasonlóképpen, míg a PC-gyártóknak be kell vonniuk a Microsoft fő „Microsoft Windows Production PCA” kulcsát, hogy a Windows indíthasson, nem kell tartalmaznia a „Microsoft Corporation UEFI CA” kulcsot. Ez a második kulcs csak ajánlott. Ez a második, opcionális kulcs, amelyet a Microsoft a Linux rendszerindító gépek aláírására használ. Ubuntu dokumentációja ezt magyarázza.
Más szavakkal, nem minden számítógép szükségszerűen elindítja az aláírt Linux disztribúciókat, amikor a Secure Boot be van kapcsolva. A gyakorlatban még nem láttunk olyan számítógépeket, amelyek ezt tették. Talán egyetlen PC-gyártó sem akarja az egyetlen sort a laptopokról, amelyeket nem tudja telepíteni.
Legalábbis a főbb Windows-számítógépeknek lehetővé kell tennie a Biztonságos rendszerindítás letiltását, ha szeretné, és akkor is el kell indítaniuk a Microsoft által aláírt Linux-terjesztéseket, még akkor is, ha nem tiltják le a Biztonságos rendszerindítást.
A Biztonságos rendszerindítás nem volt letiltva a Windows RT-n, de a Windows RT a Dead
A fentiek mindegyike igaz a szabványos Windows 8 és 10 operációs rendszerekre a szabványos Intel x86 hardveren. Ez más az ARM esetében.
A Windows RT-nál a Microsoft 8-as verziója az ARM hardverhez, amely a Microsoft Surface RT és Surface 2 rendszeren szállított, többek között a Secure Boot nem volt tiltva. Ma a Biztonságos rendszerindítás még mindig nem tiltható le a Windows 10 Mobile hardveren, azaz a Windows 10-et futtató telefonokon.
Ez azért van, mert a Microsoft azt akarta, hogy gondolj az ARM-alapú Windows RT-rendszerekre, mint „eszközökre”, nem pedig PC-re. Ahogy a Microsoft elmondta a Mozilla-nak, a Windows RT „már nem Windows.”
A Windows RT azonban most már halott. A Windows 10 asztali operációs rendszere nem létezik az ARM-hardverhez, ezért nem kell többé aggódnia. De ha a Microsoft visszaadja a Windows RT 10 hardvert, akkor valószínűleg nem tudja letiltani a Secure Boot alkalmazást.
Képhitel: Nagykövet, John Bristowe