Mūsdienu datori tiek piegādāti ar funkciju, ko sauc par "Secure Boot". Šī ir UEFI platformas iezīme, kas aizstāj tradicionālo PC BIOS. Ja datora ražotājs vēlas savā datorā ievietot uzlīmes "Windows 10" vai "Windows 8" logotipu, Microsoft pieprasa, lai viņi iespējotu drošu sāknēšanas darbību un ievērotu dažas vadlīnijas.
Diemžēl tas arī liedz jums instalēt dažus Linux sadalījumus, kas var būt diezgan problēmu.
Drošā sāknēšana ir paredzēta ne tikai Linux darbības apgriešanai. Drošai bootēšanai ir reālas drošības priekšrocības, un pat Linux lietotāji var tos izmantot.
Tradicionālā BIOS ieslēgs jebkuru programmatūru. Kad jūs sākat savu datoru, tā pārbauda aparatūras ierīces saskaņā ar jūsu konfigurēto sāknēšanas pasūtījumu un mēģina palaist no tiem. Tipiski datori parasti atradīs un palaiž Windows bootloader, kas turpina palaist visu Windows operētājsistēmu. Ja jūs izmantojat Linux, BIOS atradīs un palaidīs GRUB bootloader, ko izmanto lielākā daļa Linux sadalījumu.
Tomēr, iespējams, ļaunprātīga programmatūra, piemēram, rootkits, var aizstāt sāknēšanas programmu. Rootkit var ielādēt jūsu parasto operētājsistēmu, bez norādēm, ka nekas nav kārtībā, paliekot pilnīgi neredzams un nenosakāms jūsu sistēmā. BIOS nezina atšķirību starp ļaunprātīgu programmatūru un uzticamu sāknēšanas ierīci - tā vienkārši uzņem visu, ko tā atrod.
Secure Boot ir paredzēts, lai to apturētu. Windows 8 un 10 datori tiek piegādāti kopā ar Microsoft sertifikātu, kas tiek glabāts UEFI. Pirms tā palaišanas UEFI pārbaudīs sāknēšanas iekrāvēju un nodrošinās, ka Microsoft to paraksta. Ja rootkits vai cits kaitēklas gabals aizstāj jūsu boot loader vai manipulē ar to, UEFI neļaus to boot. Tas novērš ļaunprātīgu programmatūru no uzlaušanas procesa un slēpj sevi no operētājsistēmas.
Teorētiski šī funkcija ir paredzēta tikai aizsardzībai pret ļaunprātīgu programmatūru. Tātad Microsoft piedāvā veidu, kā jebkurā gadījumā palīdzēt Linux sadalei. Tāpēc daži mūsdienu Linux sadali, piemēram, Ubuntu un Fedora, "vienkārši darbosies" uz modernajiem datoriem, pat ja ir iespējota drošā boot. Linux sadales var samaksāt vienreizēju maksu 99 ASV dolāru apmērā, lai piekļūtu Microsoft Sysdev portālam, kur viņi var pieteikties, lai parakstītu viņu sāknēšanas programmatūru.
Linux sadales parasti ir "shim" parakstīts. Shim ir neliels boot loader, kas vienkārši booting Linux sadalījumu galveno GRUB boot loader. Microsoft parakstītās shim pārbaudes, lai nodrošinātu, ka tas sāknēšanas ielādētājs, kas parakstīts ar Linux izplatīšanu, un pēc tam Linux sadales boots parasti.
Ubuntu, Fedora, Red Hat Enterprise Linux un openSUSE pašlaik atbalsta Secure Boot, un tā darbosies bez jebkādiem uzlabojumiem mūsdienu aparatūrā. Var būt citi, bet tie ir tie, par kuriem mēs zinām. Daži Linux izplatītāji filozofiski pretojas pieteikumam, ko Microsoft paraksta.
Ja tas viss bija Secure Boot, jūs nevarētu palaist datoru, kas nav Microsoft apstiprināta operētājsistēma. Bet jūs, visticamāk, varētu kontrolēt drošo boot no datora UEFI programmaparatūras, kas ir līdzīgs BIOS vecākiem datoriem.
Ir divi veidi, kā kontrolēt drošo sāknēšanas darbību. Vienkāršākā metode ir virzīties uz UEFI programmaparatūru un pilnībā atspējot to. UEFI programmaparatūra netiks pārbaudīta, lai nodrošinātu, ka jūs izmantojat parakstītu sāknēšanas programmu, un viss palaižos. Varat boot jebkuru Linux izplatīšanu vai pat instalēt Windows 7, kas neatbalsta drošu sāknēšanas darbību. Windows 8 un 10 darbosies pareizi, jūs vienkārši zaudēsiet drošības priekšrocības, pateicoties tam, ka Secure Boot aizsargā sāknēšanas procesu.
Jūs varat arī turpmāk pielāgot Secure Boot. Jūs varat kontrolēt, kuri parakstu sertifikāti nodrošina drošu sāknēšanas piedāvājumu. Jums ir tiesības gan uzstādīt jaunus sertifikātus, gan noņemt esošos sertifikātus. Piemēram, organizācija, kas vadīja Linux savos datoros, varēja noņemt Microsoft sertifikātus un savā vietā instalēt pašas organizācijas sertifikātu. Tos datorus pēc tam sāktu tikai boot loaders, ko apstiprinājusi un parakstījusi šī īpašā organizācija.
Arī privātpersona var to izdarīt - jūs varētu parakstīt savu Linux bootloader un pārliecinātos, ka jūsu dators var tikai palaist sāknēšanas ierīces, kuras esat personīgi apkopojis un parakstījis. Tas ir veids, kā nodrošināt drošu boot kontroli un jaudu.
Microsoft ne tikai pieprasa, lai datoru pārdevēji nodrošinātu drošu sāknēšanas darbību, ja viņi savā datorā vēlas šo labo "Windows 10" vai "Windows 8" sertifikācijas uzlīmi. Microsoft pieprasa, lai datoru ražotāji to īstenotu konkrētā veidā.
Windows 8 datoriem ražotājiem bija jāsniedz veids, kā izslēgt drošo boot. Microsoft pieprasīja datora ražotājiem, lai lietotāju rokās veiktu drošu boot nogalināšanas slēdzi.
Windows 10 datoru gadījumā tas vairs nav obligāts. Datoru ražotāji var izvēlēties iespējot drošu sāknēšanas darbību un nedod lietotājiem iespēju to izslēgt. Tomēr mēs faktiski nezinaim nevienu datoru ražotāju, kas to dara.
Līdzīgi, lai gan datoru ražotājiem ir jāiekļauj Microsoft galvenā "Microsoft Windows Production PCA" atslēga, lai Windows varētu boot, tām nav jāiekļauj Microsoft Corporation UEFI CA atslēga. Šis otrais taustiņš ir ieteicams tikai. Tā ir otrā izvēles atslēga, ko Microsoft izmanto, lai parakstītu Linux boot loaders. Ubuntu dokumentācija to izskaidro.
Citiem vārdiem sakot, ne visiem datoriem būs obligāti jāuzstāda parakstīti Linux sadali ar ieslēgtu Secure Boot. Arī praksē mēs neesam redzējuši nevienu datoru, kas to darīja. Varbūt neviens datoru ražotājs nevēlas izveidot vienīgo klēpjdatoru līniju, kuru nevar instalēt Linux.
Tagad vismaz galvenajiem Windows datoriem būtu jāļauj atspējot drošo sāknēšanas funkciju, ja vēlaties, un tām vajadzētu palaist Linux sadales, kuras Microsoft ir parakstījis, pat ja neesat atspējojis drošo sāknēšanas darbību.
Visi iepriekš minētie attiecas uz standarta Windows 8 un 10 standarta Intel x86 aparatūras operētājsistēmām. ARM atšķiras.
Windows RT versijā - Windows 8 versijai, kas paredzēta ARM aparatūrai, kas tika piegādāta uz Microsoft Surface RT un Surface 2, starp citām ierīcēm nevarēja atspējot drošo sāknēšanas darbību. Šodien Secure Boot joprojām nevar tikt atspējota Windows 10 mobilajā ierīcē, citiem vārdiem sakot, tālruņiem, kas darbojas ar Windows 10.
Tas ir tāpēc, ka Microsoft vēlējās jūs domāt par ARM balstītām Windows RT sistēmām kā "ierīcēm", nevis datoriem. Kā Microsoft teica Mozilla, Windows RT "vairs nav Windows."
Tomēr Windows RT tagad ir miris. Operētājsistēmai Windows 10 operētājsistēmai ARM aparatūra nav versijas, tādēļ vairs nav jāuztraucas par to. Bet, ja Microsoft atvelk Windows RT 10 aparatūru, iespējams, ka nevarēsit atspējot drošo sāknēšanas funkciju.
Attēlu kredīts: Vēstnieks, John Bristowe