Hogyan működik a biztonságos rendszerbetöltés Windows 8 és 10 rendszereken, és mit jelent a Linux számára

A modern számítógépek a „Secure Boot” nevű funkcióval rendelkeznek. Ez az UEFI platformfunkciója, amely felváltja a hagyományos PC BIOS-t. Ha egy számítógép gyártója „Windows 10” vagy „Windows 8” logó matricát szeretne elhelyezni a számítógépén, a Microsoft megköveteli, hogy engedélyezze a Biztonságos rendszerindítást, és kövesse néhány irányelvet.

Sajnos ez megakadályozza néhány Linux disztribúció telepítését is, ami elég nehézkes lehet.

Mennyire biztonságos a rendszerindítás a számítógép indítási folyamatában

A Secure Boot nemcsak a Linux futtatását nehezíti. A Secure Boot engedélyezésének valódi biztonsági előnyei vannak, és még a Linux felhasználók is profitálhatnak ezekből.

A hagyományos BIOS bármilyen szoftvert elindít. A számítógép indításakor ellenőrzi a hardvereszközöket a beállított rendszerindítási sorrendnek megfelelően, és megkísérli azokról indítani. A tipikus számítógépek általában megtalálják és elindítják a Windows rendszerindítót, amely a teljes Windows operációs rendszer indításakor folytatódik. Ha Linuxot használ, a BIOS megtalálja és elindítja a GRUB rendszerindítót, amelyet a legtöbb Linux disztribúció használ.

Lehetséges azonban, hogy a rosszindulatú programok, például egy rootkit, kicserélhetik a rendszerindítót. A rootkit betöltheti normál operációs rendszerét anélkül, hogy jelezné, hogy bármi baj lenne, teljesen láthatatlan és észrevehetetlen marad a rendszerén. A BIOS nem ismeri a különbséget a rosszindulatú programok és a megbízható rendszerbetöltők között - csak elindítja, amit csak talál.

A Secure Boot célja ennek megakadályozása. A Windows 8 és 10 PC-k a Microsoft UEFI-ben tárolt tanúsítvánnyal érkeznek. Az UEFI az indítás előtt ellenőrzi a rendszerindítót, és biztosítja, hogy a Microsoft aláírja. Ha egy rootkit vagy egy másik rosszindulatú program lecseréli a rendszerindítót vagy meghamisítja, az UEFI nem engedi, hogy elinduljon. Ez megakadályozza, hogy a rosszindulatú programok eltérítsék a rendszerindítási folyamatot és elrejtsék magukat az operációs rendszer elől.

Hogyan engedi a Microsoft a Linux disztribúciókat a biztonságos indítással indítani

Ezt a funkciót elméletileg csak a rosszindulatú programok elleni védelemre tervezték. Tehát a Microsoft lehetőséget kínál a Linux disztribúciók indítására. Ezért néhány modern Linux disztribúció - például az Ubuntu és a Fedora - „csak úgy működik” a modern számítógépeken, még akkor is, ha a Secure Boot engedélyezve van. A Linux disztribúciók egyszeri 99 dolláros díjat fizethetnek a Microsoft Sysdev portál eléréséért, ahol jelentkezhetnek a rendszerindítójuk aláírására.

A Linux disztribúciók általában „shim” aláírással rendelkeznek. Az alátét egy kicsi rendszerbetöltő, amely egyszerűen elindítja a Linux disztribúció GRUB fő betöltőjét. A Microsoft által aláírt shim ellenőrzi, hogy elindítja-e a Linux disztribúció által aláírt rendszerindítót, majd a Linux disztribúció rendesen elindul.

Az Ubuntu, a Fedora, a Red Hat Enterprise Linux és az openSUSE jelenleg támogatja a Secure Boot alkalmazást, és a modern hardvereken mindenféle módosítás nélkül fog működni. Lehet, hogy vannak mások, de ezekről tudunk. Néhány Linux disztribúció filozófiailag ellenzi a Microsoft aláírásának igénylését.

Hogyan tilthatja le vagy vezérelheti a biztonságos rendszerindítást

Ha csak ez a biztonságos indítás megtörtént, akkor nem futtathat semmilyen, a Microsoft által nem jóváhagyott operációs rendszert a számítógépén. De valószínűleg vezérelheti a Biztonságos indítást a számítógép UEFI firmware-jével, amely olyan, mint a régebbi számítógépek BIOS-ja.

A Biztonságos rendszerindítás vezérlésének két módja van. A legegyszerűbb módszer az UEFI firmware elérése és teljes letiltása. Az UEFI firmware nem ellenőrzi, hogy aláírt rendszerindítót futtat-e, és bármi elindul. Bármely Linux disztribúciót elindíthat, vagy akár a Windows 7 rendszert is telepítheti, amely nem támogatja a Biztonságos rendszerindítást. A Windows 8 és 10 jól fog működni, csak elveszíti a biztonsági előnyöket, ha a Secure Boot védi a rendszerindítási folyamatot.

A Biztonságos rendszerindítást tovább testreszabhatja. Beállíthatja, hogy a Biztonságos Boot mely aláírási tanúsítványokat kínálja. Telepíthet új tanúsítványokat és eltávolíthatja a meglévő tanúsítványokat. Egy olyan szervezet, amely Linux-ot futtatott a számítógépén, választhatta például a Microsoft tanúsítványainak eltávolítását, és a szervezet saját tanúsítványának telepítését. Ezek a számítógépek csak akkor indítanák az indító betöltőket, amelyeket az adott szervezet jóváhagyott és aláírt.

Ezt egy személy is megteheti - aláírhatja saját Linux rendszerindítóját, és megbizonyosodhat arról, hogy számítógépe csak az Ön által összeállított és aláírt rendszerindító betöltőket tudja elindítani. Ez az a fajta vezérlés és teljesítmény, amelyet a Secure Boot kínál.

Amit a Microsoft megkövetel a PC-gyártóktól

A Microsoft nem csak azt követeli meg, hogy a PC-gyártók engedélyezzék a Biztonságos rendszerindítást, ha azt a szép „Windows 10” vagy „Windows 8” tanúsító matricát akarják a számítógépükre. A Microsoft megköveteli, hogy a PC-gyártók sajátos módon valósítsák meg.

A Windows 8 PC-k esetében a gyártóknak módot kellett adniuk arra, hogy kikapcsolják a Biztonságos rendszerindítást. A Microsoft megkövetelte a PC-gyártóktól, hogy tegyenek egy Secure Boot kill kill kapcsolót a felhasználók kezébe.

Windows 10 PC-knél ez már nem kötelező. A PC-gyártók választhatják a Secure Boot engedélyezését, és nem adnak módot a felhasználóknak a kikapcsolásra. Azonban valójában nincs tudomásunk arról, hogy PC-gyártók csinálnák ezt.

Hasonlóképpen, bár a PC-gyártóknak tartalmazniuk kell a Microsoft fő „Microsoft Windows Production PCA” kulcsát, hogy a Windows elindulhasson, nem kell feltüntetniük a „Microsoft Corporation UEFI CA” kulcsot. Ez a második kulcs csak ajánlott. Ez a második, opcionális kulcs, amelyet a Microsoft használ a Linux rendszerindító betöltőinek aláírásához. Az Ubuntu dokumentációja magyarázza ezt.

Más szavakkal, nem minden számítógép feltétlenül indítja el az aláírt Linux disztribúciókat bekapcsolt Secure Boot mellett. Ismét a gyakorlatban nem láttunk olyan PC-ket, amelyek ezt megtették volna. Talán egyetlen PC-gyártó sem akarja az egyetlen olyan laptopot gyártani, amelyre nem lehet Linuxot telepíteni.

Legalábbis a mainstream Windows PC-knek lehetővé kell tenniük a Secure Boot letiltását, ha úgy tetszik, és be kell indítaniuk a Microsoft által aláírt Linux disztribúciókat, még akkor is, ha nem tiltja le a Secure Boot alkalmazást.

A biztonságos indítást nem lehet kikapcsolni a Windows RT rendszeren, de a Windows RT nem működik

KAPCSOLÓDÓ: Mi a Windows RT, és miben különbözik a Windows 8-tól?

A fentiek mindegyike igaz a szokásos Windows 8 és 10 operációs rendszerekre a szokásos Intel x86 hardveren. Ez más az ARM-nál.

Windows RT-n - a Windows 8 ARM hardverhez verziója, amely többek között a Microsoft Surface RT-jére és a Surface 2-re szállított - a Biztonságos rendszerindítást nem lehetett letiltani. Ma még mindig nem lehet letiltani a biztonságos indítást a Windows 10 Mobile hardveren - más szóval, a Windows 10 rendszert futtató telefonokon.

Ez azért van, mert a Microsoft azt akarta, hogy az ARM-alapú Windows RT rendszereket "eszközöknek", ne pedig PC-knek gondolja. Amint a Microsoft elmondta a Mozillának, a Windows RT „már nem Windows”.

A Windows RT azonban már nem működik. Az ARM-hardverhez nincs a Windows 10 asztali operációs rendszer verziója, ezért ez már nem az, ami miatt aggódnia kell. De ha a Microsoft visszahozza a Windows RT 10 hardvert, akkor valószínűleg nem tudja letiltani rajta a Biztonságos indítást.

Kép hitel: Nagyköveti bázis, John Bristowe