Bagaimana Boot Selamat berfungsi pada Windows 8 dan 10, dan Apa Artinya untuk Linux

PC moden dihantar dengan ciri yang disebut "Secure Boot" diaktifkan. Ini adalah ciri platform di UEFI, yang menggantikan BIOS PC tradisional. Sekiranya pengeluar PC ingin meletakkan pelekat logo "Windows 10" atau "Windows 8" ke PC mereka, Microsoft menghendaki mereka mengaktifkan Secure Boot dan mengikuti beberapa panduan.

Malangnya, ia juga menghalang anda daripada memasang sebilangan distro Linux, yang boleh menjadi kerumitan.

Bagaimana Boot Selamat Melindungi Proses Boot PC anda

Secure Boot tidak hanya dirancang untuk menjadikan Linux berjalan lebih sukar. Terdapat kelebihan keselamatan yang nyata untuk membolehkan Secure Boot diaktifkan, dan bahkan pengguna Linux dapat memanfaatkannya.

BIOS tradisional akan mem-boot sebarang perisian. Semasa anda boot PC anda, ia akan memeriksa peranti perkakasan mengikut urutan boot yang telah anda konfigurasikan, dan mencuba boot daripadanya. Biasanya PC akan mencari dan mem-boot Windows boot loader, yang seterusnya untuk menjalankan sistem operasi Windows sepenuhnya. Sekiranya anda menggunakan Linux, BIOS akan mencari dan melakukan boot boot GRUB, yang digunakan oleh sebilangan besar pengedaran Linux.

Walau bagaimanapun, ada kemungkinan perisian hasad, seperti rootkit, menggantikan boot loader anda. Rootkit dapat memuatkan sistem operasi biasa anda tanpa menunjukkan ada yang tidak betul, tetap tidak dapat dilihat dan tidak dapat dikesan pada sistem anda. BIOS tidak mengetahui perbezaan antara perisian hasad dan pemuat but yang dipercayai - ia hanya menggunakan apa sahaja yang dijumpainya.

Secure Boot direka untuk menghentikan ini. Windows 8 dan 10 PC dihantar dengan sijil Microsoft yang tersimpan di UEFI. UEFI akan memeriksa boot loader sebelum melancarkannya dan memastikannya ditandatangani oleh Microsoft. Sekiranya rootkit atau perisian hasad lain menggantikan boot loader anda atau merosakkannya, UEFI tidak akan membenarkannya boot. Ini menghalang malware daripada merampas proses boot anda dan menyembunyikan dirinya dari sistem operasi anda.

Bagaimana Microsoft Membolehkan Pengedaran Linux untuk Boot dengan Secure Boot

Ciri ini, secara teori, hanya dirancang untuk melindungi daripada perisian hasad. Oleh itu, Microsoft menawarkan cara untuk membantu pengedaran Linux boot. Itulah sebabnya sebilangan pengedaran Linux moden - seperti Ubuntu dan Fedora - akan "hanya berfungsi" pada PC moden, walaupun dengan Secure Boot diaktifkan. Pengedaran Linux boleh membayar yuran sekali sebanyak $ 99 untuk mengakses portal Microsoft Sysdev, di mana mereka boleh memohon agar pemuat boot mereka ditandatangani.

Pengedaran Linux pada umumnya mempunyai tanda "shim". Shim adalah boot loader kecil yang hanya memuat boot loader GRUB utama distribusi Linux. Shim yang ditandatangani Microsoft memeriksa untuk memastikan boot boot loader ditandatangani oleh pengedaran Linux, dan kemudian pengedaran Linux boot secara normal.

Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE pada masa ini menyokong Secure Boot, dan akan berfungsi tanpa ada perubahan pada perkakasan moden. Mungkin ada yang lain, tetapi inilah yang kita sedari. Sebilangan pengedaran Linux bertentangan secara filosofis dengan permohonan untuk ditandatangani oleh Microsoft.

Bagaimana Anda Boleh Melumpuhkan atau Mengawal Boot Selamat

Sekiranya semua itu dilakukan oleh Secure Boot, anda tidak akan dapat menjalankan sistem operasi yang tidak diluluskan oleh Microsoft pada PC anda. Tetapi anda mungkin dapat mengawal Boot Selamat dari firmware UEFI PC anda, seperti BIOS pada PC lama.

Terdapat dua cara untuk mengawal Secure Boot. Kaedah paling mudah adalah menuju ke firmware UEFI dan mematikannya sepenuhnya. Firmware UEFI tidak akan memeriksa untuk memastikan anda menjalankan boot loader yang ditandatangani, dan apa sahaja akan boot. Anda boleh boot sebarang pengedaran Linux atau bahkan memasang Windows 7, yang tidak menyokong Secure Boot. Windows 8 dan 10 akan berfungsi dengan baik, anda akan kehilangan kelebihan keselamatan apabila Secure Boot melindungi proses boot anda.

Anda juga boleh menyesuaikan Secure Boot dengan lebih jauh. Anda boleh mengawal sijil penandatangan yang ditawarkan Secure Boot. Anda bebas memasang sijil baru dan mengeluarkan sijil yang ada. Organisasi yang menjalankan Linux pada PCnya, misalnya, boleh memilih untuk membuang sijil Microsoft dan memasang sijil organisasi itu sendiri. PC tersebut kemudian hanya memuatkan boot boot yang diluluskan dan ditandatangani oleh organisasi tertentu.

Seorang individu juga boleh melakukan ini - anda boleh menandatangani boot loader Linux anda sendiri dan memastikan PC anda hanya dapat memuatkan boot loader yang anda sendiri kumpulkan dan tandatangan. Itulah jenis kawalan dan kuasa yang ditawarkan oleh Secure Boot.

Perkara yang Diperlukan oleh Microsoft Pengilang PC

Microsoft tidak hanya memerlukan vendor PC mengaktifkan Secure Boot jika mereka mahukan pelekat sijil "Windows 10" atau "Windows 8" yang bagus pada PC mereka. Microsoft menghendaki pengeluar PC melaksanakannya dengan cara tertentu.

Untuk PC Windows 8, pengeluar harus memberi anda cara untuk mematikan Secure Boot. Microsoft menghendaki pengeluar PC meletakkan suis kill Secure Boot di tangan pengguna.

Untuk PC Windows 10, ini tidak lagi wajib. Pengilang PC boleh memilih untuk mengaktifkan Secure Boot dan tidak memberi pengguna cara untuk mematikannya. Walau bagaimanapun, kami sebenarnya tidak menyedari mana-mana pengeluar PC yang melakukan ini.

Begitu juga, sementara pengeluar PC harus memasukkan kunci utama "Microsoft Windows Production PCA" Microsoft supaya Windows dapat boot, mereka tidak harus memasukkan kunci "Microsoft Corporation UEFI CA". Kunci kedua ini hanya disyorkan. Ini adalah kunci pilihan kedua yang digunakan Microsoft untuk menandatangani pemuat boot Linux. Dokumentasi Ubuntu menerangkan ini.

Dengan kata lain, tidak semua PC semestinya boot distribusi Linux yang ditandatangani dengan Secure Boot dihidupkan. Sekali lagi, dalam praktiknya, kami belum pernah melihat PC yang melakukan ini. Mungkin tidak ada pengeluar PC yang mahu membuat satu-satunya rangkaian komputer riba yang tidak boleh anda pasangkan Linux.

Buat masa ini, sekurang-kurangnya, PC Windows arus perdana harus membolehkan anda mematikan Secure Boot jika anda mahu, dan mereka harus boot distribusi Linux yang telah ditandatangani oleh Microsoft walaupun anda tidak mematikan Secure Boot.

Boot Selamat Tidak Dapat Dilumpuhkan pada Windows RT, tetapi Windows RT Mati

BERKAITAN: Apakah Windows RT, dan Bagaimana Ia Berbeza dengan Windows 8?

Semua perkara di atas berlaku untuk sistem operasi Windows 8 dan 10 standard pada perkakasan Intel x86 standard. Ia berbeza untuk ARM.

Pada Windows RT — versi Windows 8 untuk perkakasan ARM, yang dihantar pada Surface RT dan Surface 2 Microsoft, di antara peranti lain — Secure Boot tidak dapat dilumpuhkan. Hari ini, Secure Boot masih tidak dapat dilumpuhkan pada perkakasan Windows 10 Mobile – dengan kata lain, telefon yang menjalankan Windows 10.

Ini kerana Microsoft mahu anda memikirkan sistem Windows RT berasaskan ARM sebagai "peranti", bukan PC. Seperti yang diberitahu oleh Microsoft kepada Mozilla, Windows RT "bukan Windows lagi."

Walau bagaimanapun, Windows RT kini mati. Tidak ada versi sistem operasi desktop Windows 10 untuk perkakasan ARM, jadi ini bukan perkara yang perlu anda bimbangkan lagi. Tetapi, jika Microsoft membawa kembali perkakasan Windows RT 10, anda mungkin tidak dapat melumpuhkan Secure Boot di atasnya.

Kredit Imej: Pangkalan Duta Besar, John Bristowe