Αρχική σελίδα » πως να » Πώς Ασφαλής εκκίνηση λειτουργεί στα Windows 8 και 10, και τι σημαίνει για το Linux

    Πώς Ασφαλής εκκίνηση λειτουργεί στα Windows 8 και 10, και τι σημαίνει για το Linux

    Οι σύγχρονοι υπολογιστές διαθέτουν ένα χαρακτηριστικό που ονομάζεται "Secure Boot" ενεργοποιημένο. Πρόκειται για μια πλατφόρμα στην UEFI, η οποία αντικαθιστά το παραδοσιακό BIOS του υπολογιστή. Εάν ένας κατασκευαστής PC θέλει να τοποθετήσει ένα αυτοκόλλητο "Windows 10" ή "Windows 8" στο PC, η Microsoft απαιτεί να ενεργοποιήσει την Ασφαλής εκκίνηση και να ακολουθήσει ορισμένες οδηγίες.

    Δυστυχώς, επίσης, σας εμποδίζει να εγκαταστήσετε κάποιες διανομές Linux, κάτι που μπορεί να είναι αρκετά ενοχλητικό.

    Πώς Ασφαλής εκκίνηση διασφαλίζει τη διαδικασία εκκίνησης του υπολογιστή σας

    Το Secure Boot δεν είναι απλώς σχεδιασμένο για να δυσκολεύει το λειτουργικό σύστημα Linux. Υπάρχουν πραγματικά πλεονεκτήματα ασφάλειας στην ενεργοποίηση του Secure Boot και ακόμη και οι χρήστες του Linux μπορούν να επωφεληθούν από αυτά.

    Ένα παραδοσιακό BIOS θα εκκινήσει οποιοδήποτε λογισμικό. Όταν εκκινείτε τον υπολογιστή σας, ελέγχει τις συσκευές υλικού σύμφωνα με τη σειρά εκκίνησης που έχετε ρυθμίσει και προσπαθεί να εκκινήσει από αυτές. Τυπικοί υπολογιστές συνήθως βρίσκουν και εκκινούν τον φορτωτή εκκίνησης των Windows, ο οποίος συνεχίζει να εκκινεί το πλήρες λειτουργικό σύστημα των Windows. Εάν χρησιμοποιείτε Linux, το BIOS θα εντοπίσει και εκκινήσει τον φορτωτή εκκίνησης GRUB, τον οποίο χρησιμοποιούν οι περισσότερες διανομές Linux.

    Ωστόσο, είναι πιθανό το κακόβουλο λογισμικό, όπως το rootkit, να αντικαταστήσει τον φορτωτή εκκίνησης. Το rootkit θα μπορούσε να φορτώσει το κανονικό λειτουργικό σας σύστημα χωρίς καμία ένδειξη ότι δεν ήταν κακό, παραμένοντας εντελώς αόρατο και ανιχνεύσιμο στο σύστημά σας. Το BIOS δεν γνωρίζει τη διαφορά μεταξύ κακόβουλου λογισμικού και ενός αξιόπιστου φορτωτή εκκίνησης - απλά εκκινεί ό, τι βρίσκει.

    Το Secure Boot έχει σχεδιαστεί για να σταματήσει αυτό. Τα Windows 8 και 10 υπολογιστές μεταφέρονται με το πιστοποιητικό της Microsoft που είναι αποθηκευμένο στο UEFI. Η UEFI θα ελέγξει τον φορτωτή εκκίνησης πριν την εκκινήσει και θα εξασφαλίσει ότι είναι υπογεγραμμένη από τη Microsoft. Εάν ένα rootkit ή άλλο κομμάτι κακόβουλου λογισμικού αντικαθιστά τον φορτωτή εκκίνησης ή παραβιάζει το, το UEFI δεν θα του επιτρέψει να εκκινήσει. Αυτό αποτρέπει το κακόβουλο λογισμικό από την πειρατεία της διαδικασίας εκκίνησης και την απόκρυψη από το λειτουργικό σας σύστημα.

    Πώς η Microsoft επιτρέπει στις διανομές Linux να εκκινήσουν με ασφαλή εκκίνηση

    Αυτή η λειτουργία, θεωρητικά, έχει σχεδιαστεί ειδικά για την προστασία από κακόβουλα προγράμματα. Έτσι, η Microsoft προσφέρει έναν τρόπο να βοηθήσει τις διανομές Linux να ξεκινήσουν ούτως ή άλλως. Αυτός είναι ο λόγος για τον οποίο ορισμένες σύγχρονες διανομές Linux, όπως το Ubuntu και το Fedora, θα "λειτουργούν" μόνο σε σύγχρονους υπολογιστές, ακόμη και με ενεργοποιημένο το Secure Boot. Οι διανομές Linux μπορούν να πληρώσουν μια εφάπαξ αμοιβή $ 99 για να έχουν πρόσβαση στην πύλη Microsoft Sysdev, όπου μπορούν να υποβάλουν αίτηση για την υπογραφή των φορτωτών εκκίνησης.

    Οι διανομές Linux έχουν γενικά μια υπογραφή. Το shim είναι ένας μικρός φορτωτής εκκίνησης που απλώς εκκινεί τον κύριο φορτωτή εκκίνησης GRUB των διανομών Linux. Οι έλεγχοι shim που έχουν υπογράψει η Microsoft για να εξασφαλίσουν ότι ξεκινάει έναν φορτωτή εκκίνησης που υπογράφεται από τη διανομή του Linux και στη συνέχεια τα boot distributions του Linux κανονικά.

    Το Ubuntu, το Fedora, το Red Hat Enterprise Linux και το openSUSE υποστηρίζουν αυτήν τη στιγμή το Secure Boot και θα λειτουργήσουν χωρίς τροποποιήσεις στο σύγχρονο υλικό. Μπορεί να υπάρχουν άλλοι, αλλά αυτοί είναι αυτοί που γνωρίζουμε. Ορισμένες διανομές Linux είναι φιλοσοφικά αντίθετες με την υποβολή υποψηφιότητας για υπογραφή από τη Microsoft.

    Πώς μπορείτε να απενεργοποιήσετε ή να ελέγξετε την ασφαλή εκκίνηση

    Εάν αυτό ήταν όλο το Secure Boot, δεν θα μπορούσατε να εκτελέσετε οποιοδήποτε λειτουργικό σύστημα που δεν έχει εγκριθεί από τη Microsoft στον υπολογιστή σας. Αλλά μπορείτε πιθανότατα να ελέγξετε το Secure Boot από το firmware του υπολογιστή σας, το οποίο μοιάζει με το BIOS σε παλαιότερους υπολογιστές.

    Υπάρχουν δύο τρόποι για τον έλεγχο της ασφαλούς εκκίνησης. Η πιο εύκολη μέθοδος είναι να κατευθυνθείτε στο firmware της UEFI και να την απενεργοποιήσετε εξ ολοκλήρου. Το υλικολογισμικό UEFI δεν θα ελέγξει για να βεβαιωθείτε ότι εκτελείτε έναν υπογεγραμμένο boot loader και ότι οτιδήποτε θα ξεκινήσει. Μπορείτε να εκκινήσετε οποιαδήποτε διανομή Linux ή ακόμα και να εγκαταστήσετε τα Windows 7, το οποίο δεν υποστηρίζει Secure Boot. Τα Windows 8 και 10 θα δουλέψουν καλά, απλά θα χάσετε τα πλεονεκτήματα ασφαλείας της ασφάλειας του Boot σας για την προστασία της διαδικασίας εκκίνησης.

    Μπορείτε επίσης να προσαρμόσετε περαιτέρω την Ασφαλής εκκίνηση. Μπορείτε να ελέγξετε ποια πιστοποιητικά υπογραφής προσφέρουν η Secure Boot. Είστε ελεύθεροι να εγκαταστήσετε και νέα πιστοποιητικά και να καταργήσετε τα υπάρχοντα πιστοποιητικά. Μια οργάνωση που έτρεξε το Linux στους υπολογιστές της, για παράδειγμα, θα μπορούσε να επιλέξει να αφαιρέσει τα πιστοποιητικά της Microsoft και να εγκαταστήσει το δικό της πιστοποιητικό της ίδιας της εταιρείας. Αυτοί οι υπολογιστές θα εκκινήσουν μόνο φορτωτές εκκίνησης που έχουν εγκριθεί και υπογραφεί από την συγκεκριμένη οργάνωση.

    Ένα άτομο θα μπορούσε επίσης να το κάνει αυτό - θα μπορούσατε να υπογράψετε το δικό σας φορτωτή εκκίνησης Linux και να διασφαλίσετε ότι ο υπολογιστής σας θα μπορούσε να εκκινήσει μόνο φορτωτές εκκίνησης που έχετε προσωπικά καταρτίσει και υπογράψει. Αυτό είναι το είδος ελέγχου και δύναμης Secure Boot προσφέρει.

    Τι απαιτεί η Microsoft των κατασκευαστών PC

    Η Microsoft δεν απαιτεί απλώς τους πωλητές PC να ενεργοποιήσουν την Ασφαλής εκκίνηση αν θέλουν να έχουν το αυτοκόλλητο πιστοποίησης "Windows 10" ή "Windows 8" στους υπολογιστές τους. Η Microsoft απαιτεί από τους κατασκευαστές PC να το εφαρμόσουν με συγκεκριμένο τρόπο.

    Για τους υπολογιστές με Windows 8, οι κατασκευαστές χρειάστηκε να σας δώσουν έναν τρόπο να απενεργοποιήσετε την ασφαλή εκκίνηση. Η Microsoft απαίτησε από τους κατασκευαστές PC να θέσουν ένα διακόπτη Secure Boot kill στα χέρια των χρηστών.

    Για Windows 10 υπολογιστές, αυτό δεν είναι πλέον υποχρεωτικό. Οι κατασκευαστές υπολογιστών μπορούν να επιλέξουν να ενεργοποιήσουν την Ασφαλής εκκίνηση και να μην δώσουν στους χρήστες έναν τρόπο να την απενεργοποιήσουν. Ωστόσο, δεν γνωρίζουμε πραγματικά τους κατασκευαστές PC που το κάνουν αυτό.

    Ομοίως, ενώ οι κατασκευαστές υπολογιστών πρέπει να συμπεριλάβουν το κύριο κλειδί της Microsoft "Microsoft Windows PCA Production", ώστε τα Windows να μπορέσουν να εκκινήσουν, δεν χρειάζεται να συμπεριλάβουν το κλειδί "Microsoft Corporation UEFI CA". Αυτό το δεύτερο κλειδί συνιστάται μόνο. Είναι το δεύτερο, προαιρετικό κλειδί που χρησιμοποιεί η Microsoft για να υπογράψει φορτωτές εκκίνησης Linux. Η τεκμηρίωση του Ubuntu εξηγεί αυτό.

    Με άλλα λόγια, δεν είναι όλα τα PC να εκκινήσουν απαραίτητα υπογεγραμμένες διανομές Linux με ενεργοποιημένη την Ασφαλής εκκίνηση. Και πάλι, στην πράξη, δεν έχουμε δει κανένα υπολογιστή που το έκανε αυτό. Ίσως κανένας κατασκευαστής PC δεν θέλει να κάνει τη μόνη σειρά φορητών υπολογιστών που δεν μπορείτε να εγκαταστήσετε το Linux.

    Προς το παρόν, τουλάχιστον, οι mainstream PC των Windows θα πρέπει να επιτρέπουν την απενεργοποίηση της Ασφαλούς εκκίνησης αν θέλετε και θα πρέπει να εκκινήσουν τις διανομές Linux που έχουν υπογραφεί από τη Microsoft ακόμα κι αν δεν απενεργοποιήσετε την ασφαλή εκκίνηση.

    Δεν είναι δυνατή η απενεργοποίηση της ασφαλούς εκκίνησης στο Windows RT, αλλά το Windows RT είναι νεκρό

    Όλα τα παραπάνω ισχύουν για τα τυπικά λειτουργικά συστήματα των Windows 8 και 10 στο πρότυπο υλικό Intel x86. Είναι διαφορετικό για το ARM.

    Στο Windows RT, η έκδοση των Windows 8 για το υλικό ARM, η οποία διατέθηκε στο Surface RT και Surface 2 της Microsoft, μεταξύ άλλων συσκευών, δεν μπόρεσε να απενεργοποιηθεί. Σήμερα, το Secure Boot δεν μπορεί να απενεργοποιηθεί σε υλικό Windows 10 Mobile - με άλλα λόγια τα τηλέφωνα που εκτελούν τα Windows 10.

    Αυτό οφείλεται στο γεγονός ότι η Microsoft ήθελε να σκεφτείτε τα συστήματα Windows RT βασισμένα σε ARM ως "συσκευές", όχι υπολογιστές. Όπως δήλωσε η Microsoft στο Mozilla, το Windows RT "δεν είναι πια Windows".

    Ωστόσο, το Windows RT είναι πλέον νεκρό. Δεν υπάρχει έκδοση του λειτουργικού συστήματος επιτραπέζιων υπολογιστών των Windows 10 για υλικό ARM, επομένως αυτό δεν είναι κάτι που πρέπει να ανησυχείτε πια. Ωστόσο, αν η Microsoft επιστρέψει το υλικό Windows RT 10, πιθανότατα δεν θα μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση σε αυτήν.

    Image Credit: Πρεσβευτής Βάσης, John Bristowe

    Πώς πρέπει να αποθηκεύσω παλιούς σκληρούς δίσκους και ηλεκτρονικά εξαρτήματα;
    Πόσο έξυπνος ή αποτελεσματικός μπορεί να είναι ένα δίκτυο γραφείου στο χώρο εργασίας;
    Πώς είναι ασφαλείς οι αποθηκευμένοι κωδικοί πρόσβασης του προγράμματος περιήγησης Chrome;
    Επόμενο άρθρο
    Πώς είναι ασφαλές το Πρόχειρο των Windows;
    Προηγούμενο άρθρο
    Πώς είναι ασφαλείς οι αποθηκευμένοι κωδικοί πρόσβασης του Internet Explorer;