Moderne PCs Schiff mit einer Funktion namens “Secure Boot” aktiviert. Dies ist eine Plattform-Funktion im UEFI, das an die Stelle des traditionellen PC BIOS. Wenn ein PC-Hersteller will statt einer “Windows 10” oder “Windows 8” – logo-Aufkleber auf seinen PC, Microsoft erfordert, aktivieren Sie Secure Boot und einige Richtlinien zu Folgen.
Leider, es verhindert auch die Installation einiger Linux-Distributionen, die kann ziemlich mühsam sein.
Wie Secure Boot Schützt Ihre PC-Boot-Vorgang
Secure Boot ist nicht nur entworfen, um unter Linux schwieriger. Gibt es echte Sicherheit Vorteile, wenn Secure Boot aktiviert ist, und sogar Linux-Benutzer davon profitieren können.
Ein traditionelles BIOS startet keine software. Wenn Sie Ihren PC Hochfahren, es prüft die hardware-Geräte nach der boot-Reihenfolge, die Sie konfiguriert haben, und versucht zu Booten. Typische PCs normalerweise finden, und starten Sie den Windows boot-loader, der geht auf zu Booten, die die vollständigen Windows-Betriebssystem. Wenn Sie Linux verwenden, das BIOS finden und starten Sie den boot-loader GRUB, der von den meisten Linux-Distributionen verwenden.
Es ist jedoch möglich für malware wie rootkit, ersetzen Sie die boot-loader. Könnte das rootkit laden Sie Ihr normales Betriebssystem mit keine Anzeige nichts war falsch, bleiben völlig unsichtbar und nicht nachweisbar auf Ihrem system. Das BIOS kennt nicht mal den Unterschied zwischen malware und einem vertrauenswürdigen boot-loader–Stiefel, was es findet.
Secure Boot ist entworfen, um dies zu stoppen. Windows 8-und 10-PCs Schiff mit Microsoft-Zertifikat im UEFI. UEFI überprüfen Sie die boot-loader vor dem starten und es ist sicher, von Microsoft signiert. Wenn ein rootkit oder ein weiteres Stück von malware nicht ersetzen Sie Ihre boot-loader oder ihn manipulieren, UEFI wird nicht lassen Sie es zu Booten. Dies verhindert, dass malware von hijacking Ihres boot-Prozess und verbergen sich von Ihrem Betriebssystem.
Wie Microsoft Ermöglicht Linux-Distributionen zu Booten mit Secure Boot
Dieses feature ist in der Theorie, nur entworfen, um Schutz gegen malware. So bietet Microsoft einen Weg, um zu helfen Linux-Distributionen Booten sowieso. Das ist, warum einige moderne Linux-Distributionen wie Ubuntu und Fedora–wird “einfach funktionieren” auf modernen PCs, auch mit Secure Boot aktiviert. Linux-Distributionen können zahlen eine einmalige Gebühr von $99 für den Zugriff auf Microsoft Sysdev-portal, wo Sie anwenden können, um Ihre boot-loader signiert.
Linux-Distributionen haben in der Regel ein “shim” unterzeichnet. Der shim ist ein kleines boot-loader, der einfach bootet die Linux-Distributionen main GRUB-boot-loader. Der von Microsoft signierte shim überprüft, um sicherzustellen, dass es das Booten einer boot-loader signiert von der Linux-distribution, und dann die Linux-distribution, die Stiefel in der Regel.
Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE derzeit die Unterstützung von Secure Boot, und funktioniert ohne irgendwelche tweaks auf moderner hardware. Es mag andere geben, aber diese sind diejenigen, die wir kennen. Einige Linux-Distributionen sind philosophisch im Gegensatz zu der Anwendung, werden Sie von Microsoft signiert sind.
Wie Können Sie Deaktivieren oder Control Secure Boot
Wenn das alles war Secure Boot hast, Sie wäre nicht in der Lage zu laufen, alle nicht-Microsoft-genehmigt Betriebssystem auf Ihrem PC. Aber wahrscheinlich können Sie Steuern, Secure Boot aus, die Ihren PC UEFI-firmware, das ist wie das BIOS bei älteren PCs.
Es gibt zwei Wege, um Secure Boot. Die einfachste Methode ist, den Kopf auf die UEFI-firmware und deaktivieren Sie es vollständig. Die UEFI-firmware nicht überprüfen, um sicherzustellen, Sie mit einer signierten boot-loader, und alles, was gestartet wird. Sie können die boot-beliebigen Linux-distribution oder Windows 7 installieren, die nicht unterstützt Secure Boot. Windows 8 und 10 wird funktionieren, Sie werden nur verlieren die Sicherheit, die Vorteile der Sicheren Boot-schützen Sie Ihre boot-Prozess.
Sie können auch weiter anpassen Secure Boot. Sie können Steuern, welche signing-Zertifikate Secure Boot bietet. Du bist frei, um beide installieren Sie neue Zertifikate, und entfernen Sie vorhandene Zertifikate. Eine Organisation, die lief Linux auf seine PCs, zum Beispiel, könnte die Option zum entfernen der Microsoft-Zertifikate und installieren Sie die Organisation der eigenen Zertifikat an seinem Platz. Den PC würde dann nur boot-Bootloader genehmigt und unterzeichnet, dass bestimmte Organisation.
Ein einzelner tun könnte, auch so, Sie können melden Sie Ihre eigenen Linux-boot-loader und sicherzustellen, dass Ihr PC kann nur boot-boot-loader, die Sie persönlich zusammengestellt und unterschrieben werden. Das ist die Art von Kontrolle und power Secure Boot bietet.
Was Microsoft Verlangt von PC-Herstellern
Microsoft nicht nur mit der PC-Hersteller aktivieren von Secure Boot, wenn Sie wollen, dass das schöne “Windows 10” oder “Windows 8” – Zertifizierung-Aufkleber auf Ihren PCs. Microsoft fordert die PC-Hersteller implementieren in einer bestimmten Art und Weise.
Für Windows-8-PCs, – Hersteller hatten, um Ihnen einen Weg zu drehen, Secure Boot auszuschalten. Microsoft erforderlich PC-Hersteller, der einen Sicheren Start-kill-Schalter in der Benutzer die Hände.
Für Windows 10 PCs, diese ist nicht mehr zwingend vorgeschrieben. PC-Hersteller können wählen Sie zum aktivieren von Secure Boot und nicht geben dem Anwender eine Möglichkeit, es zu deaktivieren. Wir sind jedoch nicht wirklich bewusst von jedem PC-Hersteller, die dies tun.
Ähnlich, während die PC-Hersteller haben, gehören Microsoft, die wichtigsten “Microsoft Windows Production PCA” – Taste, damit Windows Booten kann, Sie habe nicht mit den “Microsoft Corporation UEFI CA” – Taste. Dieser zweite Schlüssel ist nur zu empfehlen. Es ist der zweite, optionale Schlüssel, der von Microsoft verwendet wird, zu unterzeichnen Linux-boot-loader. Ubuntu-Dokumentation erklärt.
In anderen Worten, nicht alle PCs sind notwendigerweise boot-signierte Linux-Distributionen mit Secure Boot eingeschaltet. Wieder in der Praxis, wir haben nicht gesehen, alle PCs, die dies getan haben. Vielleicht keine PC-Hersteller will damit die einzige Linie von laptops, die Installation von Linux auf.
Zumindest bis heute, die mainstream-Windows-PCs sollte es Ihnen ermöglichen, deaktivieren Sie Secure Boot, wenn Sie möchten, und Sie sollten boot-Linux-Distributionen, wurden Sie von Microsoft signiert sind, auch wenn Sie nicht deaktivieren Sie Secure Boot.
Secure Boot Könnte nicht Deaktiviert Werden, auf Windows RT, sondern Windows RT ist Tot
VERWANDTE ARTIKEL
Was Ist Windows RT, und Wie Unterscheidet Es sich von Windows 8?
Alle der oben genannten gilt für die standard-Windows-8-und 10-Betriebssystemen, die auf dem standard Intel x86-hardware. Es ist unterschiedlich für ARM.
Auf Windows RT—der version von Windows 8 für ARM-hardware, die im Lieferumfang von Microsoft ‘ s Surface RT und Surface 2, unter andere Geräte—Secure-Boot konnte nicht deaktiviert werden. Heute ist Secure Boot immer noch nicht deaktiviert werden, auf Windows 10 Mobile hardware–in anderen Worten, die Telefone mit Windows 10.
Das ist, weil Microsoft wollte, dass Sie denken von ARM-basierten Windows RT Systeme wie die “Geräte” nicht-PCs. Wie Microsoft sagte Mozilla, Windows RT “kein Windows mehr.”
Jedoch, Windows RT ist tot. Es gibt keine version der Windows-10 desktop-Betriebssystem für ARM-hardware, so dass dies nicht etwas, das Sie haben, um über sorgen mehr. Aber, wenn Microsoft nicht zurück zu bringen die Windows-RT-10-hardware, die Sie wahrscheinlich nicht in der Lage, deaktivieren Sie “Secure Boot” auf.
Bild-Kredit: Die Base Botschafter, John Bristowe