Moderna pc-Datorer levereras med en funktion som kallas för “Secure Boot” är aktiverat. Detta är en plattform som har i UEFI, som ersätter den traditionella PC BIOS. Om en PC-tillverkaren vill att placera en “Windows-10” eller “Windows 8” – logotypen klistermärke på sin PC, Microsoft kräver att de gör det möjligt för Secure Boot och följa vissa riktlinjer.
Tyvärr, det förhindrar också att du installerar Linux-distributioner, vilket kan vara ganska jobbigt.
Hur Secure Boot Säkrar Din PC uppstartsprocess
Secure Boot är inte bara utformad för att göra som kör Linux svårare. Det är verklig säkerhet fördelar med att ha Secure Boot aktiverad, och även Linux-användare kan dra nytta av dem.
En traditionell BIOS kan starta upp på någon programvara. När du startar DATORN, kontrollerar den hårdvara enheter enligt boot order du har konfigurerat och försöker starta från dem. Typiska pc-Datorer kommer normalt att hitta och starta Windows boot loader, som går ut på att starta hela Windows-operativsystem. Om du använder Linux, BIOS kommer att hitta och starta om starthanteraren GRUB, som de flesta Linux-distributioner använder.
Det är dock möjligt för skadlig kod, till exempel ett rootkit, för att ersätta din starthanterare. Rootkit kan ladda ditt vanliga operativsystem utan indikation på att något var fel, bor helt osynlig och omöjlig att upptäcka på ditt system. BIOS inte vet skillnaden mellan skadlig kod och en trusted boot loader–det bara stövlar vad den hittar.
Secure Boot är utformad för att stoppa detta. Windows 8 och 10 St fartyg med Microsofts certifikat som lagras i UEFI. UEFI kommer in starthanteraren innan du startar den och se till att den är signerad av Microsoft. Om ett rootkit eller en annan bit av skadlig kod inte ersätta din starthanterare eller mixtra med det, UEFI kommer inte att tillåta den att starta. Detta förhindrar att skadlig kod från kapning din boot-processen och dölja sig själv från ditt operativsystem.
Hur Låter Microsoft Linux-Distributioner att Starta med Secure Boot
Denna funktion är, i teorin, bara utformad för att skydda mot skadlig kod. Så Microsoft erbjuder ett sätt att hjälpa Linux-distributioner starta ändå. Det är därför vissa moderna linuxdistributioner–gillar Ubuntu och Fedora–kommer “bara fungera” på moderna Datorer, även med Secure Boot aktiverad. Linux-distributioner kan betala en engångsavgift på $99 för att komma åt Microsoft Sysdev portal, där de kan ansöka om att få sin starthanterare för undertecknad.
Linux-distributioner har i allmänhet en “shims” signerad. Shim är en liten starthanterare att helt enkelt stövlar Linux-distributioner viktigaste starthanteraren GRUB. Microsoft-signerad underläggsplatta kontroller för att säkerställa det är att starta upp en starthanterare som undertecknats av Linux-distribution, och sedan den Linux-distribution stövlar normalt.
Ubuntu, Fedora, Red Hat Enterprise Linux, openSUSE för närvarande stöd för Secure Boot, och kommer att fungera utan några tweaks på modern hårdvara. Det kan vara andra, men dessa är de vi är medvetna om. Vissa Linux-distributioner är filosofiskt motsats till att ansöka om att bli signerade av Microsoft.
Hur Kan Du Avaktivera eller Kontrollera Secure Boot
Om det var allt Secure Boot gjorde det, du skulle inte kunna köra någon icke-Microsoft-godkända operativsystem på din DATOR. Men du kan förmodligen kontroll Secure Boot från datorns BIOS firmware, BIOS i äldre Datorer.
Det finns två sätt att styra Secure Boot. Det enklaste sättet är att gå till UEFI firmware och stänga av det helt. UEFI firmware kommer inte att kontrollera att du kör en signerad boot loader, och allt kommer att starta. Du kan starta någon Linux-distribution eller ens installera Windows 7, som inte har stöd för Secure Boot. Windows 8 och 10 kommer att fungera bra, kommer du bara förlora den säkerhet fördelarna med Secure Boot skydda din boot-processen.
Du kan även ytterligare anpassa Secure Boot. Du kan styra vilka signering av certifikat i Secure Boot erbjuder. Du är fri att både installera de nya certifikat och ta bort befintliga certifikat. En organisation som körde Linux på sina Datorer, till exempel kan välja att ta bort Microsoft-certifikat och installera organisationens egna certifikat på sin plats. Dessa Datorer skulle då endast boot-laddare som godkänts och undertecknats av att specifik organisation.
En individ kan göra detta, kan du registrera din egna Linux-starthanteraren och se till att din DATOR kan endast starta starthanterare för dig personligen sammanställts och undertecknad. Det är den typ av kontroll och makt Secure Boot erbjuder.
Vad Kräver Microsoft PC-Tillverkare
Microsoft inte bara kräver PC-leverantörer aktivera Secure Boot om de vill ha det trevligt “Windows-10” eller “Windows 8” certifiering klistermärke på sina Datorer. Microsoft kräver att PC-tillverkare genomföra det på ett visst sätt.
För Windows 8 St, tillverkarna hade att ge dig ett sätt att stänga av Secure Boot-off. Microsoft krävs PC-tillverkare för att sätta en Secure Boot-döda switch i användarnas händer.
För Windows 10 St, detta är inte längre obligatoriskt. PC-tillverkare kan välja att aktivera Secure Boot och inte ger användarna ett sätt att stänga av det. Men vi är faktiskt inte medvetna om alla PC-tillverkare som gör detta.
På samma sätt, medan PC-tillverkare har att inkludera Microsoft ‘ s main “Microsoft Windows Produktion PCA” – tangenten så att Windows kan starta, de behöver inte inkludera “Microsoft Corporation UEFI CA” – tangenten. Det andra viktiga är bara att rekommendera. Det är den andra, valfri tangent som Microsoft använder för att logga Linux starthanterare. Ubuntu dokumentationen som förklarar detta.
Med andra ord, inte alla Datorer kommer inte nödvändigtvis att starta, undertecknat Linux-distributioner med Secure Boot påslagen. Igen, i praktiken, vi har inte sett några St som gjorde detta. Kanske ingen PC-tillverkaren vill att den enda raden av bärbara datorer att du inte kan installera Linux på.
För nu, åtminstone, vanliga Windows-Datorer gör att du kan inaktivera Secure Boot om du vill, och de ska starta upp Linux-distributioner som har undertecknats av Microsoft även om du inte inaktivera Secure Boot.
Secure Boot Kunde inte Vara Inaktiverad på Windows RT, men Windows RT är Död
RELATERAD ARTIKEL
Allt ovan är sant för vanliga Windows 8 och 10 operativsystem på standard x86-hårdvara. Det är olika för ARM.
På Windows RT—versionen av Windows 8 för ARM-hårdvara som levereras på Microsofts Surface RT och Surface 2, bland andra enheter—Secure Boot kunde inte vara funktionshindrade. Idag, Secure Boot fortfarande inte kan vara inaktiverad på Windows-10 Mobil hårdvara–med andra ord, telefoner som kör Windows-10.
Det beror på att Microsoft vill att du ska tänka på ARM-baserade Windows RT system som “produkter”, inte Datorer. Microsoft berättade Mozilla, Windows RT “är inte Windows längre.”
Men, Windows RT är nu död. Det finns ingen version av Windows 10 operativsystem för ARM-hårdvara, så detta är inte något du behöver oroa dig längre. Men om Microsoft inte få tillbaka Windows RT 10 hårdvara, du kommer förmodligen inte att kunna inaktivera Secure Boot på det.
Image Credit: Ambassadör Bas, John Bristowe