Moderne Pc ‘ s worden geleverd met een functie genaamd “Secure Boot” is ingeschakeld. Dit is een platform-functie in de UEFI-vervangt de traditionele PC-BIOS. Als een PC-fabrikant wil de plaats van een “Windows-10” of “Windows 8” logo-sticker op hun PC, Microsoft eist dat ze in staat stellen de Secure Boot en volgen een aantal richtlijnen.
Helaas, het voorkomt ook dat u de installatie van een aantal Linux-distributies, die kan nogal een gedoe.
Hoe Secure Boot Beveiligt Uw PC Opstart Proces
Secure Boot is niet alleen ontworpen om Linux moeilijker. Er zijn echte security voordelen aan het hebben van Secure Boot ingeschakeld, en zelfs Linux-gebruikers kunnen profiteren van hen.
Een traditionele BIOS het opstarten van software. Bij het opstarten van je PC, controleert de hardware apparaten volgens de boot volgorde die u heeft ingesteld, en probeert op te starten van hen. Typische Pc ‘ s normaal vinden en opstarten van de Windows boot-lader, die doorloopt tot het opstarten van de volledige Windows-besturingssysteem. Als u Linux, de BIOS zal vinden en opstarten van de GRUB boot loader, die de meeste Linux distributies gebruiken.
Echter, het is mogelijk om malware, zoals een rootkit, voor het vervangen van uw boot loader. De rootkit kan laden van uw normale besturingssysteem geen enkele aanwijzing is dat er iets mis was, blijven volledig onzichtbaar en niet op te sporen op uw systeem. De BIOS weet niet het verschil tussen malware en een vertrouwde boot loader–alleen maar schoenen wat het vindt.
Secure Boot is ontworpen om dit te stoppen. Windows 8 en 10 Pc ‘s worden geleverd met Microsoft’ s certificaat dat is opgeslagen in de UEFI. UEFI zal controleren of de boot loader voor de lancering en ervoor te zorgen dat het is ondertekend door Microsoft. Als een virus of andere malware is het vervangen van uw boot loader of knoeien met het UEFI laten het niet toe om op te starten. Dit voorkomt dat malware uit de overname van uw boot proces en het verbergen van zelf van uw besturingssysteem.
Hoe Microsoft Linux Distributies te Starten met Secure Boot
Deze functie is, in theorie, alleen ontworpen om te beschermen tegen malware. Zo biedt Microsoft een manier om te helpen Linux distributies boot toch. Dat is de reden waarom sommige moderne Linux distributies zoals Ubuntu en Fedora–”gewoon werken” op moderne Pc ‘ s, zelfs met Secure Boot ingeschakeld. Linux distributies kunnen betalen een eenmalig bedrag van $99 voor toegang tot de Microsoft Sysdev portal, waar ze kunnen toepassen om hun boot loaders ondertekend.
Linux distributies hebben over het algemeen een “shim” ondertekend. De shim is een kleine boot loader die gewoon laarzen Linux-distributies belangrijkste GRUB boot loader. De Microsoft-ondertekend shim controles om te verzekeren dat het opstarten van een boot loader is ondertekend door de Linux-distributie, en vervolgens de Linux-distributie laarzen normaal.
Ubuntu, Fedora, Red Hat Enterprise Linux en openSUSE momenteel ondersteuning voor Secure Boot, en zal het werken zonder aanpassingen op moderne hardware. Er kunnen ook andere, maar dit zijn degene die we kennen. Sommige Linux-distributies zijn filosofisch tegenstelling tot de toepassing worden ondertekend door Microsoft.
Hoe Kunt U deze Uitschakelen of Controle Secure Boot
Als dat al Secure Boot deed, zou u niet in staat om het draaien van een niet-Microsoft-goedgekeurd besturingssysteem op uw PC. Maar je kunt waarschijnlijk control Secure Boot van uw PC ‘ s UEFI firmware, die is als de BIOS van oudere computers.
Er zijn twee manieren om te bepalen Secure Boot. De eenvoudigste methode is om het hoofd naar de UEFI-firmware en deze volledig uitschakelen. De UEFI-firmware niet te controleren om ervoor te zorgen u een ondertekend boot loader, en alles zal opstarten. Je kunt opstarten met een Linux-distributie, of zelfs het installeren van Windows 7, die geen ondersteuning voor Secure Boot. Windows 8 en 10) werkt prima, je verliest alleen de beveiliging voordelen van het hebben van de Secure Boot-bescherm uw boot proces.
U kunt ook nog verder aanpassen Secure Boot. U kunt bepalen welke certificaten voor het ondertekenen van de Secure Boot biedt. U bent vrij om te installeren van nieuwe certificaten en verwijderen van bestaande certificaten. Een organisatie die liep van Linux op de Pc ‘ s, bijvoorbeeld, kan ervoor kiezen om te verwijderen van Microsoft certificaten en installeren van de organisatie-eigen certificaat in de plaats. Die Pc ‘ s zou dan alleen boot-boot-laders goedgekeurd en ondertekend door die specifieke organisatie.
Een individu kan dit ook doen–je kon aanmelden van uw eigen Linux boot loader en zorgen ervoor dat uw PC kunnen alleen boot boot loaders u persoonlijk opgesteld en ondertekend. Dat is het soort van controle en macht Secure Boot biedt.
Wat Microsoft Vereist van Fabrikanten van PC
Microsoft werkt niet alleen nodig PC-leveranciers inschakelen van de Secure Boot-als ze dat willen, dat is leuk “Windows-10” of “Windows 8” certificering sticker op hun Pc ‘ s. Microsoft vereist PC-fabrikanten voeren het op een specifieke manier.
Voor Windows 8 Pc ‘ s, fabrikanten moesten geven je een manier om te zetten Secure Boot uit te schakelen. Vereiste Microsoft-PC-fabrikanten om de Secure Boot-kill switch gebruikers’ handen.
Voor Windows-10 Stuks, dit is niet langer verplicht. PC-fabrikanten kunnen kiezen voor het inschakelen van de Secure Boot-en niet-gebruikers een manier om het uit te zetten. Echter, we zijn niet echt bewust van alle PC-fabrikanten die dit doen.
Evenzo, terwijl de PC-fabrikanten op Microsoft ‘ s belangrijkste “Microsoft Windows Productie PCA” toets zodat de Windows kunt opstarten, ze hebben niet de “Microsoft Corporation UEFI CA” – toets. Deze tweede toets is alleen aan te raden. Het is de tweede, optionele sleutel die Microsoft gebruikt voor het ondertekenen Linux boot-laders. Ubuntu documentatie verklaart dit.
In andere woorden, niet alle Pc ‘ s zal noodzakelijkerwijs boot ondertekend Linux distributies met Secure Boot ingeschakeld. Nogmaals, in de praktijk, zijn we nog niet gezien alle Pc ‘ s die dit deed. Misschien geen PC-fabrikant wil de enige in de lijn van laptops kun je niet installeren van Linux op.
Voor nu, op zijn minst, mainstream Windows Pc ‘ s moet u toelaten om te schakelen Secure Boot als je wilt, en ze moeten in de boot Linux distributies die zijn ondertekend door Microsoft, zelfs als u niet uitschakelen Secure Boot.
Secure Boot kan niet Worden Uitgeschakeld in Windows RT, Windows RT is Dood
GERELATEERD ARTIKEL
Wat Is Windows RT, en wat Is Het verschil tussen Windows 8?
Al het bovenstaande geldt voor de standaard Windows 8 en 10 besturingssystemen op de standaard Intel x86-hardware. Het is anders voor ARM.
Op Windows RT—versie van Windows 8 voor ARM-hardware, die geleverd op Microsoft ‘ s Surface RT en de Surface 2, tussen andere apparaten—Secure Boot kon niet worden uitgeschakeld. Vandaag, Secure Boot nog steeds niet kan worden uitgeschakeld in Windows 10 Mobiele hardware–in andere woorden, telefoons met Windows 10.
Dat komt omdat Microsoft wilde je om te denken van ARM-gebaseerde Windows RT systemen als “apparaten” niet-Pc ‘ s. Als Microsoft vertelde Mozilla, Windows RT “is geen Windows meer.”
Echter, Windows RT, is nu dood. Er is geen versie van het Windows-10-desktop-besturingssysteem voor ARM-hardware, dus dit is niet iets om u zorgen te maken over het meer. Maar als Microsoft niet terug te brengen van Windows RT 10 hardware, zul je waarschijnlijk niet in staat zijn uit te schakelen Secure Boot op.
Image Credit: Ambassadeur Base, John Bristowe