Dessverre forhindrer det deg også i å installere noen Linux-distribusjoner, noe som kan være ganske trøbbel.
Hvor sikker oppstart sikrer PC-en din Boot-prosess
Secure Boot er ikke bare designet for å gjøre kjører Linux vanskeligere. Det er virkelige sikkerhetsfordeler ved å ha Secure Boot aktivert, og til og med Linux-brukere kan dra nytte av dem.
En tradisjonell BIOS starter opp programvare. Når du starter datamaskinen, kontrollerer den maskinvareenhetene i henhold til oppstartsrekkefølgen du har konfigurert, og prøver å starte opp fra dem. Typiske PCer vil normalt finne og starte oppstartslasteren for Windows, som fortsetter å starte hele Windows-operativsystemet. Hvis du bruker Linux, vil BIOS finne og starte GRUB boot loader, som de fleste Linux distribusjoner bruker.
Det er imidlertid mulig for skadelig programvare, for eksempel en rootkit, å erstatte oppstartslasteren. Rotkittet kunne laste det vanlige operativsystemet uten at det var noe som var feil, forblir helt usynlig og ikke påviselig på systemet. BIOS vet ikke forskjellen mellom skadelig programvare og en pålitelig oppstartslader - den støtter bare hva den finner.
Secure Boot er designet for å stoppe dette. Windows 8 og 10 PCer leveres med Microsofts sertifikat lagret i UEFI. UEFI vil sjekke oppstartsladeren før du starter den og sørger for at den er signert av Microsoft. Hvis en rootkit eller et annet stykke malware erstatter oppstartslaster eller tukle med det, vil UEFI ikke tillate det å starte opp. Dette forhindrer at skadelig programvare kjører oppstartsprosessen og skjuler seg fra operativsystemet.
Hvordan Microsoft tillater Linux-distribusjoner å starte opp med sikker oppstart
Linux-distribusjoner har generelt signert en "shim". Shim er en liten oppstartslaster som bare støtter Linux-distribusjonens hoved GRUB-opplaster. Den Microsoft-signerte shim-kontrollen kontrollerer at den starter en oppstartslaster signert av Linux-distribusjonen, og deretter Linux-distribusjonsstøvlene normalt.
Ubuntu, Fedora, Red Hat Enterprise Linux, og openSUSE støtter for øyeblikket Secure Boot, og vil fungere uten noen tweaks på moderne maskinvare. Det kan være andre, men det er de vi er klar over. Noen Linux-distribusjoner er filosofisk imot å søke om å bli signert av Microsoft.
Slik kan du deaktivere eller kontrollere sikker oppstart
Det er to måter å kontrollere Secure Boot. Den enkleste metoden er å gå til UEFI-fastvaren og deaktivere den helt. UEFI-programvaren kontrollerer ikke at du kjører en signert oppstartslaster, og alt vil starte opp. Du kan starte en Linux-distribusjon eller installere Windows 7, som ikke støtter Secure Boot. Windows 8 og 10 fungerer bra, du vil bare miste sikkerhetsfordelene ved å ha Secure Boot beskytte oppstartsprosessen din.
Du kan også tilpasse Secure Boot videre. Du kan kontrollere hvilke signeringssertifikater Secure Boot tilbyr. Du kan gratis installere nye sertifikater og fjerne eksisterende sertifikater. En organisasjon som kjørte Linux på sine PCer, kan for eksempel velge å fjerne Microsofts sertifikater og installere organisasjonens eget sertifikat på plass. Disse PCene ville da bare starte oppstartslaster godkjent og signert av den aktuelle organisasjonen.
En person kan også gjøre dette - du kunne signere din egen Linux oppstartslaster og sørge for at PC-en din bare kunne starte oppstartslaster du personlig sammensatt og signert. Det er den typen kontroll og kraft Secure Boot tilbyr.
Hva Microsoft krever av PC Produsenter
Microsoft krever ikke bare at PC-leverandører aktiverer Secure Boot hvis de vil ha den gode "Windows 10" eller "Windows 8" -sertifiseringsklienten på sine PCer. Microsoft krever at PC-produsenter implementerer det på en bestemt måte.
For Windows 8-PCer, måtte produsentene gi deg en måte å slå sikker start på. Microsoft krevde PC-produsenter å sette en Secure Boot kill-bryter i brukernes hender.
For Windows 10-PCer er dette ikke lenger obligatorisk. PC-produsenter kan velge å aktivere Secure Boot og ikke gi brukerne mulighet til å slå den av. Vi er imidlertid ikke klar over noen PC-produsenter som gjør dette.
På samme måte, mens PC-produsenter må inkludere Microsofts viktigste "Microsoft Windows Production PCA" -tast, slik at Windows kan starte opp, må de ikke inkludere "Microsoft Corporation UEFI CA" -tasten. Denne andre nøkkelen anbefales kun. Det er den andre valgfrie nøkkelen som Microsoft bruker til å signere Linux oppstartslaster. Ubuntus dokumentasjon forklarer dette.
Med andre ord, ikke alle PCer vil nødvendigvis starte opprettede Linux-distribusjoner med Secure Boot slått på. Igjen, i praksis har vi ikke sett noen PCer som gjorde dette. Kanskje ingen PC-produsent ønsker å lage den eneste linjen med bærbare datamaskiner du ikke kan installere Linux på.
I det minste skal de vanlige Windows-PCene i det minste tillate deg å deaktivere Secure Boot hvis du vil, og de skal starte Linux-distribusjoner som er signert av Microsoft, selv om du ikke deaktiverer Secure Boot.
Sikker oppstart kan ikke deaktiveres på Windows RT, men Windows RT er Dead
På Windows RT-versjonen av Windows 8 for ARM-maskinvare, som sendes på Microsofts Surface RT og Surface 2, kunne ikke andre enheter-Secure Boot deaktiveres. I dag kan Secure Boot ikke deaktiveres på Windows 10 Mobile-maskinvare, med andre ord, telefoner som kjører Windows 10.
Det er fordi Microsoft ville at du skulle tenke på ARM-baserte Windows RT-systemer som "enheter", ikke PCer. Som Microsoft fortalte Mozilla, er Windows RT "ikke Windows lenger."
Men Windows RT er nå død. Det er ingen versjon av operativsystemet Windows 10 for ARM-maskinvare, så dette er ikke noe du trenger å bekymre deg for lenger. Men hvis Microsoft gir tilbake Windows RT 10-maskinvare, vil du sannsynligvis ikke kunne deaktivere Secure Boot på den.
