Cum Secure Boot protejează procesul de pornire al computerului dvs
Secure Boot nu este conceput doar pentru a face rularea Linux mai dificilă. Există avantaje reale de securitate de a avea Secure Boot activat și chiar și utilizatorii Linux pot beneficia de ele.

Un BIOS tradițional va porni orice software. Când porniți computerul, acesta verifică dispozitivele hardware în funcție de ordinea de pornire pe care ați configurat-o și încearcă să pornească de pe ele. PC-urile obișnuite vor găsi și porni în mod normal încărcătorul de pornire Windows, care continuă să pornească sistemul de operare Windows complet. Dacă utilizați Linux, BIOS-ul va găsi și va porni încărcătorul de boot GRUB, pe care îl folosesc majoritatea distribuțiilor Linux.

Cu toate acestea este posibil ca programele malware, cum ar fi un rootkit, să înlocuiască încărcătorul de pornire. Rootkit-ul ar putea încărca sistemul dvs. de operare normal fără nicio indicație că ceva este în neregulă, rămânând complet invizibil și nedetectabil pe sistemul dvs. BIOS-ul nu cunoaște diferența dintre malware și un încărcător de pornire de încredere – pur și simplu pornește orice găsește.

Secure Boot este conceput pentru a opri acest lucru. PC-urile cu Windows 8 și 10 sunt livrate cu certificatul Microsoft stocat în UEFI. UEFI va verifica încărcătorul de pornire înainte de a-l lansa și se va asigura că este semnat de Microsoft. Dacă un rootkit sau un alt program malware înlocuiește încărcătorul de pornire sau îl modifică, UEFI nu îi va permite să pornească. Acest lucru împiedică malware-ul să vă deturneze procesul de pornire și să se ascundă de sistemul dvs. de operare.

• Cum permite Microsoft să pornească distribuțiile Linux cu pornirea securizată?

Această caracteristică este, teoretic, concepută doar pentru a proteja împotriva programelor malware. Deci Microsoft oferă o modalitate de a ajuta distribuțiile Linux să pornească oricum. De aceea, unele distribuții Linux moderne, cum ar fi Ubuntu și Fedora, vor „funcționa doar” pe computerele moderne, chiar și cu Secure Boot activat. Distribuțiile Linux pot plăti o taxă unică de 99 USD pentru a accesa portalul Microsoft Sysdev, unde pot solicita semnarea încărcătoarelor de pornire.

Distribuțiile Linux au, în general, un „shim” semnat. Shim este un mic încărcător de pornire care pur și simplu pornește încărcătorul de pornire GRUB principal al distribuțiilor Linux. Dispozitivul semnat de Microsoft verifică pentru a se asigura că pornește un încărcător de pornire semnat de distribuția Linux, iar apoi distribuția Linux pornește în mod normal.

Ubuntu, Fedora, Red Hat Enterprise Linux și openSUSE acceptă în prezent Secure Boot și vor funcționa fără modificări pe hardware-ul modern. S-ar putea să fie și altele, dar acestea sunt cele de care suntem conștienți. Unele distribuții Linux se opun din punct de vedere filozofic cererii de a fi semnate de Microsoft.

• Cum puteți dezactiva sau controla pornirea securizată?

Dacă asta ar fi tot ce a făcut Secure Boot, nu ai putea rula pe computerul tău niciun sistem de operare neaprobat de Microsoft. Dar probabil că puteți controla Secure Boot din firmware-ul UEFI al computerului dvs., care este ca BIOS-ul pe computerele mai vechi.

Există două moduri de a controla Secure Boot. Cea mai ușoară metodă este să mergeți la firmware-ul UEFI și să îl dezactivați complet. Firmware-ul UEFI nu va verifica pentru a vă asigura că rulați un încărcător de pornire semnat și orice va porni. Puteți porni orice distribuție Linux sau chiar să instalați Windows 7, care nu acceptă Secure Boot. Windows 8 și 10 vor funcționa bine, veți pierde doar avantajele de securitate de a avea Secure Boot să vă protejeze procesul de pornire.

De asemenea, puteți personaliza în continuare Secure Boot. Puteți controla ce certificate de semnare oferă Secure Boot. Sunteți liber să instalați certificate noi și să eliminați certificatele existente. O organizație care rulează Linux pe computerele sale, de exemplu, ar putea alege să elimine certificatele Microsoft și să instaleze propriul certificat al organizației în locul său. Aceste PC-uri ar porni apoi doar încărcătoarele de boot aprobate și semnate de acea organizație specifică.

O persoană ar putea face acest lucru, de asemenea, ați putea să vă semnați propriul încărcător de pornire Linux și să vă asigurați că computerul poate porni doar încărcătoarele de pornire pe care le-ați compilat și semnat personal. Acesta este tipul de control și putere oferit de Secure Boot.

Microsoft nu cere doar furnizorilor de PC-uri să activeze Secure Boot dacă doresc acel autocolant frumos de certificare „Windows 10” sau „Windows 8” pe computerele lor. Microsoft cere producătorilor de PC-uri să o implementeze într-un mod specific.

Pentru computerele cu Windows 8, producătorii au trebuit să vă ofere o modalitate de a dezactiva Secure Boot. Microsoft le-a cerut producătorilor de PC-uri să pună un comutator de oprire Secure Boot în mâinile utilizatorilor.

Pentru computerele cu Windows 10, acest lucru nu mai este obligatoriu. Producătorii de computere pot alege să activeze Secure Boot și să nu ofere utilizatorilor o modalitate de a o dezactiva. Cu toate acestea, nu cunoaștem de fapt niciun producător de PC-uri care să facă acest lucru.

În mod similar, deși producătorii de PC-uri trebuie să includă cheia principală Microsoft „Microsoft Windows Production PCA” pentru ca Windows să poată porni, ei nu trebuie să includă cheia „Microsoft Corporation UEFI CA”. Această a doua cheie este doar recomandată. Este a doua cheie opțională pe care Microsoft o folosește pentru a semna încărcătoarele de boot Linux. Documentația Ubuntu explică acest lucru.

Cu alte cuvinte, nu toate PC-urile vor porni neapărat distribuțiile Linux semnate cu Secure Boot activat. Din nou, în practică, nu am văzut niciun PC care să facă asta. Poate că niciun producător de PC-uri nu dorește să creeze singura linie de laptopuri pe care nu poți instala Linux. Deocamdată, cel puțin, computerele Windows mainstream ar trebui să vă permită să dezactivați Secure Boot dacă doriți și ar trebui să pornească distribuțiile Linux care au fost semnate de Microsoft, chiar dacă nu dezactivați Secure Boot.

Toate cele de mai sus sunt valabile pentru sistemele de operare standard Windows 8 și 10 pe hardware-ul standard Intel x86. Este diferit pentru ARM.

Pe Windows RT — versiunea Windows 8 pentru hardware ARM, care a fost livrat pe Surface RT și Surface 2 de la Microsoft, printre alte dispozitive — Secure Boot nu a putut fi dezactivată. Astăzi, Secure Boot încă nu poate fi dezactivată pe hardware-ul Windows 10 Mobile – cu alte cuvinte, telefoanele care rulează Windows 10.

Asta pentru că Microsoft a vrut să vă gândiți la sistemele Windows RT bazate pe ARM ca „dispozitive”, nu PC-uri. După cum a spus Microsoft pentru Mozilla, Windows RT „nu mai este Windows”.

Cu toate acestea, Windows RT este acum mort. Nu există nicio versiune a sistemului de operare desktop Windows 10 pentru hardware-ul ARM, așa că nu mai trebuie să vă faceți griji. Dar, dacă Microsoft aduce înapoi hardware-ul Windows RT 10, probabil că nu veți putea dezactiva Secure Boot pe acesta.