Како безбедно подизање система ради на Виндовсима 8 и 10 и шта то значи за Линук

Савремени рачунари испоручују се са функцијом названом „Сигурно покретање“. Ово је функција платформе у УЕФИ-у, која замењује традиционални ПЦ БИОС. Ако произвођач рачунара жели да на свој рачунар постави налепницу са логотипом „Виндовс 10“ или „Виндовс 8“, Мицрософт захтева да омогуће безбедно покретање система и поштују неке смернице.

Нажалост, такође вас спречава да инсталирате неке Линук дистрибуције, што може бити прилично гњаважа.

Како безбедно покретање система осигурава процес покретања рачунара

Сецуре Боот није дизајниран само да отежава покретање Линука. Омогућавање сигурног покретања система има стварне сигурносне предности, па чак и корисници Линука могу од тога имати користи.

Традиционални БИОС покреће било који софтвер. Када покренете рачунар, он проверава хардверске уређаје у складу са редоследом покретања који сте конфигурисали и покушава да се покрене са њих. Типични рачунари ће обично пронаћи и покренути Виндовс покретачки програм, који наставља да покреће пуни оперативни систем Виндовс. Ако користите Линук, БИОС ће пронаћи и покренути ГРУБ покретачки програм, који користи већина Линук дистрибуција.

Међутим, могуће је да малваре, као што је рооткит, замени ваш покретачки програм. Рооткит може учитати ваш уобичајени оперативни систем без икаквих назнака да нешто није у реду, остајући потпуно невидљив и неоткривен на вашем систему. БИОС не зна разлику између малвера и поузданог покретачког програма - он само покреће све што нађе.

Сецуре Боот је дизајниран да заустави ово. Рачунари са оперативним системом Виндовс 8 и 10 испоручују се са Мицрософтовим сертификатом ускладиштеним у УЕФИ. УЕФИ ће проверити покретачки програм пре покретања и осигурати да га потписује Мицрософт. Ако рооткит или други комад злонамерног софтвера замени ваш покретачки програм или га неовлашћено подмеће, УЕФИ му неће дозволити покретање. Ово спречава да малвер отме ваш процес покретања и прикрије се од вашег оперативног система.

Како Мицрософт дозвољава Линук дистрибуцијама да се покрећу помоћу сигурног покретања

Ова функција је, у теорији, управо дизајнирана за заштиту од малвера. Дакле, Мицрософт нуди начин да Линук дистрибуцијама ионако помогне. Због тога ће неке модерне Линук дистрибуције - попут Убунту-а и Федоре-е "само радити" на модерним рачунарима, чак и са омогућеним сигурним покретањем. Линук дистрибуције могу платити једнократну накнаду од 99 долара за приступ порталу Мицрософт Сисдев, где се могу пријавити за потписивање својих покретачких програма.

Линук дистрибуције углавном имају потпис "схим". Схим је мали покретачки програм који једноставно покреће главни дистрибутивни систем ГРУБ за покретање Линук дистрибуција. Подметач који је потписао Мицрософт проверава да ли покреће боот лоадер потписан од Линук дистрибуције, а затим се Линук дистрибуција нормално покреће.

Убунту, Федора, Ред Хат Ентерприсе Линук и опенСУСЕ тренутно подржавају Сецуре Боот и радиће без икаквих подешавања на савременом хардверу. Можда постоје и други, али ово су они којих смо свесни. Неке дистрибуције Линука филозофски се противе пријави да их потпише Мицрософт.

Како можете онемогућити или контролисати безбедно покретање система

Да је то све што је учинило Сецуре Боот, на рачунару не бисте могли да покренете ниједан оперативни систем који није одобрио Мицрософт. Али сигурно можете да контролишете Сецуре Боот са УЕФИ фирмвера рачунара, који је попут БИОС-а на старијим рачунарима.

Постоје два начина за контролу сигурног покретања. Најлакши начин је да се упутите на УЕФИ фирмвер и потпуно га онемогућите. УЕФИ фирмвер неће проверити да ли покрећете потписани покретачки програм и да ли ће се све покренути. Можете да покренете било коју Линук дистрибуцију или чак инсталирате Виндовс 7, који не подржава Сецуре Боот. Виндовс 8 и 10 ће добро функционисати, само ћете изгубити безбедносне предности ако Сецуре Боот заштити ваш процес покретања.

Такође можете додатно прилагодити Сецуре Боот. Можете да контролишете које цертификате за потписивање нуди Сецуре Боот. Можете и инсталирати нове сертификате и уклонити постојеће. На пример, организација која је на својим рачунарима покренула Линук, могла би да уклони Мицрософт-ове сертификате и уместо ње инсталира сопствени сертификат. Ти рачунари би тада покретали само покретачке покретачке програме које је одобрила и потписала та одређена организација.

То би могао учинити и појединац - могли бисте да потпишете сопствени Линук лоадер и осигурате да ваш рачунар може покренути само боот лоадер који сте лично саставили и потписали. То је врста контроле и снаге коју нуди Сецуре Боот.

Шта Мицрософт захтева од произвођача рачунара

Мицрософт не захтева само да добављачи рачунара омогуће Сецуре Боот ако желе ту лепу налепницу за сертификацију „Виндовс 10“ или „Виндовс 8“ на својим рачунарима. Мицрософт захтева да произвођачи рачунара то примене на специфичан начин.

За рачунаре са оперативним системом Виндовс 8, произвођачи су морали да вам дају начин да искључите Сецуре Боот. Мицрософт је захтевао од произвођача рачунара да ставе прекидач за безбедно покретање система у руке корисника.

За рачунаре са оперативним системом Виндовс 10 ово више није обавезно. Произвођачи рачунара могу да одлуче да омогуће Сецуре Боот и не дају корисницима могућност да га искључе. Међутим, заправо нисмо упознати ни са једним произвођачем рачунара који то ради.

Слично томе, док произвођачи рачунара морају да укључују главни Мицрософтов кључ „Мицрософт Виндовс Продуцтион ПЦА“ да би Виндовс могао да се покреће, они не морају да садрже кључ „Мицрософт Цорпоратион УЕФИ ЦА“. Овај други кључ се препоручује само. То је други, опционални кључ који Мицрософт користи за потписивање Линук учитавача. Убунту-ова документација то објашњава.

Другим речима, неће сви рачунари нужно покретати потписане Линук дистрибуције са укљученим Сецуре Боот-ом. Опет, у пракси нисмо видели ниједан рачунар који је ово урадио. Можда ниједан произвођач рачунара не жели да направи једину линију преносних рачунара на којима не можете да инсталирате Линук.

За сада, макар основни Виндовс рачунари требало би да вам омогуће онемогућавање сигурног покретања ако желите, а требало би да покрећу Линук дистрибуције које је потписао Мицрософт, чак и ако не онемогућите безбедно покретање.

Сигурно покретање система није могло бити онемогућено на Виндовс РТ-у, али Виндовс РТ је мртав

ПОВЕЗАН:Шта је Виндовс РТ и по чему се разликује од Виндовс 8?

Све наведено важи за стандардне оперативне системе Виндовс 8 и 10 на стандардном хардверу Интел к86. За АРМ је другачије.

На оперативном систему Виндовс РТ - верзији Виндовс 8 за АРМ хардвер, која се, између осталих уређаја, испоручује на Мицрософтовим Сурфаце РТ и Сурфаце 2, није могуће онемогућити безбедно покретање система. Данас сигурно покретање још увек није могуће онемогућити на хардверу Виндовс 10 Мобиле - другим речима, телефонима који раде под оперативним системом Виндовс 10.

То је зато што је Мицрософт желео да Виндовс РТ системе засноване на АРМ-у сматрате „уређајима“, а не рачунаром. Као што је Мицрософт рекао Мозилли, Виндовс РТ „више није Виндовс“.

Међутим, Виндовс РТ је сада мртав. Не постоји верзија оперативног система Виндовс 10 за стони рачунар за АРМ-хардвер, па ово више није нешто о чему бисте морали да бринете. Али, ако Мицрософт врати Виндовс РТ 10 хардвер, вероватно нећете моћи да онемогућите безбедно покретање на њему.

Заслуга за слику: База амбасадора, Јохн Бристове


$config[zx-auto] not found$config[zx-overlay] not found