Sajnos ez megakadályozza, hogy telepítsen néhány Linux disztribúciót, ami elég baj.
A biztonságos rendszerindítás biztosítja a számítógép indítási folyamatát
A Secure Boot nem csak azért van tervezve, hogy a futó Linuxot nehezebbé tegye. Valódi biztonsági előnyökkel rendelkeznek ahhoz, hogy a Secure Boot engedélyezett legyen, és a Linux felhasználók is részesülhetnek előnyben.
A hagyományos BIOS indít minden szoftvert. Amikor elindítja a számítógépet, ellenőrzi a hardvereszközöket a konfigurált rendszerindítási sorrend szerint, és megpróbálja a rendszerindítást elindítani. A tipikus PC-k általában megtalálják és elindítják a Windows indító betöltőt, amely a teljes Windows operációs rendszer indításához vezet. Ha Linuxot használ, akkor a BIOS megtalálja és indítja el a GRUB boot betöltőt, amelyet a legtöbb Linux disztribúció használ.
Azonban lehetséges, hogy a rosszindulatú programok, például egy rootkit, helyettesítik a rendszertöltőt. A rootkit betöltheti a normál operációs rendszert, és semmi sem utal arra, hogy bármi rossz, teljesen láthatatlan és észrevehetetlen a rendszerben. A BIOS nem ismeri a különbséget a rosszindulatú programok és a megbízható boot betöltő között - csak indít, amit talál.
A Secure Boot célja, hogy megállítsa ezt. A Windows 8 és a 10 PC-k az UEFI-n tárolt Microsoft tanúsítvánnyal szállítanak. Az UEFI ellenőrizni fogja a rendszertöltőt, mielőtt elindítja, és biztosítja, hogy a Microsoft aláírta. Ha egy rootkit vagy egy másik rosszindulatú program helyettesíti a rendszertöltőt, vagy szabotálja meg vele, az UEFI nem engedélyezi a rendszerindításhoz. Ez megakadályozza, hogy a rosszindulatú szoftverek meghiúsuljanak a rendszerindítási folyamatból és elrejtsék magukat az operációs rendszertől.
Hogyan engedélyezi a Microsoft a Linux disztribúciók indítását a biztonságos indítással?
A Linux disztribúciók általában "shim" alá vannak írva. A shim egy kis rendszerindító betöltő, amely egyszerűen elindítja a Linux disztribúciók fő GRUB boot betöltőjét. A Microsoft által aláírt shim-ellenőrzések biztosítják, hogy bootolják a Linux disztribúció által aláírt rendszertöltőt, majd a Linux disztribúció rendszerint indul.
Az Ubuntu, a Fedora, a Red Hat Enterprise Linux és az openSUSE jelenleg támogatja a Secure Boot alkalmazást, és a modern hardverek javítása nélkül is működni fog. Vannak mások is, de ezekről tudunk. Néhány Linux disztribúció filozofikusan ellentétes a Microsoft aláírásával.
Hogyan lehet letiltani vagy ellenőrizni a biztonságos indítást?
A Biztonságos indítás két módja van. A legegyszerűbb módszer az UEFI firmware-hez való vezetés, és teljesen letiltani. Az UEFI firmware nem ellenőrzi annak ellenőrzését, hogy egy aláírt rendszertöltő fut-e, és bármi megindul. Bármely Linux disztribúciót indíthat vagy Windows 7-t is telepíthet, amely nem támogatja a Secure Boot alkalmazást. A Windows 8 és a 10 rendben fog működni, akkor csak elveszítheti a Biztonsági Boot védelmének biztonsági előnyeit.
Továbbá testre szabhatja a Secure Boot programot. Megadhatja, hogy melyik aláírási tanúsítványt használja a Secure Boot. Ingyenes az új tanúsítványok telepítéséhez és a meglévő tanúsítványok eltávolításához. Például egy olyan szervezet, amely Linuxot indított a számítógépén, kiválthatta a Microsoft tanúsítványait, és telepítette a szervezet saját tanúsítványát a helyére. Ezek a számítógépek csak az adott szervezet által jóváhagyott és aláírt boot-betöltőket indíthatják el.
Az egyén ezt is megteheti - beírhatta a saját Linux-indító betöltõjét, és biztosítja, hogy a számítógép csak a személyesen összeállított és aláírt csomagtartókat indíthatja el. Ez a fajta vezérlő és teljesítményű Secure Boot kínál.
Mi a Microsoft a PC-gyártókhoz?
A Microsoft nem csupán azt követeli meg, hogy a PC-gyártók engedélyezzék a Biztonsági Boot-ot, ha a Windows 10 vagy a Windows 8 tanúsítványt szeretik a számítógépükön. A Microsoftnak a PC-gyártók számára speciális módon kell végrehajtania.
A Windows 8 PC-k esetében a gyártóknak módot kellett biztosítaniuk a biztonságos indítás kikapcsolására. A Microsoft a PC-gyártókat kötelezte arra, hogy a felhasználók kezében tartsák a Secure Boot kill kapcsolót.
A Windows 10 PC-k esetében ez már nem kötelező. A PC-gyártók választhatják, hogy lehetővé teszik a Biztonsági indítás engedélyezését, és nem biztosítják a felhasználóknak a kikapcsolást. Azonban nem ismerjük a PC-gyártókat, akik ezt tennék.
Hasonlóképpen, míg a PC-gyártóknak a Microsoft fő "Microsoft Windows Product PCA" kulcsát kell tartalmazniuk, hogy a Windows indíthasson, nem kell a "Microsoft Corporation UEFI CA" kulcsot beilleszteni. Ez a második kulcs csak ajánlott. Ez a második, opcionális kulcs, amelyet a Microsoft Linux aláíró rakodók aláírására használ. Az Ubuntu dokumentációja ezt magyarázza.
Más szóval, nem minden számítógép lesz feltétlenül bootolt aláírt Linux disztribúciók a Secure Boot bekapcsolva. Ismét a gyakorlatban nem láttunk olyan PC-ket, amelyek ezt tették. Lehet, hogy egyetlen PC-gyártó sem akarja, hogy az egyetlen vonalat a laptopokról ne tudja telepíteni a Linuxot.
Most, legalábbis a mainstream Windows PC-knek lehetővé kell tennie a Secure Boot letiltását, ha úgy tetszik, és el kell indítania a Microsoft által aláírt Linux disztribúciókat, még akkor is, ha nem tiltja le a Secure Boot alkalmazást.
A Secure Boot nem lehet letiltani a Windows RT-n, de a Windows RT Dead
A Windows RT rendszeren - a Windows 8 for ARM hardverének verziója, amely a Microsoft Surface RT és Surface 2 rendszeren szállított, más eszközök között - a Biztonságos indításkor nem lehet letiltani. Ma a Biztonsági Boot még mindig nem kapcsolható le a Windows 10 Mobile hardveren - más szavakkal, a Windows 10 futtató telefonokon.
Ez azért van, mert a Microsoft azt akarta, hogy az ARM-alapú Windows RT rendszereket "eszközöknek" tekintsék, nem pedig számítógépekről. Miként a Microsoft elmondta a Mozilla-nak, a Windows RT "már nem a Windows."
A Windows RT azonban halott. Az ARM-hardver Windows 10 asztali operációs rendszerének verziója nem létezik, ezért nem kell többé aggódnia. De ha a Microsoft visszaküldi a Windows RT 10 hardvert, akkor valószínűleg nem tudja letiltani a Secure Boot programot.
