2024 Forfatter: Peter John Melton | [email protected]. Sidst ændret: 2023-12-16 04:48
Desværre forhindrer det dig også i at installere nogle Linux-distributioner, hvilket kan være noget besvær.
Hvor sikker opstart sikrer din pc's opstartsproces
Secure Boot er ikke kun designet til at gøre kører Linux vanskeligere. Der er reelle sikkerhedsfordele ved at have Secure Boot aktiveret, og endda Linux-brugere kan have gavn af dem.
En traditionel BIOS starter enhver software. Når du starter din pc, kontrollerer den hardwareenhederne i henhold til den opstartsrækkefølge, du har konfigureret, og forsøger at starte fra dem. Typiske pc'er vil normalt finde og starte Windows boot loader, som fortsætter med at starte det fulde Windows-operativsystem. Hvis du bruger Linux, vil BIOS finde og starte GRUB boot loader, som de fleste Linux distributioner bruger.
Det er dog muligt for malware, som en rootkit, at erstatte din boot loader. Rootkit kunne indlæse dit normale operativsystem uden at indikere noget var forkert, forbliver helt usynligt og uopdageligt på dit system. BIOS kender ikke forskellen mellem malware og en pålidelig boot loader-den støtter bare, hvad den finder.
Secure Boot er designet til at stoppe dette. Windows 8 og 10 pc'er leveres med Microsofts certifikat, der er gemt i UEFI. UEFI vil kontrollere boot loader før lanceringen det og sikre, at det er underskrevet af Microsoft. Hvis en rootkit eller et andet stykke malware erstatter din boot loader eller manipulerer med det, vil UEFI ikke tillade det at starte. Dette forhindrer malware fra at kapre din opstartsproces og skjule sig fra dit operativsystem.
Hvordan Microsoft tillader Linux-distributioner at starte med Secure Boot
Linux-distributioner har generelt en "shim" underskrevet. Shim er en lille boot loader, der simpelthen starter Linux GRUB boot loader. Den Microsoft-underskrevne shim kontrollerer, at det starter en bootloader, der er underskrevet af Linux-distributionen, og derefter Linux-distributionstøvlerne normalt.
Ubuntu, Fedora, Red Hat Enterprise Linux, og openSUSE understøtter i øjeblikket Secure Boot, og vil arbejde uden nogen tweaks på moderne hardware. Der kan være andre, men det er dem, vi er opmærksomme på. Nogle Linux-distributioner er filosofisk imod at anmode om at blive underskrevet af Microsoft.
Sådan kan du deaktivere eller kontrollere sikker opstart
Der er to måder at kontrollere Secure Boot på. Den nemmeste metode er at gå til UEFI-firmwaren og deaktivere den helt. UEFI-firmwaren kontrollerer ikke, at du kører en signeret boot loader, og noget vil starte. Du kan starte en Linux-distribution eller endda installere Windows 7, som ikke understøtter Secure Boot. Windows 8 og 10 fungerer fint, du vil bare miste sikkerhedsfordelene ved at have Secure Boot beskytte din opstartsproces.
Du kan også yderligere tilpasse Secure Boot. Du kan kontrollere, hvilke signaturcertifikater Secure Boot tilbyder. Du kan både installere nye certifikater og fjerne eksisterende certifikater. En organisation, der kørte Linux på sine pc'er, kunne for eksempel vælge at fjerne Microsofts certifikater og installere organisationens eget certifikat på stedet. Disse pc'er ville da kun starte opstartslæssere godkendt og underskrevet af den pågældende organisation.
En person kunne også gøre det - du kunne underskrive din egen Linux boot loader og sikre, at din pc kun kunne starte boot loader du personligt kompileret og underskrevet. Det er den slags kontrol og magt Secure Boot tilbud.
Hvad Microsoft kræver af pc-producenter
Microsoft kræver ikke bare, at pc-leverandører aktiverer Secure Boot, hvis de vil have den gode "Windows 10" eller "Windows 8" -certificeringsklister på deres pc'er. Microsoft kræver, at pc-producenter implementerer det på en bestemt måde.
For Windows 8-pc'er måtte fabrikanterne give dig mulighed for at slukke for Secure Boot. Microsoft krævede pc-producenter at sætte en Secure Boot kill-switch i brugernes hænder.
For Windows 10-pc'er er dette ikke længere obligatorisk. PC-producenter kan vælge at aktivere Secure Boot og ikke give brugerne mulighed for at slukke det. Men vi er faktisk ikke klar over nogen pc-producenter, der gør dette.
På samme måde, mens pc-producenter skal inkludere Microsofts vigtigste "Microsoft Windows Production PCA" -tast, så Windows kan starte, skal de ikke medtage "Microsoft Corporation UEFI CA" -tasten. Denne anden nøgle anbefales kun. Det er den anden valgfri nøgle, som Microsoft bruger til at underskrive Linux-opstartslæsere. Ubuntu's dokumentation forklarer dette.
Med andre ord vil ikke alle pc'er nødvendigvis starte bootede Linux-distributioner med Secure Boot tændt. I praksis har vi ikke set nogen pc'er, der gjorde dette. Måske ønsker ingen pc-producent at lave den eneste linje af bærbare computere, som du ikke kan installere Linux på.
I det mindste skal almindelige Windows-pc'er i det mindste give dig mulighed for at deaktivere Secure Boot, hvis du vil, og de skal starte Linux-distributioner, der er blevet underskrevet af Microsoft, selvom du ikke deaktiverer Secure Boot.
Secure Boot kunne ikke deaktiveres på Windows RT, men Windows RT er Dead
På Windows RT-versionen kunne Windows 8-versionen til ARM-hardware, der afsendes på Microsofts Surface RT og Surface 2, ikke være deaktiveret. I dag kan Secure Boot stadig ikke deaktiveres på Windows 10 Mobile hardware - med andre ord, telefoner, der kører Windows 10.
Det skyldes, at Microsoft ønskede, at du skulle tænke på ARM-baserede Windows RT-systemer som "enheder", ikke pc'er. Som Microsoft fortalte Mozilla, er Windows RT "ikke Windows længere."
Windows RT er dog nu død. Der er ingen version af Windows 10-desktop-operativsystemet til ARM-hardware, så dette er ikke noget, du skal bekymre dig om mere. Men hvis Microsoft bringer tilbage Windows RT 10-hardware, vil du sandsynligvis ikke kunne deaktivere Secure Boot på den.
Anbefalede:
Hvad betyder "alt er en fil" betyder i Linux?
En af de grundlæggende funktioner i Linux og andre UNIX-lignende operativsystemer er, at "alt er en fil." Dette er en forenkling, men forståelse hvad det betyder hjælper dig med at forstå, hvordan Linux fungerer.
Hvad betyder "Game Mode" på mit tv eller monitor betyder?
Hvis du nogensinde har gravet rundt om dine tv'er eller skærmens billedjusteringsmenu, har du måske stødt på noget, der hedder "spiltilstand." Hvad betyder det? Lad os bryde det ned.
Hvad betyder "denne pakke er dårlig kvalitet" betyder det for Ubuntu?
Installer mange tredjeparts .deb-pakker på Ubuntu - selv almindelig software af høj kvalitet som Google Chrome og Skype - og du vil se en fejl, der siger, at pakken er af dårlig kvalitet. Vi vil forklare, hvad denne skræmmende udseende egentlig betyder.
Hvad betyder "fri som i tale" eller "fri som i øl" virkelig betyder?
I open source-samfundet hører du ofte sætningen "fri som i tale" eller "fri som i øl" i forbindelse med softwareprodukter, men hvad betyder disse sætninger rent faktisk? Lad os gå igennem betydningen bag hver.
Hvad er sikker tilstand i Windows? Hvad er forskellige typer af sikker tilstand?
Hvad er Safe Mode i Windows, og hvad er de forskellige typer Safe Mode - som Safe Mode, Safe Mode med Networking eller med Command Prompt. Lad os se her!