Hur säker start fungerar på Windows 8 och 10, och vad det betyder för Linux
Moderna datorer levereras med en funktion som heter "Secure Boot" aktiverat. Detta är en plattformsfunktion i UEFI, som ersätter den traditionella PC BIOS. Om en PC-tillverkare vill lägga in en "Windows 10" eller "Windows 8" -logotikett till sin dator, kräver Microsoft att de aktiverar Secure Boot och följer några riktlinjer.
Tyvärr förhindrar du också att du installerar vissa Linux-distributioner, vilket kan vara ganska krångel.
Hur säker uppstart säkrar datorns startprocess
Secure Boot är inte bara konstruerad för att göra körning av Linux svårare. Det finns verkliga säkerhetsfördelar att ha Secure Boot aktiverat, och även Linux-användare kan dra nytta av dem.
En traditionell BIOS startar någon programvara. När du startar din dator kontrollerar den maskinvaruenheterna enligt startordningen du har konfigurerat och försöker starta från dem. Typiska datorer kommer normalt att hitta och starta Windows boot loader, som fortsätter att starta hela Windows operativsystemet. Om du använder Linux kommer BIOS att hitta och starta GRUB-startläsaren, som de flesta Linux-distributioner använder.
Det är dock möjligt att skadlig programvara, till exempel en rootkit, ersätter din startläsare. Rotkitet kan ladda ditt normala operativsystem utan att du vet att något var fel, förblir helt osynligt och odetekterbart på ditt system. BIOS känner inte till skillnaden mellan skadlig kod och en pålitlig boot loader-det stöter bara på vad den finner.
Secure Boot är utformad för att stoppa detta. Windows 8 och 10 datorer levereras med Microsofts certifikat som lagras i UEFI. UEFI kommer att kontrollera startläsaren innan den startas och se till att den är signerad av Microsoft. Om en rootkit eller en annan del av skadlig kod ersätter din startläsare eller manipulerar den, tillåter UEFI inte att den startas. Detta förhindrar att skadlig programvara kapar din startprocess och döljer sig från ditt operativsystem.
Hur Microsoft tillåter Linux-distributioner att starta med säker start
Denna funktion är i teorin bara avsedd att skydda mot skadlig kod. Så Microsoft erbjuder ett sätt att hjälpa Linux-distribueringsstart ändå. Därför kommer vissa moderna Linux-distributioner som Ubuntu och Fedora att "bara fungera" på moderna datorer, även med Secure Boot enabled. Linux-distributioner kan betala en engångsavgift på $ 99 för att komma åt Microsoft Sysdev-portalen, där de kan ansöka om att deras startläsare har skrivit under.
Linux-distributioner har vanligtvis en "shim" signerad. Shim är en liten startlastare som enkelt stöter på Linux-distributionens huvud GRUB-laddare. Den Microsoft-signerade shimkontrollen kontrollerar att den startar en startladdare undertecknad av Linux-distributionen, och sedan distribueras Linux-stövlarna normalt.
Ubuntu, Fedora, Red Hat Enterprise Linux och openSUSE stöder för närvarande Secure Boot, och kommer att fungera utan några tweaks på modern hårdvara. Det kan finnas andra, men det är de vi är medvetna om. Vissa Linux-distributioner är filosofiskt motsatta för att de ska anmälas av Microsoft.
Hur du kan inaktivera eller kontrollera säker start
Om det var allt Secure Boot gjorde, skulle du inte kunna köra ett icke-Microsoft-godkänt operativsystem på din dator. Men du kan sannolikt kontrollera Secure Boot från datorns UEFI-firmware, vilket är som BIOS i äldre datorer.
Det finns två sätt att styra Secure Boot. Den enklaste metoden är att gå till UEFI-firmware och inaktivera den helt. UEFI-firmware kontrollerar inte att du kör en signerad startladdare, och allt kommer att starta. Du kan starta Linux-distribution eller installera Windows 7, som inte stöder Secure Boot. Windows 8 och 10 fungerar bra, du kommer bara att förlora säkerhetsfördelarna med att ha Secure Boot skydda din startprocess.
Du kan också ytterligare anpassa Säker start. Du kan styra vilka signeringscertifikat Secure Boot erbjuder. Du är fri att både installera nya certifikat och ta bort befintliga certifikat. En organisation som körde Linux på sina datorer kan till exempel välja att ta bort Microsofts certifikat och installera organisationens eget certifikat på plats. Dessa datorer skulle då bara starta startlastare godkända och signerade av den specifika organisationen.
En enskild person kan också göra det här - du kan skriva in din egen Linux-startläsare och se till att din dator bara kan starta startlastare som du personligen har sammanställt och skrivit. Det är den typ av kontroll och kraft som Secure Boot erbjuder.
Vilken Microsoft kräver av PC-tillverkare
Microsoft behöver inte bara PC-leverantörer aktivera Secure Boot om de vill ha den fina "Windows 10" eller "Windows 8" -certifieringsklisteren på sina datorer. Microsoft kräver att PC-tillverkare implementerar det på ett visst sätt.
För Windows 8-datorer måste tillverkare ge dig ett sätt att stänga av Secure Boot. Microsoft krävde att PC-tillverkare skulle sätta en Secure Boot kill-brytare i användarnas händer.
För Windows 10-datorer är detta inte längre obligatoriskt. PC-tillverkare kan välja att aktivera Secure Boot och inte ge användarna möjlighet att stänga av det. Vi är dock inte medvetna om några PC-tillverkare som gör det här.
På samma sätt, medan PC-tillverkare måste inkludera Microsofts huvudsakliga "Microsoft Windows Production PCA" -nyckel så att Windows kan starta, behöver de inte innehålla "Microsoft Corporation UEFI CA" -nyckeln. Den här nyckeln är endast rekommenderad. Det är den andra valfria nyckeln som Microsoft använder för att underteckna Linux-startläsare. Ubuntus dokumentation förklarar detta.
Med andra ord kommer inte alla datorer nödvändigtvis att starta signerade Linux-distributioner med Secure Boot påslagen. I praktiken har vi inte sett några datorer som gjorde det här. Kanske ingen PC-tillverkare vill göra den enda raden av bärbara datorer som du inte kan installera Linux på.
För närvarande bör åtminstone de vanliga Windows-datorerna tillåta dig att inaktivera Secure Boot om du vill, och de ska starta Linux-distributioner som har skrivits av Microsoft även om du inte inaktiverar Secure Boot.
Säker uppstart kunde inte stängas av på Windows RT, men Windows RT är Dead
Allt ovanstående gäller för vanliga Windows 8 och 10 operativsystem på standard Intel x86-hårdvara. Det är annorlunda för ARM.
På Windows RT-versionen kunde inte Windows 8-versionen för ARM-hårdvara, som skickades på Microsofts Surface RT och Surface 2, bland annat enheter-Secure Boot inaktiveras. Idag kan Secure Boot fortfarande inte stängas av på Windows 10 Mobile-hårdvara-med andra ord, telefoner som kör Windows 10.
Det beror på att Microsoft ville att du skulle tänka på ARM-baserade Windows RT-system som "enheter", inte datorer. Som Microsoft berättade Mozilla är Windows RT "inte Windows längre."
Windows RT är dock nu död. Det finns ingen version av operativsystemet Windows 10 för ARM-hårdvara, så det här är inte något du behöver oroa dig för längre. Men om Microsoft tar tillbaka Windows RT 10-hårdvara, kommer du troligtvis inte att kunna inaktivera Secure Boot på den.
Bildkredit: Ambassadörbas, John Bristowe