Domovská » jak » Jak bezpečná spouštění funguje v systémech Windows 8 a 10 a Co znamená pro Linux

    Jak bezpečná spouštění funguje v systémech Windows 8 a 10 a Co znamená pro Linux

    Moderní počítače dodávané s funkcí "Secure Boot" povolena. Jedná se o platformu v UEFI, která nahrazuje tradiční počítačový BIOS. Pokud chce výrobce počítače umístit do svého počítače nálepku s nálepkou "Windows 10" nebo "Windows 8", vyžaduje společnost Microsoft, aby povolila funkci Secure Boot a dodržovala některé pokyny.

    Bohužel také brání instalaci některých distribucí Linuxu, což může být docela potíže.

    Jak zabezpečené zavádění zabezpečuje proces zavádění počítače

    Secure Boot není určen pouze pro ztížení běžícího systému Linux. Existuje skutečná bezpečnostní výhoda, pokud má Secure Boot povolený, a dokonce i uživatelé Linuxu mohou těžit z nich.

    Tradiční systém BIOS spustí jakýkoli software. Při spuštění počítače zkontroluje hardwarová zařízení podle pořadí zavádění, které jste nakonfigurovali, a pokusí se je spustit. Typické počítače běžně vyhledají a zavádějí zavaděč systému Windows, který zavádí úplný operační systém Windows. Pokud používáte systém Linux, systém BIOS najde a spustí zavaděč GRUB, který používá většina distribucí Linuxu.

    Je však možné, že malware, například rootkit, nahradí zavaděč. Rootkit by mohl načíst váš normální operační systém bez indikace, že se nic nestalo, takže zůstane zcela neviditelný a nedetekovatelný ve vašem systému. Systém BIOS nezná rozdíl mezi škodlivým softwarem a důvěryhodným zavaděčem zaváděcího zařízení - stačí spustit vše, co najde.

    Funkce Secure Boot je navržena tak, aby to zastavila. Počítače se systémem Windows 8 a 10 jsou dodávány s certifikátem společnosti Microsoft uloženým v systému UEFI. UEFI zkontroluje zavaděč před spuštěním a zajistí, aby byl podepsán společností Microsoft. Pokud rootkit nebo jiný malware nahradí váš zavaděč nebo jej manipuluje, UEFI mu nedovolí bootovat. To zabraňuje tomu, aby malware napadl váš zaváděcí proces a aby se z vašeho operačního systému zatajil.

    Jak společnost Microsoft povoluje spouštění distribucí systému Linux se zabezpečeným spuštěním

    Tato funkce je teoreticky navržena pouze pro ochranu před malwarem. Takže Microsoft nabízí způsob, jak napomoci zavádění distribucí Linuxu. To je důvod, proč některé moderní linuxové distribuce - jako Ubuntu a Fedora - budou "pracovat" pouze na moderních počítačích, a to i se zapnutým zabezpečením. Distribuce systému Linux mohou platit jednorázový poplatek ve výši 99 USD za přístup na portál Microsoft Sysdev, kde mohou požádat o podepsání zavaděčů.

    Distribuce Linuxu mají obecně "podložku". Podložka je malý zavaděč, který jednoduše spouští hlavní distributor distribucí systému Linux GRUB. Kontrola shifu podepsaná společností Microsoft ověří, zda je zaváděcí boot loader podepsaný distribucí Linuxu, a potom distribuční obvody systému Linux normálně.

    Ubuntu, Fedora, Red Hat Enterprise Linux a openSUSE aktuálně podporují funkci Secure Boot a budou fungovat bez vylepšení moderního hardwaru. Mohou jít o jiné, ale to jsou ty, o kterých víme. Některé distribuce systému Linux jsou filozoficky protipřístupné podání žádosti o podpis společnosti Microsoft.

    Jak můžete vypnout nebo ovládat zabezpečené spuštění

    Pokud by to bylo vše, co jste udělali, nebylo by možné spustit na vašem počítači žádný operační systém schválený společností Microsoft. Ale pravděpodobně můžete řídit Secure Boot z firmwaru vašeho počítače UEFI, což je jako starší počítače BIOS jako BIOS.

    Existují dva způsoby, jak ovládat zabezpečené spuštění. Nejjednodušší metodou je přejít na firmware UEFI a úplně ji deaktivovat. Firmware UEFI nezkontroluje, zda máte spuštěnou podepsanou zaváděcí jednotku, a vše se spustí. Můžete spustit libovolnou distribuci Linuxu nebo dokonce nainstalovat systém Windows 7, který nepodporuje Secure Boot. Systémy Windows 8 a 10 budou fungovat dobře, ztratíte bezpečnostní výhody, pokud máte zabezpečený spouštěcí proces.

    Můžete také dále přizpůsobit funkci Secure Boot. Můžete řídit, které podpisové certifikáty nabízí Secure Boot. Můžete si nainstalovat nové certifikáty i stávající certifikáty. Organizace, která spustila systém Linux na svých počítačích, se například může rozhodnout odebrat certifikáty společnosti Microsoft a nainstalovat vlastní certifikát organizace na místo. Tyto počítače by pak zaváděly zavaděče pouze schválené a podepsané touto konkrétní organizací.

    Jednotka by to také mohla udělat - můžete podepsat svůj vlastní zavaděč systému Linux a zajistit, aby počítač mohl spouštět pouze bootloadery, které jste osobně sestavili a podepsali. To je druh kontroly a napájení Secure Boot nabízí.

    Co společnost Microsoft vyžaduje od výrobců počítačů

    Společnost Microsoft nejen vyžaduje, aby prodejci počítačů povolili funkci Secure Boot, pokud chtějí na svých počítačích peknou certifikační štítek "Windows 10" nebo "Windows 8". Společnost Microsoft vyžaduje, aby výrobci počítačů implementovali konkrétní řešení.

    U počítačů se systémem Windows 8 museli výrobci poskytnout způsob, jak vypnout funkci Secure Boot. Společnost Microsoft požadovala od výrobců počítačů, aby v uživatelských rukou spustili přepínač Secure Boot kill.

    U počítačů se systémem Windows 10 to již není povinné. Výrobci počítačů si mohou zvolit možnost Secure Boot a neposkytnout uživatelům způsob, jak je vypnout. Nevíme nic o výrobcích osobních počítačů, kteří to dělají.

    Podobně, zatímco výrobci PC musí zahrnovat hlavní klíč "Microsoft Windows PCA", aby mohl systém Windows zavést, nemusí zahrnovat klíč "Microsoft Corporation UEFI CA". Tento druhý klíč se doporučuje pouze. Je to druhý, volitelný klíč, který společnost Microsoft používá k podepisování zavaděčů systému Linux. Ubuntu to vysvětluje.

    Jinými slovy, ne všechny počítače budou nutně spouštět podepsané distribuce Linux se zapnutou ochranou Secure Boot. Opět v praxi jsme neviděli žádné počítače, které by to udělaly. Možná, že žádný výrobce osobních počítačů nechce vytvořit jediný řádek notebooků, na které nemůžete nainstalovat Linux.

    Zatím, alespoň běžné počítače se systémem Windows by vám měly umožnit vypnout funkci Secure Boot, pokud chcete, a měli by spustit distribuce Linuxu, které byly podepsány společností Microsoft, a to i v případě, že nezakážete Secure Boot.

    Secure Boot nemohl být deaktivován v systému Windows RT, ale Windows RT je mrtvý

    Všechno výše uvedené platí pro běžné operační systémy Windows 8 a 10 na standardním hardwaru Intel x86. Je to rozdílné pro ARM.

    V systému Windows RT - verze systému Windows 8 pro hardware ARM, která byla dodávána na povrchy Microsoft Surface RT a Surface 2, mezi ostatními zařízeními - Secure Boot nemohla být zakázána. Secure Boot nemůže být dnes deaktivován v systému Windows 10 Mobile - jinými slovy, v telefonech se systémem Windows 10.

    To proto, že společnost Microsoft chtěla, abyste uvažovali o systémech Windows RT se systémem ARM jako o "zařízeních", nikoliv o počítačích. Microsoft uvedl Mozilla, Windows RT "už není Windows."

    Windows RT je však nyní mrtvý. Neexistuje žádná verze operačního systému Windows 10 pro ARM-hardware, takže se nejedná o něco, o čemu se už musí bát. Ale pokud společnost Microsoft vrátí zpět hardware Windows RT 10, pravděpodobně nebudete moci na něm vypnout funkci Secure Boot.

    Image Credit: Ambassador Base, John Bristowe