Nažalost, to također sprječava instalaciju nekih Linux distribucija, što može biti prilično teško.
Kako sigurno podizanje sustava štiti proces podizanja vašeg računala
Sigurno pokretanje sustava nije samo dizajnirano kako bi Linux trčanje bio teži. Postoje stvarne sigurnosne prednosti kako bi omogućili Secure Boot, pa čak i Linux korisnici mogu imati koristi od njih.
Tradicionalni BIOS će pokrenuti bilo koji softver. Kada pokrenete računalo, provjerava hardverske uređaje prema redoslijedu podizanja sustava koji ste konfigurirali i pokušava ih podići. Tipična računala obično će pronaći i pokrenuti Windows boot loader, što ide dalje za podizanje cijelog operativnog sustava Windows. Ako koristite Linux, BIOS će pronaći i pokrenuti GRUB boot loader, koji koristi većina Linux distributera.
Međutim, moguće je da zlonamjerni softver, poput korijena, zamijeni program za podizanje sustava. Rootkit može učitati vaš normalan operativni sustav bez naznaka da je nešto pogrešno, ostati potpuno nevidljivo i neotkriveno na vašem sustavu. BIOS ne zna razliku između zlonamjernog softvera i pouzdanim utezima za pokretanje sustava - ona samo pokreće ono što pronađe.
Sigurno pokretanje je dizajnirano kako bi zaustavilo ovo. Windows 8 i 10 računala isporučuju se uz Microsoftov certifikat pohranjen u UEFI. UEFI će provjeriti boot loader prije pokretanja i osigurati da ga potpiše Microsoft. Ako rootkit ili neki drugi zlonamjerni program zamjenjuje vaš utovarivač pokretanja ili ga manipulira, UEFI neće dopustiti da se pokrene. To sprječava da zlonamjerni softver oteti proces vašeg pokretanja i skriva se iz vašeg operativnog sustava.
Kako Microsoft dopušta distribucije Linuxa za podizanje sustava s sigurnim pokretanjem
Linux distribucije obično imaju potpisan "shim". Shim je mali program za podizanje sustava koji jednostavno pokreće glavni GRUB boot loader Linux distribucija. Potpomognuti Microsoftovim provjerama, kako bi se osiguralo da podiže boot loader potpisan od Linux distribucije, a zatim Linux distribucija normalno.
Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE trenutno podržavaju Secure Boot i radit će bez ikakvih ugađanja na suvremenom hardveru. Možda postoje i drugi, ali to su one za koje znamo. Neke Linux distribucije filozofski se protive prijave za potpisivanje od strane Microsofta.
Kako možete onemogućiti ili kontrolirati siguran pokretanje sustava
Postoje dva načina za kontrolu Secure Boot. Najlakši način je da krenete na UEFI firmware i onemogućite ga u cijelosti. UEFI firmware neće provjeriti da li ste pokrenuli potpisani boot loader, i sve će se pokrenuti. Možete pokrenuti bilo koju Linux distribuciju ili čak instalirati sustav Windows 7, koji ne podržava Secure Boot. Windows 8 i 10 će raditi dobro, samo ćete izgubiti sigurnosne prednosti da Secure Boot štiti vaš proces podizanja sustava.
Također možete dodatno prilagoditi Secure Boot. Možete kontrolirati koje certifikate za potpisivanje nude Secure Boot. Slobodno možete instalirati nove certifikate i ukloniti postojeće certifikate. Na primjer, organizacija koja je pokrenula Linux na svojim računalima mogla bi ukloniti Microsoftove certifikate i instalirati vlastitu potvrdu organizacije na njegovo mjesto. Ta će računala tada samo podići boot čistače odobrene i potpisane od strane te specifične organizacije.
Pojedinac bi to mogao učiniti - možete potpisati svoj Linux podizni čarter i osigurati da vaše računalo može samo podići čistače za pokretanje koje ste osobno sastavili i potpisali. To je vrsta kontrole i snage koju nudi Secure Boot.
Što Microsoft zahtijeva od proizvođača računala
Microsoft ne zahtijeva samo da dobavljači računala omogućuju sigurnu podizanje sustava ako žele to lijepo "Windows 10" ili "Windows 8" certifikacijsku naljepnicu na svojim računalima. Microsoft zahtijeva da proizvođači računala implementiraju na određeni način.
Za računala sa sustavom Windows 8, proizvođači su morali dati način da isključite Sigurno pokretanje. Microsoft je zahtijevao proizvođače računala da stavljaju prekidač za uklanjanje sigurnih pokreta u korisnike.
Za računala sa sustavom Windows 10 to više nije obavezno. Proizvođači računala mogu odabrati omogućiti sigurnu podizanje sustava i ne pružiti korisnicima način isključivanja. Međutim, nismo u stvari svjesni proizvođača računala koji to rade.
Slično tome, dok proizvođači računala moraju uključiti Microsoftovo glavno "Microsoft Windows Production PCA" ključ kako bi se sustav Windows mogao pokrenuti, ne moraju uključivati ključ "Microsoft Corporation UEFI CA". Ovaj drugi ključ preporuča se samo. To je drugi, neobavezan ključ koji Microsoft koristi za potpisivanje Linux utovarivača pokretanja. Ubuntuova dokumentacija to objašnjava.
Drugim riječima, sva računala neće nužno pokrenuti potpisane Linux distribucije s uključenim Secure Boot. Opet, u praksi nismo vidjeli nijedna računala koja su to učinila. Možda proizvođač računala ne želi napraviti jedinu liniju prijenosnih računala na koje ne možete instalirati Linux.
Za sada, barem glavna Windows računala bi trebala omogućiti vam da onemogućite Secure Boot ako želite i trebali bi pokrenuti Linux distribucije koje je potpisala tvrtka Microsoft čak i ako ne onemogućite Secure Boot.
Sigurno podizanje sustava ne može se onemogućiti na sustavu Windows RT, ali Windows RT je mrtav
Na Windows RT-verziji sustava Windows 8 za ARM hardver, koji se isporučuju na Microsoft Surface RT i Surface 2, među ostalim uređajima - Sigurno pokretanje sustava nije bilo moguće onemogućiti. Danas se Secure Boot još uvijek ne može onemogućiti na hardveru Windows 10 Mobile - drugim riječima, telefone koji pokreću sustav Windows 10.
To je zato što je Microsoft htio da pomislite na ARM sustave Windows RT kao "uređaje", a ne na osobna računala. Kao što je Microsoft rekao za Mozilla, Windows RT "više nije Windows".
Međutim, Windows RT je sada mrtav. Nema verzije operacijskog sustava operacijskog sustava Windows 10 za ARM hardver, pa to više ne morate brinuti. No, ako Microsoft ponese hardver Windows RT 10, vjerojatno nećete moći onemogućiti Secure Boot na njemu.
