Колико је безбедно покретање на Виндовс 8 и 10 и шта то значи за Линук
Модерни рачунари се испоручују са опцијом која се зове "Сецуре Боот". Ово је платформска функција у УЕФИ-ју, која замјењује традиционални ПЦ БИОС. Ако произвођач рачунара жели да стави налепницу са логотипом „Виндовс 10“ или „Виндовс 8“ на рачунар, Мицрософт захтева да они омогуће безбедно покретање и да следе неке смернице.
Нажалост, такође вас спречава у инсталирању неких Линук дистрибуција, што може бити прилично гњаважа.
Како безбедно покретање обезбеђује процес покретања вашег рачунара
Сецуре Боот није само дизајниран да отежава покретање Линука. Постоје реалне сигурносне предности за омогућавање Сецуре Боот-а, па чак и корисници Линука могу имати користи од њих.
Традиционални БИОС ће покренути сваки софтвер. Када покренете рачунар, он проверава хардверске уређаје у складу са редоследом покретања који сте конфигурисали и покушава да се покрене са њих. Типични ПЦ рачунари ће нормално пронаћи и покренути Виндовс боот лоадер, који наставља са покретањем пуног Виндовс оперативног система. Ако користите Линук, БИОС ће пронаћи и покренути ГРУБ боот лоадер, који користи већина Линук дистрибуција.
Међутим, могуће је да малваре, као што је рооткит, замени ваш покретачки програм. Рооткит би могао да учита ваш нормални оперативни систем без икаквих индикација да је било шта погрешно, и да је потпуно невидљив и неоткривен на вашем систему. БИОС не зна разлику између малваре-а и поузданог боот лоадер-а - он само покреће све што пронађе.
Сецуре Боот је дизајниран да заустави ово. Виндовс 8 и 10 ПЦ се испоручују са Мицрософтовим сертификатом који се чува у УЕФИ. УЕФИ ће проверити покретачки програм пре него што га покрене и проверити да ли га је потписао Мицрософт. Ако рооткит или неки други малициозни програм замени ваш покретачки програм или ометање, УЕФИ неће дозволити да се покрене. Ово спречава да малваре угрози ваш процес подизања система и сакрије се од оперативног система.
Како Мицрософт дозвољава Линук дистрибуцијама да се покрећу са безбедним покретањем
Ова теорија је, у теорији, само дизајнирана да заштити од злонамерног софтвера. Тако Мицрософт нуди могућност да се Линук дистрибуција свеједно покрене. Због тога ће неке модерне Линук дистрибуције, попут Убунтуа и Федора, "једноставно радити" на модерним рачунарима, чак и када је омогућен Сецуре Боот. Линук дистрибуције могу платити једнократну накнаду у износу од $ 99 за приступ Мицрософт Сисдев порталу, гдје се могу пријавити за потписивање својих боот уређаја.
Линук дистрибуције обично имају потписан "схим". Схим је мали покретачки програм који једноставно покреће Линук дистрибуције за главни ГРУБ боот лоадер. Потписани Мицрософт подсетник проверава да ли је дизање боот боот-а потписано Линук дистрибуцијом, а онда се Линук дистрибуција нормално покреће.
Убунту, Федора, Ред Хат Ентерприсе Линук и опенСУСЕ тренутно подржавају Сецуре Боот и радит ће без икаквих измјена на модерном хардверу. Можда постоје други, али ово су они које смо ми свесни. Неке Линук дистрибуције се филозофски противе примени да их Мицрософт потпише.
Како можете онемогућити или контролисати безбедно покретање
Ако је то све било Сецуре Боот, не бисте могли да покренете било који оперативни систем који није одобрен од стране Мицрософта на рачунару. Али, вероватно можете контролисати Сецуре Боот са УЕФИ фирмвера вашег рачунара, који је као БИОС на старијим рачунарима.
Постоје два начина за контролу Сецуре Боот-а. Најлакши начин је да се упутите на УЕФИ фирмваре и онемогућите га у потпуности. УЕФИ фирмваре неће проверити да ли сте покренули потписани боот лоадер, и све ће се покренути. Можете покренути било коју Линук дистрибуцију или чак инсталирати Виндовс 7, који не подржава Сецуре Боот. Виндовс 8 и 10 ће радити добро, изгубићете безбедносне предности од тога да Сецуре Боот заштити ваш процес подизања система.
Можете и додатно прилагодити Сецуре Боот. Можете да контролишете које сертификате нуди Сецуре Боот. Слободно можете инсталирати нове цертификате и уклонити постојеће цертификате. Организација која је водила Линук на својим рачунарима, на пример, могла је да изабере да уклони Мицрософтове сертификате и да на своје место инсталира сопствени сертификат организације. Ти ПЦ-и би тада само одобрили и потписали од стране одређене организације.
Појединац би могао то да уради - могао би да потпишеш свој сопствени Линук боот лоадер и осигураш да твој ПЦ може само да се покрене боот боот лоадер који сте ви особно компајлирали и потписали. То је врста контроле и снаге коју нуди Сецуре Боот.
Шта Мицрософт захтева од произвођача рачунара
Мицрософт не захтева само да произвођачи рачунара омогуће безбедно покретање ако желе да се на рачунару ставе лепе налепнице са сертификатом „Виндовс 10“ или „Виндовс 8“. Мицрософт захтева да га произвођачи рачунара имплементирају на специфичан начин.
За рачунаре са оперативним системом Виндовс 8, произвођачи су морали да вам дају начин да искључите Сецуре Боот. Мицрософт је од произвођача рачунара захтевао да у руке корисника стави прекидач за убиство безбедног покретања.
За Виндовс 10 ПЦ, ово више није обавезно. Произвођачи рачунара могу да изаберу да омогуће безбедно покретање и да корисницима не дају могућност да га искључе. Међутим, ми заправо нисмо упознати са произвођачима рачунара који то раде.
Слично томе, док произвођачи рачунара морају да укључе главни Мицрософтов Мицрософт Виндовс производни ПЦА кључ тако да Виндовс може да се покрене, не морају да укључе кључ „Мицрософт Цорпоратион УЕФИ ЦА“. Овај други кључ се препоручује само. То је други, опциони кључ који Мицрософт користи за потписивање Линук-а. Убунтуова документација објашњава ово.
Другим речима, неће сви рачунари нужно покретати потписане Линук дистрибуције са укљученим Сецуре Боот-ом. Опет, у пракси, нисмо видели ниједан ПЦ који је то урадио. Можда ниједан произвођач рачунара не жели да направи једину линију лаптопа на коју не можете инсталирати Линук.
За сада, барем, маинстреам Виндовс рачунари би требало да вам омогуће да онемогућите Сецуре Боот ако желите, и да би требало да покрену Линук дистрибуције које је Мицрософт потписао чак и ако не онемогућите Сецуре Боот.
Сецуре Боот није могао бити онемогућен на Виндовс РТ-у, али Виндовс РТ је мртав
Све горе наведено важи за стандардне оперативне системе Виндовс 8 и 10 на стандардном Интел к86 хардверу. Другачије је за АРМ.
На Виндовс РТ - верзији Виндовса 8 за АРМ хардвер, који је испоручен на Мицрософтовој површини РТ и Сурфаце 2, међу осталим уређајима - Сецуре Боот није било могуће онемогућити. Данас, Сецуре Боот још увијек не може бити онемогућен на Виндовс 10 Мобиле хардверу - другим ријечима, телефони који покрећу Виндовс 10.
То је зато што је Мицрософт желио да о Виндовс РТ системима заснованим на АРМ-у сматрате „уређаје“, а не рачунаре. Као што је Мицрософт рекао за Мозилла, Виндовс РТ више није Виндовс.
Међутим, Виндовс РТ је сада мртав. Не постоји верзија оперативног система Виндовс 10 за АРМ хардвер, тако да ово више није нешто о чему морате бринути. Али, ако Мицрософт врати Виндовс РТ 10 хардвер, вероватно нећете моћи да онемогућите Сецуре Боот на њему.
Имаге Цредит: Амбасадор База, Јохн Бристове