Современные ПК поставляются с включенной функцией «Безопасная загрузка». Это функция платформы в UEFI, которая заменяет традиционный BIOS для ПК. Если производитель ПК хочет разместить наклейку с логотипом «Windows 10» или «Windows 8» на своем ПК, Microsoft требует, чтобы они включили безопасную загрузку и следовали некоторым рекомендациям.
К сожалению, это также мешает вам установить некоторые дистрибутивы Linux, что может быть довольно хлопотно.
- Как Безопасная загрузка защищает процесс загрузки вашего ПК
- Как Microsoft разрешает загрузку дистрибутивов Linux с помощью безопасной загрузки
- Как вы можете отключить или контролировать безопасную загрузку
- Что Microsoft требует от производителей ПК
- Невозможно отключить безопасную загрузку в Windows RT, но Windows RT не работает
Как Безопасная загрузка защищает процесс загрузки вашего ПК
Безопасная загрузка не просто предназначена для того, чтобы сделать запуск Linux более сложным. Наличие защищенной загрузки дает реальные преимущества в плане безопасности, и даже пользователи Linux могут воспользоваться ими.
Традиционный BIOS загрузит любое программное обеспечение. Когда вы загружаете свой компьютер, он проверяет аппаратные устройства в соответствии с порядком загрузки, который вы настроили, и пытается загрузиться с них. Типичные ПК обычно находят и загружают загрузчик Windows, который загружает полную операционную систему Windows. Если вы используете Linux, BIOS найдет и загрузит загрузчик GRUB, который используется в большинстве дистрибутивов Linux.
Однако вредоносное ПО, такое как руткит, может заменить ваш загрузчик. Руткит может загрузить вашу обычную операционную систему без признаков того, что что-то не так, оставаясь полностью невидимым и необнаружимым в вашей системе. BIOS не знает разницы между вредоносным ПО и доверенным загрузчиком – он просто загружает все, что находит.
Безопасная загрузка предназначена, чтобы остановить это. ПК с Windows 8 и 10 поставляются с сертификатом Microsoft, хранящимся в UEFI. UEFI проверит загрузчик перед его запуском и убедится, что он подписан Microsoft. Если руткит или другое вредоносное ПО заменяет ваш загрузчик или вмешивается в него, UEFI не разрешит его загрузку. Это не позволяет вредоносным программам захватить процесс загрузки и скрыть себя от операционной системы.
Как Microsoft разрешает загрузку дистрибутивов Linux с помощью безопасной загрузки
Эта функция теоретически предназначена только для защиты от вредоносных программ. Таким образом, Microsoft предлагает способ загрузки дистрибутивов Linux в любом случае. Вот почему некоторые современные дистрибутивы Linux, такие как Ubuntu и Fedora, будут «просто работать» на современных ПК, даже с включенной безопасной загрузкой. Дистрибутивы Linux могут заплатить единовременную плату в размере 99 долларов за доступ к порталу Microsoft Sysdev, где они могут подать заявку на подпись своих загрузчиков.
Дистрибутивы Linux обычно имеют подпись «shim». Shim – это небольшой загрузчик, который просто загружает основной загрузчик GRUB дистрибутивов Linux. Подписанный Microsoft shim проверяет, загружается ли загрузчик, подписанный дистрибутивом Linux, а затем дистрибутив Linux загружается нормально.
Ubuntu, Fedora, Red Hat Enterprise Linux и openSUSE в настоящее время поддерживают безопасную загрузку и будут работать без каких-либо настроек на современном оборудовании. Могут быть и другие, но это те, о которых мы знаем. Некоторые дистрибутивы Linux философски против подачи заявки на подпись Microsoft.
Как вы можете отключить или контролировать безопасную загрузку
Если бы это было все, что сделала Secure Boot, вы бы не смогли запустить на своем компьютере операционную систему, не одобренную Microsoft. Но вы, вероятно, можете управлять Secure Boot из встроенного ПО UEFI вашего ПК, которое похоже на BIOS в старых ПК.
Существует два способа управления безопасной загрузкой. Самый простой способ – перейти на прошивку UEFI и полностью ее отключить. Микропрограмма UEFI не проверяет, работает ли подписанный загрузчик, и все будет загружаться. Вы можете загрузить любой дистрибутив Linux или даже установить Windows 7, которая не поддерживает Secure Boot. Windows 8 и 10 будут работать нормально, вы просто потеряете преимущества безопасности, если Secure Boot защитит процесс загрузки.
Вы также можете дополнительно настроить безопасную загрузку. Вы можете контролировать, какие сертификаты для подписи предлагает Secure Boot. Вы можете устанавливать новые сертификаты и удалять существующие сертификаты. Например, организация, использующая Linux на своих компьютерах, может удалить сертификаты Microsoft и установить вместо нее собственный сертификат организации. Затем эти ПК будут загружать только те загрузчики, которые одобрены и подписаны этой конкретной организацией.
Это может сделать и отдельный человек – вы можете подписать свой собственный загрузчик Linux и убедиться, что ваш компьютер может загружать только те загрузчики, которые вы лично скомпилировали и подписали. Именно такой контроль и мощь предлагает Secure Boot.
Что Microsoft требует от производителей ПК
Microsoft не просто требует, чтобы производители ПК включили безопасную загрузку, если они хотят, чтобы на их ПК была наклейка с сертификатом «Windows 10» или «Windows 8». Microsoft требует, чтобы производители ПК осуществляли ее особым образом.
Для ПК с Windows 8 производители должны были дать вам возможность отключить безопасную загрузку.Microsoft потребовала, чтобы производители ПК поместили переключатель уничтожения безопасной загрузки в руки пользователей.
Для ПК с Windows 10 это больше не является обязательным. Производители ПК могут включить безопасную загрузку и не предоставлять пользователям возможность отключить ее. Однако на самом деле мы не знаем ни одного производителя ПК, который бы это делал.
Аналогично, хотя производители ПК должны включать основной ключ Microsoft «Microsoft Windows Production PCA», чтобы Windows могла загружаться, им не нужно включать ключ «Microsoft Corporation UEFI CA». Этот второй ключ только рекомендуется. Это второй необязательный ключ, который Microsoft использует для подписи загрузчиков Linux. Документация Ubuntu объясняет это.
Другими словами, не все ПК будут обязательно загружать подписанные дистрибутивы Linux с включенной безопасной загрузкой. Опять же, на практике мы не видели ни одного ПК, который бы делал это. Возможно, ни один производитель ПК не хочет выпускать единственную линейку ноутбуков, на которые вы не сможете установить Linux.
На данный момент, по крайней мере, обычные ПК с Windows должны позволять вам отключать Secure Boot, если хотите, и они должны загружать дистрибутивы Linux, которые были подписаны Microsoft, даже если вы не отключили Secure Boot.
Невозможно отключить безопасную загрузку в Windows RT, но Windows RT не работает
Все вышесказанное справедливо для стандартных операционных систем Windows 8 и 10 на стандартном оборудовании Intel x86. Это отличается для ARM.
В Windows RT – версии Windows 8 для оборудования ARM, которая поставлялась на Microsoft Surface RT и Surface 2, среди других устройств, – Secure Boot не может быть отключена. Сегодня безопасную загрузку по-прежнему нельзя отключить на оборудовании Windows 10 Mobile, иными словами, на телефонах под управлением Windows 10.
Это потому, что Microsoft хотела, чтобы вы воспринимали системы Windows RT на базе ARM как «устройства», а не ПК. Как Microsoft сказала Mozilla, Windows RT «больше не Windows».
Однако Windows RT сейчас мертва. Не существует версии настольной операционной системы Windows 10 для ARM-оборудования, поэтому вам больше не о чем беспокоиться. Но если Microsoft вернет оборудование Windows RT 10, вы, вероятно, не сможете отключить безопасную загрузку на нем.
Кредит Фотографии: Посол База, Джон Бристоу