Paano Gumagana ang Secure Boot sa Windows 8 at 10, at Ano ang Ibig Sabihin nito para sa Linux

Ipinadala ang mga modernong PC na may tampok na tinatawag na "Secure Boot" na pinagana. Ito ay isang tampok sa platform sa UEFI, na pumapalit sa tradisyunal na PC BIOS. Kung nais ng isang tagagawa ng PC na maglagay ng isang sticker ng logo ng "Windows 10" o "Windows 8" sa kanilang PC, kinakailangan ng Microsoft na paganahin ang Secure Boot at sundin ang ilang mga alituntunin.

Sa kasamaang palad, pinipigilan ka din nito mula sa pag-install ng ilang mga pamamahagi ng Linux, na maaaring maging isang abala.

Paano Nakasiguro ng Secure Boot ang Proseso ng Boot ng iyong PC

Ang Secure Boot ay hindi lamang dinisenyo upang gawing mas mahirap ang pagpapatakbo ng Linux. Mayroong mga tunay na kalamangan sa seguridad sa pagkakaroon ng paganahin ang Secure Boot, at kahit na ang mga gumagamit ng Linux ay maaaring makinabang mula sa kanila.

Ang isang tradisyonal na BIOS ay mag-boot ng anumang software. Kapag na-boot mo ang iyong PC, susuriin nito ang mga aparato sa hardware alinsunod sa pagkakasunud-sunod ng boot na na-configure mo, at pagtatangkang mag-boot mula sa kanila. Karaniwan na makahanap at mai-boot ng mga tipikal na PC ang Windows boot loader, na patuloy na i-boot ang buong operating system ng Windows. Kung gumagamit ka ng Linux, mahahanap at i-boot ng BIOS ang GRUB boot loader, na ginagamit ng karamihan sa mga pamamahagi ng Linux.

Gayunpaman, posible para sa malware, tulad ng isang rootkit, na palitan ang iyong boot loader. Maaaring mai-load ng rootkit ang iyong normal na operating system nang walang pahiwatig na anumang mali, mananatiling ganap na hindi nakikita at hindi matutukoy sa iyong system. Hindi alam ng BIOS ang pagkakaiba sa pagitan ng malware at isang pinagkakatiwalaang boot loader – naka-boots lang ito kung ano man ang makita.

Ang Secure Boot ay idinisenyo upang ihinto ito. Ipinapadala ang Windows 8 at 10 PCs na may sertipiko ng Microsoft na nakaimbak sa UEFI. Susuriin ng UEFI ang boot loader bago ilunsad ito at tiyaking nilagdaan ito ng Microsoft. Kung papalitan ng isang rootkit o ibang piraso ng malware ang iyong boot loader o pakialaman ito, hindi ito papayagan ng UEFI na mag-boot. Pinipigilan nito ang malware mula sa pag-hijack sa iyong proseso ng pag-boot at pagtatago mula sa iyong operating system.

Paano Pinapayagan ng Microsoft ang Mga Pamamahagi ng Linux sa Boot gamit ang Secure Boot

Ang tampok na ito ay, sa teorya, dinisenyo lamang upang maprotektahan laban sa malware. Kaya't nag-aalok ang Microsoft ng isang paraan upang matulungan ang mga pamamahagi ng Linux na mag-boot pa rin. Iyon ang dahilan kung bakit ang ilang mga modernong pamamahagi ng Linux – tulad ng Ubuntu at Fedora – ay "gagana" lamang sa mga modernong PC, kahit na pinagana ang Secure Boot. Ang mga pamamahagi ng Linux ay maaaring magbayad ng isang beses na bayad na $ 99 upang ma-access ang portal ng Microsoft Sysdev, kung saan maaari silang mag-apply upang pirmahan ang kanilang mga boot loader.

Ang mga pamamahagi ng Linux sa pangkalahatan ay may "shim" na naka-sign. Ang shim ay isang maliit na boot loader na simpleng binobola ang mga pamamahagi ng Linux pangunahing GRUB boot loader. Ang mga tseke na pinirmahan ng Microsoft upang matiyak na nagbo-boot ito ng isang boot loader na nilagdaan ng pamamahagi ng Linux, at pagkatapos ay normal na ang mga bota ng pamamahagi ng Linux.

Ang Ubuntu, Fedora, Red Hat Enterprise Linux, at openSUSE ay kasalukuyang sumusuporta sa Secure Boot, at gagana nang walang anumang mga pag-aayos sa modernong hardware. Maaaring may iba, ngunit ito ang mga nalalaman natin. Ang ilang mga pamamahagi ng Linux ay pilosopiko na tutol sa pag-apply upang pirmahan ng Microsoft.

Paano Maaari mong Huwag Paganahin o Kontrolin ang Secure Boot

Kung iyon lang ang ginawa ng Secure Boot, hindi mo magagawang magpatakbo ng anumang operating system na hindi naaprubahan ng Microsoft sa iyong PC. Ngunit malamang na makontrol mo ang Secure Boot mula sa UEFI firmware ng iyong PC, na tulad ng BIOS sa mga mas matandang PC.

Mayroong dalawang paraan upang makontrol ang Secure Boot. Ang pinakamadaling pamamaraan ay magtungo sa firmware ng UEFI at hindi ito ganap na huwag paganahin. Hindi susuriin ng firmware ng UEFI upang matiyak na nagpapatakbo ka ng isang naka-sign na boot loader, at anumang mag-boot. Maaari mong i-boot ang anumang pamamahagi ng Linux o kahit na i-install ang Windows 7, na hindi sumusuporta sa Secure Boot. Ang Windows 8 at 10 ay gagana nang maayos, mawawala sa iyo ang mga kalamangan sa seguridad ng pagkakaroon ng Secure Boot na protektahan ang iyong proseso ng boot.

Maaari mo ring karagdagang ipasadya ang Secure Boot. Maaari mong kontrolin kung aling mga sertipiko sa pag-sign ang nag-aalok ng Secure Boot. Malaya ka sa parehong pag-install ng mga bagong sertipiko at alisin ang mga mayroon nang mga sertipiko. Ang isang samahan na nagpatakbo ng Linux sa mga PC nito, halimbawa, ay maaaring pumili na alisin ang mga sertipiko ng Microsoft at mai-install ang sariling sertipiko ng samahan sa lugar nito. Ang mga PC na iyon ay mag-boot lamang ng mga boot loader na naaprubahan at nilagdaan ng tukoy na samahan.

Magagawa rin ito ng isang indibidwal – maaari kang mag-sign ng iyong sariling Linux boot loader at matiyak na maaari lamang mag-boot ang iyong PC ng mga boot loader na personal mong naipon at nilagdaan. Iyon ang uri ng kontrol at kapangyarihan na inaalok ng Secure Boot.

Ano ang Kinakailangan ng Microsoft ng Mga Tagagawa ng PC

Hindi lang hinihingi ng Microsoft ang mga vendor ng PC na paganahin ang Secure Boot kung nais nila ang magandang sticker na "Windows 10" o "Windows 8" na sertipikasyon sa kanilang mga PC. Kinakailangan ng Microsoft ang mga tagagawa ng PC na ipatupad ito sa isang tukoy na paraan.

Para sa mga Windows 8 PC, kailangang bigyan ka ng mga gumawa ng isang paraan upang i-off ang Secure Boot. Kinakailangan ng Microsoft ang mga tagagawa ng PC na maglagay ng isang Secure Boot kill switch sa mga kamay ng mga gumagamit.

Para sa Windows 10 PCs, hindi na ito sapilitan. Ang mga tagagawa ng PC ay maaaring pumili upang paganahin ang Secure Boot at hindi bigyan ang mga gumagamit ng isang paraan upang i-off ito. Gayunpaman, hindi talaga namin alam ang anumang mga tagagawa ng PC na gumagawa nito.

Katulad nito, habang ang mga tagagawa ng PC ay kailangang isama ang pangunahing "Microsoft Windows Production PCA" key upang ang Windows ay maaaring mag-boot, hindi nila kailangang isama ang "Microsoft Corporation UEFI CA" key. Inirerekumenda lamang ang pangalawang susi na ito. Ito ang pangalawa, opsyonal na susi na ginagamit ng Microsoft upang lagdaan ang mga Linux boot loader. Ipinapaliwanag ito ng dokumentasyon ng Ubuntu.

Sa madaling salita, hindi lahat ng mga PC ay kinakailangang mag-boot ng mga naka-sign na pamamahagi ng Linux na naka-on ang Secure Boot. Muli, sa pagsasagawa, wala kaming nakitang anumang mga PC na nagawa ito. Marahil ay walang tagagawa ng PC na nais gawin ang tanging linya ng mga laptop na hindi mo mai-install ang Linux.

Sa ngayon, hindi bababa sa, pangunahing mga Windows PC ay dapat payagan kang huwag paganahin ang Secure Boot kung nais mo, at dapat nilang i-boot ang mga pamamahagi ng Linux na nilagdaan ng Microsoft kahit na hindi mo pinagana ang Secure Boot.

Hindi Ma-disable ang Secure Boot sa Windows RT, ngunit ang Windows RT ay Patay

KAUGNAYAN:Ano ang Windows RT, at Paano Ito Naiiba mula sa Windows 8?

Ang lahat ng nasa itaas ay totoo para sa karaniwang mga operating system ng Windows 8 at 10 sa karaniwang hardware ng Intel x86. Iba ito para sa ARM.

Sa Windows RT — ang bersyon ng Windows 8 para sa ARM hardware, na naipadala sa Microsoft's Surface RT at Surface 2, bukod sa iba pang mga aparato — Ang Secure Boot ay hindi maaaring hindi paganahin. Ngayon, ang Secure Boot ay hindi pa rin ma-disable sa hardware ng Windows 10 Mobile – sa madaling salita, mga teleponong nagpapatakbo ng Windows 10.

Iyon ay dahil nais ng Microsoft na isipin mo ang mga sistema ng Windows RT na nakabatay sa ARM bilang "mga aparato," hindi mga PC. Tulad ng sinabi ng Microsoft kay Mozilla, ang Windows RT "ay hindi na Windows."

Gayunpaman, ang Windows RT ay patay na ngayon. Walang bersyon ng operating system ng Windows 10 para sa ARM-hardware, kaya't hindi na ito ang bagay na dapat mong magalala. Ngunit, kung ibabalik ng Microsoft ang hardware ng Windows RT 10, malamang na hindi mo pagaganahin ang Secure Boot dito.

Credit sa Larawan: Base ng Ambassador, John Bristowe


$config[zx-auto] not found$config[zx-overlay] not found