Bohužiaľ, zabraňuje vám aj inštalácii niektorých distribúcií Linuxu, čo môže byť pomerne ťažké.
Ako zabezpečené zavádzanie zabezpečuje proces zavádzania počítača
Funkcia Secure Boot nie je len navrhnutá na to, aby zjednodušila prevádzku Linuxu. Existujú skutočné bezpečnostné výhody, ktoré umožňujú zabezpečiť bezpečnú bootovanie, a dokonca aj používatelia Linuxu môžu mať z nich prospech.
Tradičný systém BIOS spustí akýkoľvek softvér. Pri spúšťaní počítača kontroluje hardvérové zariadenia podľa poradia zavádzania, ktoré ste nakonfigurovali, a pokúša sa ich spustiť. Typické počítače zvyčajne vyhľadajú a spúšťajú zavádzací systém Windows, na ktorom sa spúšťa celý operačný systém Windows. Ak používate systém Linux, systém BIOS nájde a zavádza zavádzač GRUB, ktorý používa väčšina Linuxových distribúcií.
Avšak je možné, že malware, napríklad rootkit, nahradí zavádzač. Rootkit by mohol načítať váš normálny operačný systém bez indikácie, že nie je nič zlé, zostať úplne neviditeľné a nedetekovateľné vo vašom systéme. Systém BIOS nepozná rozdiel medzi škodlivým softvérom a dôveryhodným zavádzacím zariadením - iba to, čo nájde.
Funkcia Secure Boot je navrhnutá tak, aby to zastavila. Počítače so systémom Windows 8 a 10 sa dodávajú s certifikátom spoločnosti Microsoft uloženým v systéme UEFI. UEFI skontroluje zavádzací systém pred spustením a zabezpečí, aby bol podpísaný spoločnosťou Microsoft. Ak rootkit alebo iný kúsok škodlivého softvéru nahradí váš zavádzač alebo ho nahradí, UEFI ho nedovolí zaviesť. To zabraňuje tomu, aby malware zablokoval váš zavádzací proces a aby sa skryl z vášho operačného systému.
Ako spoločnosť Microsoft povoľuje distribúcie Linux na zavádzanie so zabezpečeným zavádzaním
Táto funkcia je teoreticky navrhnutá len na ochranu pred škodlivým softvérom. Takže spoločnosť Microsoft ponúka spôsob, ako pomôcť pri distribúcii distribučných systémov Linuxu. To je dôvod, prečo niektoré moderné distribúcie Linuxu, napríklad Ubuntu a Fedora, "budú práve" fungovať na moderných počítačoch, dokonca aj so zapnutou funkciou Secure Boot. Distribúcie systému Linux môžu platiť jednorazový poplatok vo výške 99 USD na prístup k portálu Microsoft Sysdev, kde môžu požiadať o podpísanie zavádzacích zariadení.
Distribúcie Linuxu majú všeobecne "podpis". Podložka je malý zavádzač, ktorý jednoducho zavádza hlavný zavádzač distribučných systémov GRUB. Kontrola podpisu spoločnosti Microsoft sa skontroluje, aby sa zabezpečilo zavedenie zavádzacieho zariadenia na zavádzanie podpísaného distribúciou Linuxu a potom distribučné bootovanie Linuxu normálne.
Ubuntu, Fedora, Red Hat Enterprise Linux a openSUSE v súčasnosti podporujú Secure Boot a budú fungovať bez vylepšenia moderného hardvéru. Možno existujú aj iné, ale to sú tie, o ktorých vieme. Niektoré distribúcie Linuxu sú filozoficky protirečené tomu, aby podali žiadosť o podpísanie spoločnosťou Microsoft.
Ako môžete zakázať alebo ovládať zabezpečené zavádzanie
Existujú dva spôsoby, ako ovládať Secure Boot. Najjednoduchšia metóda je smerovať do firmvéru UEFI a úplne ho vypnúť. Firmvér UEFI nebude skontrolovať, či máte spustený podpísaný zavádzač a všetko sa spustí. Môžete zaviesť ľubovoľnú Linuxovú distribúciu alebo dokonca nainštalovať systém Windows 7, ktorý nepodporuje Secure Boot. Systém Windows 8 a 10 bude fungovať v poriadku, stratíte bezpečnostné výhody zabezpečenia zavádzacieho procesu.
Môžete tiež ďalej prispôsobiť funkciu Secure Boot. Môžete určiť, ktoré podpisové certifikáty ponúka Secure Boot. Môžete slobodne nainštalovať nové certifikáty a odstrániť existujúce certifikáty. Organizácia, ktorá spustila systém Linux na svojich počítačoch, môže napríklad vybrať odstránenie certifikátov spoločnosti Microsoft a nainštalovať vlastný certifikát organizácie. Tieto počítače by potom spustili iba zavádzacie zariadenia, ktoré schválili a podpísali túto konkrétnu organizáciu.
Jeden by to mohol urobiť aj on - môžete podpisovať vlastný zavádzač systému Linux a zaistiť, aby váš počítač mohol zavádzať iba zavádzacie zariadenia, ktoré ste osobne zostavili a podpísali. To je druh kontroly a výkonu Secure Boot ponúka.
Čo spoločnosť Microsoft vyžaduje od výrobcov počítačov
Spoločnosť Microsoft nevyžaduje len to, aby výrobcovia počítačov povolili zabezpečené zavádzanie, ak chcú peknú "Windows 10" alebo "Windows 8" certifikačnú nálepku na svojich počítačoch. Spoločnosť Microsoft požaduje od výrobcov počítačov, aby ju špecificky implementovali.
Pre počítače s operačným systémom Windows 8 výrobcovia museli dať vám spôsob, ako vypnúť funkciu Secure Boot. Spoločnosť Microsoft požadovala od výrobcov počítačov, aby v rukách používateľov umiestnili prepínač Zablokovanie bezpečného spustenia.
Pre počítače s operačným systémom Windows 10 to už nie je povinné. Výrobcovia počítačov si môžu vybrať možnosť zabezpečiť zavádzanie a nedávať používateľom možnosť vypnúť ho. V skutočnosti však nie sme si vedomí žiadnych výrobcov počítačov, ktorí to robia.
Podobne, zatiaľ čo výrobcovia počítačov musia zahrnúť hlavný kľúč spoločnosti Microsoft "Microsoft Windows PCA", aby mohol systém Windows zavádzať, nemusia obsahovať kľúč "Microsoft Corporation UEFI CA". Tento druhý kľúč sa odporúča len. Je to druhý, voliteľný kľúč, ktorý spoločnosť Microsoft používa na podpísanie zavádzacích systémov Linux. Dokumentácia Ubuntu vysvetľuje túto skutočnosť.
Inými slovami, nie všetky počítače budú nevyhnutne spustiť podpísané distribúcie Linux so zapnutou funkciou Secure Boot. Opäť sme v praxi nevideli žiadne počítače, ktoré to urobili. Možno žiadny výrobca počítačov nechce vytvoriť jediný rad notebookov, na ktoré nemôžete nainštalovať Linux.
Zatiaľ by ste mali používať hlavné počítače so systémom Windows, ktoré by vám umožnili zakázať funkciu Secure Boot, ak chcete, a mali by spustiť distribúcie Linuxu, ktoré boli podpísané spoločnosťou Microsoft, a to aj vtedy, ak neaktivujete systém Secure Boot.
Zabezpečené spustenie nemôže byť zakázané v systéme Windows RT, ale Windows RT je mŕtvy
V systéme Windows RT - verzia systému Windows 8 pre hardvér ARM, ktorá bola dodávaná na platformách Microsoft Surface RT a Surface 2, medzi inými zariadeniami - Secure Boot nemohla byť zakázaná. Secure Boot nemôže byť dnes deaktivovaný v systéme Windows 10 Mobile - inými slovami telefóny, ktoré používajú systém Windows 10.
Je to preto, lebo spoločnosť Microsoft chcela, aby ste si mysleli, že systémy Windows RT založené na ARM sú "zariadenia", nie počítače. Microsoft povedal Mozille, Windows RT "už nie je Windows."
Windows RT je však teraz mŕtvy. Neexistuje žiadna verzia operačného systému Windows 10 pre operačný systém ARM, takže to nie je niečo, na čo sa už musíte obávať. Ak však spoločnosť Microsoft prináša hardvér systému Windows RT 10, pravdepodobne nebudete môcť vypnúť funkciu Secure Boot.
