К сожалению, это также мешает вам устанавливать некоторые дистрибутивы Linux, что может быть довольно затруднительным.
Как безопасная загрузка защищает процесс загрузки вашего ПК
Безопасная загрузка не просто предназначена для упрощения работы Linux. Существуют настоящие преимущества безопасности при включении Secure Boot, и даже пользователи Linux могут извлечь из них выгоду.
Традиционный BIOS загрузит любое программное обеспечение. Когда вы загружаете свой компьютер, он проверяет аппаратные устройства в соответствии с настроенным вами порядком загрузки и пытается загрузиться с них. Обычно ПК обычно находят и загружают загрузчик Windows, который продолжает загружать полную операционную систему Windows. Если вы используете Linux, BIOS найдет и загрузит загрузчик GRUB, который использует большинство дистрибутивов Linux.
Однако вредоносные программы, такие как руткит, могут заменить ваш загрузчик. Руткит может загружать вашу обычную операционную систему без каких-либо указаний, что-то было не так, оставаясь полностью невидимым и необнаружимым в вашей системе. BIOS не знает разницы между вредоносным ПО и доверенным загрузчиком - он просто загружает все, что находит.
Безопасная загрузка предназначена для этого. Windows 8 и 10 ПК поставляются с сертификатом Microsoft, хранящимся в UEFI. UEFI проверит загрузчик перед его запуском и гарантирует, что он будет подписан Microsoft. Если руткит или другой кусок вредоносного ПО заменяет ваш загрузчик или меняет его, UEFI не позволит ему загружаться. Это предотвращает захват вредоносного ПО вашего процесса загрузки и скрытие от вашей операционной системы.
Как Microsoft разрешает загружать дистрибутивы Linux с помощью безопасной загрузки
В дистрибутивах Linux обычно есть «прокладка». Прокладка представляет собой небольшой загрузчик, который просто загружает основной загрузчик GRUB дистрибутивов Linux. Подписанные Microsoft прокладки проверяют, чтобы загрузить загрузчик, подписанный дистрибутивом Linux, а затем дистрибутив Linux загружается нормально.
Ubuntu, Fedora, Red Hat Enterprise Linux и openSUSE в настоящее время поддерживают Secure Boot и будут работать без каких-либо настроек на современном оборудовании. Могут быть и другие, но это те, о которых мы знаем. Некоторые дистрибутивы Linux философски возражают против того, чтобы их подписали Microsoft.
Как отключить или контролировать безопасную загрузку
Существует два способа управления безопасной загрузкой. Самый простой способ - перейти к прошивке UEFI и полностью отключить его. Прошивка UEFI не будет проверять, чтобы вы запускали подписанный загрузчик, и все будет загружаться. Вы можете загрузить любой дистрибутив Linux или даже установить Windows 7, который не поддерживает Secure Boot. Windows 8 и 10 будут работать нормально, вы просто потеряете преимущества безопасности, обеспечивающие безопасность загрузочного процесса.
Вы также можете дополнительно настроить Безопасную загрузку. Вы можете контролировать, какие подписывающие сертификаты обеспечивают безопасную загрузку. Вы можете устанавливать новые сертификаты и удалять существующие сертификаты. Например, организация, которая запускала Linux на своих ПК, могла выбрать удаление сертификатов Microsoft и установку собственного сертификата организации на своем месте. Затем эти ПК будут загружать только загрузочные загрузчики, одобренные и подписанные этой конкретной организацией.
Человек тоже может это сделать, вы можете подписать свой собственный загрузчик Linux и обеспечить, чтобы ваш компьютер мог загружать только загрузочные файлы, которые вы лично компилировали и подписали. Это вид контроля и обеспечения безопасности.
Что требуется Microsoft для производителей ПК
Microsoft не просто требует, чтобы производители ПК включили безопасную загрузку, если они хотят, чтобы на своих ПК была наклейка с сертификатом «Windows 10» или «Windows 8». Microsoft требует, чтобы производители ПК применяли его определенным образом.
Для ПК с Windows 8 производители должны были предоставить вам возможность отключить защитную загрузку. Microsoft потребовала, чтобы производители ПК установили переключатель «Безопасная загрузка» в руках пользователей.
Для ПК с Windows 10 это больше не является обязательным. Производители ПК могут включить Безопасную загрузку и не дать пользователям способ отключить ее. Тем не менее, мы фактически не знаем производителей ПК, которые это делают.
Аналогичным образом, в то время как производители ПК должны включать основной ключ Microsoft «Microsoft Windows Production PCA», чтобы Windows могла загружаться, им не нужно включать ключ «Microsoft Corporation UEFI CA». Этот второй ключ рекомендуется только. Это второй, дополнительный ключ, который Microsoft использует для подписи загрузчиков Linux. Документация Ubuntu объясняет это.
Другими словами, не все ПК обязательно загружают подписанные дистрибутивы Linux с включенной защищенной загрузкой. Опять же, на практике мы не видели никаких ПК, которые это сделали. Возможно, ни один производитель ПК не хочет создавать единственную линейку ноутбуков, на которую вы не сможете установить Linux.
На данный момент, по крайней мере, обычные ПК с ОС Windows должны позволить вам отключить безопасную загрузку, если хотите, и должны загружать дистрибутивы Linux, которые были подписаны Microsoft, даже если вы не отключите безопасную загрузку.
Безопасная загрузка не может быть отключена в Windows RT, но Windows RT мертва
В Windows RT - версия Windows 8 для аппаратного обеспечения ARM, поставляемая на поверхностях Microsoft Surface RT и Surface 2, среди других устройств - Безопасная загрузка не может быть отключена. Сегодня Secure Boot по-прежнему не может быть отключена на оборудовании Windows 10 Mobile, другими словами, на телефонах под управлением Windows 10.
Это потому, что Microsoft хотела, чтобы вы думали о системах Windows RT на базе ARM как о «устройствах», а не о ПК. Как сообщила Microsoft Mozilla, Windows RT «больше не Windows».
Однако Windows RT теперь мертв. Нет версии настольной операционной системы Windows 10 для ARM-оборудования, поэтому вам больше не о чем беспокоиться. Но если Microsoft вернет оборудование Windows RT 10, вы, вероятно, не сможете отключить его.
