כיצד עובד אתחול מאובטח ב- Windows 8 ו- 10, ומה המשמעות עבור לינוקס

מחשבים מודרניים נשלחים עם תכונה הנקראת "אתחול מאובטח". זוהי תכונת פלטפורמה ב- UEFI, המחליפה את ה- BIOS המסורתי למחשב. אם יצרן מחשבים אישיים מעוניין להציב מדבקת לוגו "Windows 10" או "Windows 8" למחשב האישי שלה, מיקרוסופט דורשת שהם יפעילו אתחול מאובטח ויעקבו אחר כמה הנחיות.

למרבה הצער, זה גם מונע ממך להתקין כמה הפצות לינוקס, שיכולות להיות די טרחה.

כיצד מאתחל מאובטח מאבטח את תהליך האתחול של המחשב האישי שלך

אתחול מאובטח לא נועד רק להקשות על הפעלת לינוקס. ישנם יתרונות אבטחה אמיתיים בכך שהאפשרות Secure Boot מופעלת, ואפילו משתמשי לינוקס יכולים ליהנות מהם.

BIOS מסורתי יאתחל כל תוכנה. כאשר אתה מאתחל את המחשב, הוא בודק את התקני החומרה בהתאם לסדר האתחול שהגדרת ומנסה לאתחל מהם. מחשבים אופייניים בדרך כלל ימצאו ויתחילו את מטעין האתחול של Windows, אשר ימשיך לאתחל את מערכת ההפעלה המלאה של Windows. אם אתה משתמש בלינוקס, ה- BIOS יאתחיל את מטעין האתחול GRUB, בו משתמשים רוב הפצות לינוקס.

עם זאת, ייתכן שתוכנות זדוניות, כגון rootkit, יחליפו את מטעין האתחול שלך. ה- rootkit יכול לטעון את מערכת ההפעלה הרגילה שלך ללא שום אינדיקציה לכך שמשהו לא בסדר, להישאר בלתי נראה לחלוטין ולא ניתן לגילוי במערכת שלך. ה- BIOS לא יודע מה ההבדל בין תוכנה זדונית לבין מטעין אתחול מהימן - הוא פשוט אתחול כל מה שהוא מוצא.

אתחול מאובטח נועד לעצור זאת. מחשבי Windows 8 ו- 10 נשלחים עם האישור של מיקרוסופט המאוחסן ב- UEFI. UEFI תבדוק את מטעין האתחול לפני שתשיק אותו ותוודא שהוא חתום על ידי מיקרוסופט. אם ערכת שורש או חלק אחר של תוכנות זדוניות אכן מחליפות את מטעין האתחול שלך או מטפלות בו, UEFI לא תאפשר לו אתחול. זה מונע מתוכנות זדוניות לחטוף את תהליך האתחול ולהסתיר את עצמו ממערכת ההפעלה שלך.

כיצד מיקרוסופט מאפשרת להפעלות לינוקס עם אתחול מאובטח

תיאוריה זו נועדה, להלכה, להגן מפני תוכנות זדוניות. אז מיקרוסופט מציעה דרך לעזור להפצות לינוקס בכל מקרה. זו הסיבה שחלק מההפצות המודרניות של לינוקס - כמו אובונטו ופדורה - "פשוט יעבדו" על מחשבים מודרניים, אפילו כאשר האפשרות Secure Boot מופעלת. הפצות לינוקס יכולות לשלם תשלום חד-פעמי של 99 דולר על מנת לגשת לפורטל Microsoft Sysdev, שם הם יכולים להגיש בקשה לחתימת מעמיסי האתחול שלהם.

להפצות לינוקס בדרך כלל יש סימן "שים". ה- shim הוא מטעין אתחול קטן שפשוט מאתחל את מטעין האתחול הראשי של GRUB להפצות לינוקס. ה- shim החתום על ידי מיקרוסופט בודק שהוא מאתחל מטעין אתחול חתום על ידי הפצת לינוקס, ואז הפצת לינוקס מתנחלת כרגיל.

אובונטו, פדורה, Red Hat Enterprise Linux ו- openSUSE תומכות כעת ב- Secure Boot, והן יעבדו ללא שום שינויים בחומרה המודרנית. יכול להיות שיש אחרים, אבל אלה שאנחנו מודעים להם. חלק מההפצות של לינוקס מתנגדות מבחינה פילוסופית להגשת בקשה לחתימה על ידי מיקרוסופט.

כיצד ניתן להשבית או לשלוט באתחול מאובטח

אם זה היה כל מה ש- Boot Boot עשה, לא תוכל להריץ שום מערכת הפעלה שאינה מאושרת על ידי מיקרוסופט במחשב האישי שלך. אבל סביר להניח שאתה יכול לשלוט על אתחול מאובטח מקושחת ה- UEFI של המחשב שלך, שהיא כמו ה- BIOS במחשבים ישנים יותר.

ישנן שתי דרכים לשלוט באתחול מאובטח. השיטה הקלה ביותר היא לפנות אל הקושחה של UEFI ולהשבית אותה לחלוטין. הקושחה של UEFI לא תוודא שאתה מפעיל מטעין אתחול חתום, וכל דבר יאתחל. אתה יכול לאתחל כל הפצה של לינוקס או אפילו להתקין את Windows 7, שאינו תומך באתחול מאובטח. Windows 8 ו- 10 יעבדו בסדר, פשוט תאבד את יתרונות האבטחה בכך ש- Secure Boot מגן על תהליך האתחול שלך.

באפשרותך גם להתאים אישית את האתחול המאובטח. אתה יכול לשלוט באילו אישורי חתימה Secure Boot מציע. אתה רשאי להתקין אישורים חדשים ולהסיר אישורים קיימים. ארגון שהפעיל את לינוקס במחשבי המחשב שלו, למשל, יכול היה לבחור להסיר את האישורים של מיקרוסופט ולהתקין את האישור של הארגון במקומו. מחשבים אלה היו רק אתחול מטעני אתחול שאושרו ונחתמו על ידי ארגון ספציפי זה.

אדם יכול לעשות זאת גם אתה יכול לחתום על מטעין אתחול לינוקס משלך ולהבטיח שהמחשב שלך יכול רק לאתחל מטעני אתחול שחיברת וחתמת באופן אישי. זה סוג של שליטה וכוח שמציע אתחול מאובטח.

מה מיקרוסופט דורשת מיצרני מחשבים אישיים

מיקרוסופט לא רק דורשת מספקי מחשבים להפעיל את Secure Boot אם הם רוצים את מדבקת ההסמכה "Windows 10" או "Windows 8" הנחמדה במחשבים האישיים שלהם. מיקרוסופט דורשת מיצרני מחשבים ליישם אותה בצורה מסוימת.

עבור מחשבי Windows 8, היצרנים היו צריכים לתת לך דרך לבטל את האתחול המאובטח. מיקרוסופט דרשה מיצרני מחשבים אישיים לשים מתג Secure Boot kill בידי המשתמשים.

במחשבי Windows 10 זה כבר לא חובה. יצרני מחשבים אישיים יכולים לבחור לאפשר אתחול מאובטח ולא לתת למשתמשים דרך לכבות אותו. עם זאת, אנחנו לא מודעים למעשה ליצרני מחשבים שעושים זאת.

באופן דומה, בעוד שיצרני מחשבים אישיים צריכים לכלול את מקש "Microsoft Windows Production PCA" הראשי של מיקרוסופט כדי ש- Windows יוכל לבצע אתחול, הם אינם חייבים לכלול את מקש "UEFI CA" של Microsoft Corporation. המפתח השני הזה מומלץ בלבד. זהו המפתח השני, האופציונלי, בו משתמשת מיקרוסופט לחתימת מטעי האתחול של לינוקס. התיעוד של אובונטו מסביר זאת.

במילים אחרות, לא כל מחשבי המחשב יאתחילו בהכרח הפצות לינוקס חתומות עם Secure Boot מופעל. שוב, בפועל, לא ראינו מחשבים אישיים שעשו זאת. אולי אף יצרן מחשבים אישיים לא רוצה ליצור את השורה היחידה של מחשבים ניידים שלא תוכלו להתקין עליהם את לינוקס.

לעת עתה, לפחות, מחשבי Windows רגילים אמורים לאפשר לך להשבית את האתחול המאובטח אם תרצה, והם צריכים לאתחל הפצות לינוקס שנחתמו על ידי מיקרוסופט גם אם אינך משבית את האתחול המאובטח.

לא ניתן היה להשבית אתחול מאובטח ב- Windows RT, אך Windows RT מת

קשורים: מהו Windows RT וכיצד הוא שונה מ- Windows 8?

כל האמור לעיל נכון לגבי מערכות הפעלה רגילות של Windows 8 ו- 10 בחומרת x86 הרגילה של אינטל. זה שונה עבור ARM.

ב- Windows RT - הגרסה של Windows 8 לחומרת ARM, שנשלחה בין השאר למכשירי Surface RT ו- Surface 2 - לא ניתן היה להשבית את Secure Boot. כיום, לא ניתן עדיין להשבית אתחול מאובטח בחומרה של Windows 10 Mobile - במילים אחרות, טלפונים המריצים את Windows 10.

הסיבה לכך היא שמיקרוסופט רצתה שתחשבו על מערכות Windows RT מבוססות ARM כ"התקנים ", ולא על מחשבים אישיים. כפי שמיקרוסופט אמרה למוזילה, Windows RT "כבר לא חלונות".

עם זאת, Windows RT מת כעת. אין גרסה של מערכת ההפעלה השולחנית של Windows 10 לחומרת ARM, אז זה לא משהו שאתה צריך לדאוג יותר. אך אם מיקרוסופט תחזיר את חומרת Windows RT 10, סביר להניח שלא תוכל להשבית את האתחול המאובטח עליו.

קרדיט תמונה: בסיס השגריר, ג'ון בריסטו