Secure Boot ทำงานบน Windows 8 และ 10 ได้อย่างไรและมันมีความหมายอย่างไรสำหรับ Linux
พีซีสมัยใหม่มาพร้อมกับคุณสมบัติที่เรียกว่า“ Secure Boot” เปิดใช้งาน นี่คือคุณลักษณะแพลตฟอร์มใน UEFI ซึ่งแทนที่พีซีแบบ BIOS ดั้งเดิม หากผู้ผลิตพีซีต้องการวางสติ๊กเกอร์โลโก้“ Windows 10” หรือ“ Windows 8” ลงบนพีซีของพวกเขา Microsoft ต้องการให้พวกเขาเปิดใช้งาน Secure Boot และปฏิบัติตามคำแนะนำบางอย่าง.
น่าเสียดายที่มันยังป้องกันคุณจากการติดตั้งลีนุกซ์ดิสทริบิวชันบางตัวซึ่งอาจสร้างความยุ่งยากได้.
Secure Boot รักษาความปลอดภัยของกระบวนการ Boot ในพีซีของคุณอย่างไร
Secure Boot ไม่ได้ออกแบบมาเพื่อให้ใช้งานกับ Linux ได้ยากขึ้น มีข้อดีด้านความปลอดภัยที่แท้จริงสำหรับการเปิดใช้งาน Secure Boot และแม้แต่ผู้ใช้ Linux ก็สามารถได้รับประโยชน์จากมัน.
BIOS ดั้งเดิมจะบู๊ตซอฟต์แวร์ใด ๆ เมื่อคุณบู๊ตพีซีมันจะตรวจสอบอุปกรณ์ฮาร์ดแวร์ตามลำดับการบู๊ตที่คุณได้กำหนดค่าไว้และพยายามบูตจากพวกเขา โดยทั่วไปแล้วพีซีทั่วไปจะค้นหาและบูตตัวโหลดการบูตของ Windows ซึ่งจะทำการบูตระบบปฏิบัติการ Windows แบบเต็ม หากคุณใช้ Linux ไบออสจะค้นหาและบู๊ตบูตโหลดเดอร์ GRUB ซึ่งลีนุกซ์ส่วนใหญ่ใช้.
อย่างไรก็ตามเป็นไปได้สำหรับมัลแวร์เช่นรูทคิทเพื่อแทนที่บูตเดอร์ของคุณ รูทคิทสามารถโหลดระบบปฏิบัติการปกติของคุณโดยไม่มีสิ่งบ่งชี้ว่าผิดปกติทำให้มองไม่เห็นอย่างสมบูรณ์และตรวจไม่พบในระบบของคุณ ไบออสไม่ทราบถึงความแตกต่างระหว่างมัลแวร์และบูตโหลดเดอร์ที่ไว้วางใจได้เพียงแค่บูทสิ่งที่พบ.
Secure Boot ถูกออกแบบมาเพื่อหยุดสิ่งนี้ พีซีที่ใช้ Windows 8 และ 10 มาพร้อมกับใบรับรองของ Microsoft ที่จัดเก็บใน UEFI UEFI จะตรวจสอบบูตโหลดเดอร์ก่อนเปิดใช้งานและตรวจสอบให้แน่ใจว่าได้ลงนามโดย Microsoft หากรูทคิทหรือมัลแวร์อื่นแทนที่บูทโหลดเดอร์ของคุณหรือยุ่งเกี่ยวกับมัน UEFI จะไม่อนุญาตให้บูต วิธีนี้ช่วยป้องกันมัลแวร์ไม่ให้ขโมยกระบวนการบูตและซ่อนตัวเองจากระบบปฏิบัติการของคุณ.
Microsoft อนุญาตให้ Linux กระจายการบูตด้วย Secure Boot ได้อย่างไร
ตามจริงแล้วคุณสมบัตินี้ได้รับการออกแบบมาเพื่อป้องกันมัลแวร์ ดังนั้นไมโครซอฟท์จึงเสนอวิธีที่จะช่วยในการบูตลินุกซ์ นั่นเป็นเหตุผลว่าทำไมดิสทริบิวชั่นลีนุกซ์รุ่นใหม่อย่าง Ubuntu และ Fedora จะ“ ทำงานได้” บนพีซีที่ทันสมัยแม้จะเปิดใช้งาน Secure Boot Linux ดิสทริบิวชันสามารถจ่ายค่าธรรมเนียมเพียงครั้งเดียวของ $ 99 เพื่อเข้าถึงพอร์ทัล Microsoft Sysdev ซึ่งพวกเขาสามารถใช้เพื่อลงนาม boot loader.
ลีนุกซ์รุ่นลีนุกซ์มีการเซ็นชื่อแบบ "shim". shim เป็นบูตโหลดเดอร์ขนาดเล็กที่เพียงแค่บูทบูตบูทโหลดเดอร์หลักของ GRUB Linux shim ที่ Microsoft ลงนามจะทำการตรวจสอบเพื่อให้แน่ใจว่าเป็นการบูทบูตโหลดเดอร์ที่ลงนามโดยการกระจาย Linux และจากนั้นบู๊ตการกระจาย Linux จะเป็นปกติ.
Ubuntu, Fedora, Red Hat Enterprise Linux และ openSUSE ปัจจุบันรองรับ Secure Boot และจะทำงานได้โดยไม่ต้องปรับแต่งฮาร์ดแวร์ที่ทันสมัย อาจมีคนอื่น ๆ แต่สิ่งเหล่านี้เป็นสิ่งที่เราตระหนักถึง ลีนุกซ์ลีนุกซ์บางรุ่นมีการต่อต้านการใช้งานเพื่อลงนามโดย Microsoft.
คุณจะปิดการใช้งานหรือควบคุม Secure Boot ได้อย่างไร
หากนั่นคือ Secure Boot ทั้งหมดคุณไม่สามารถเรียกใช้ระบบปฏิบัติการที่ไม่ได้รับการรับรองจาก Microsoft บนพีซีของคุณ แต่คุณสามารถควบคุม Secure Boot ได้จากเฟิร์มแวร์ UEFI ของพีซีซึ่งเหมือนกับ BIOS ในพีซีรุ่นเก่า.
มีสองวิธีในการควบคุม Secure Boot วิธีที่ง่ายที่สุดคือมุ่งหน้าไปที่เฟิร์มแวร์ UEFI และปิดการใช้งานโดยสิ้นเชิง เฟิร์มแวร์ UEFI จะไม่ตรวจสอบเพื่อให้แน่ใจว่าคุณกำลังใช้งานบูตโหลดเดอร์ที่ลงนามแล้ว คุณสามารถบูตการกระจาย Linux หรือติดตั้ง Windows 7 ซึ่งไม่รองรับ Secure Boot Windows 8 และ 10 จะทำงานได้ดีคุณจะเสียข้อดีด้านความปลอดภัยของการใช้ Secure Boot เพื่อปกป้องกระบวนการบู๊ตของคุณ.
คุณสามารถปรับแต่ง Secure Boot เพิ่มเติมได้อีกด้วย คุณสามารถควบคุมได้ว่าข้อเสนอการบูตที่ปลอดภัยหรือไม่ คุณสามารถติดตั้งใบรับรองใหม่และลบใบรับรองที่มีอยู่ได้ฟรี ตัวอย่างเช่นองค์กรที่ใช้งาน Linux บนพีซีสามารถเลือกที่จะลบใบรับรองของ Microsoft และติดตั้งใบรับรองขององค์กรแทน พีซีเหล่านั้นจะบู๊ตบูตโหลดเดอร์ที่ผ่านการอนุมัติและลงนามโดยองค์กรนั้น ๆ เท่านั้น.
บุคคลทั่วไปสามารถทำเช่นนี้ได้เช่นกันคุณสามารถลงนามใน boot boot Linux ของคุณเองและให้แน่ใจว่าพีซีของคุณสามารถ boot boot loader ที่คุณรวบรวมและเซ็นชื่อเป็นการส่วนตัวได้ นั่นคือประเภทของการควบคุมและการใช้พลังงานที่มอบให้กับ Secure Boot.
สิ่งที่ Microsoft ต้องการจากผู้ผลิตพีซี
Microsoft ไม่เพียงต้องการให้ผู้ค้าพีซีเปิดใช้งาน Secure Boot หากพวกเขาต้องการสติ๊กเกอร์“ Windows 10” หรือ“ Windows 8” ที่สวยงามบนพีซีของพวกเขา Microsoft กำหนดให้ผู้ผลิตพีซีใช้งานในลักษณะเฉพาะ.
สำหรับพีซีที่ใช้ Windows 8 ผู้ผลิตจะต้องให้วิธีปิด Secure Boot Microsoft กำหนดให้ผู้ผลิตพีซีวางสวิตช์ Secure Boot kill ไว้ในมือของผู้ใช้.
สำหรับพีซีที่ใช้ Windows 10 จะไม่มีผลบังคับใช้อีกต่อไป ผู้ผลิตพีซีสามารถเลือกที่จะเปิดใช้งาน Secure Boot และไม่ให้วิธีการปิดผู้ใช้ อย่างไรก็ตามเราไม่ได้ตระหนักถึงผู้ผลิตพีซีรายใดที่ทำสิ่งนี้.
ในขณะเดียวกันผู้ผลิตพีซีต้องรวมคีย์“ Microsoft Windows Production PCA” หลักของ Microsoft เพื่อให้ Windows สามารถบูตได้ แต่พวกเขาไม่จำเป็นต้องใส่คีย์“ Microsoft Corporation UEFI CA” แนะนำให้ใช้รหัสที่สองนี้เท่านั้น เป็นคีย์ตัวเลือกที่สองที่ Microsoft ใช้เพื่อลงนาม boot loader ของ Linux เอกสารของ Ubuntu อธิบายเรื่องนี้.
กล่าวอีกนัยหนึ่งพีซีทุกเครื่องอาจไม่จำเป็นต้องบู๊ตด้วยลีนุกซ์ลีนุกซ์ที่เปิดใช้งาน Secure Boot ในทางปฏิบัติเราไม่เห็นพีซีเครื่องใดที่ทำสิ่งนี้ บางทีผู้ผลิตพีซีไม่ต้องการสร้างแล็ปท็อปไลน์เดียวที่คุณไม่สามารถติดตั้ง Linux ได้.
อย่างน้อยตอนนี้พีซี Windows ทั่วไปควรอนุญาตให้คุณปิดการใช้งาน Secure Boot ได้หากต้องการและพวกเขาควรบูต Linux ดิสทริบิวชันที่ได้รับการลงนามโดย Microsoft แม้ว่าคุณจะไม่ปิดใช้งาน Secure Boot.
Secure Boot ไม่สามารถปิดการใช้งานบน Windows RT ได้ แต่ Windows RT is Dead
ทั้งหมดข้างต้นเป็นจริงสำหรับระบบปฏิบัติการ Windows 8 และ 10 บนฮาร์ดแวร์ Intel x86 มาตรฐาน มันแตกต่างสำหรับ ARM.
บน Windows RT- เวอร์ชันของ Windows 8 สำหรับฮาร์ดแวร์ ARM ซึ่งจัดส่งบน Surface RT และ Surface 2 ของ Microsoft ในบรรดาอุปกรณ์อื่น ๆ - Secure Boot ไม่สามารถปิดใช้งานได้ ในวันนี้ Secure Boot ยังไม่สามารถปิดการใช้งานบนฮาร์ดแวร์ Windows 10 Mobile หรืออีกนัยหนึ่งคือโทรศัพท์ที่ใช้ Windows 10.
นั่นเป็นเพราะ Microsoft ต้องการให้คุณนึกถึงระบบ Windows RT ที่ใช้ ARM เป็น“ อุปกรณ์” ไม่ใช่พีซี ตามที่ Microsoft บอกกับ Mozilla Windows RT“ ไม่ใช่ Windows อีกต่อไป”
อย่างไรก็ตาม Windows RT นั้นตายไปแล้ว ไม่มีรุ่นของระบบปฏิบัติการเดสก์ท็อป Windows 10 สำหรับฮาร์ดแวร์ ARM ดังนั้นนี่ไม่ใช่สิ่งที่คุณต้องกังวลอีกต่อไป แต่ถ้า Microsoft นำฮาร์ดแวร์ Windows RT 10 กลับมาคุณอาจจะไม่สามารถปิดใช้งาน Secure Boot ได้.
เครดิตภาพ: ฐานทูต, จอห์นบริสโต
