Jak funguje bezpečné spuštění ve Windows 8 a 10 a co to znamená pro Linux

Moderní počítače se dodávají s povolenou funkcí nazvanou „Secure Boot“. Toto je funkce platformy v UEFI, která nahrazuje tradiční PC BIOS. Pokud chce výrobce počítače umístit na svůj počítač nálepku s logem „Windows 10“ nebo „Windows 8“, vyžaduje společnost Microsoft, aby povolila Secure Boot a dodržovala některé pokyny.

Bohužel vám také brání v instalaci některých distribucí Linuxu, což může být docela nepříjemné.

Jak Secure Boot zajišťuje spouštěcí proces vašeho počítače

Secure Boot není navržen pouze pro zkomplikování běhu Linuxu. Povolení zabezpečeného spouštění má skutečné bezpečnostní výhody a mohou z nich těžit i uživatelé Linuxu.

Tradiční BIOS zavede jakýkoli software. Při spuštění počítače zkontroluje hardwarová zařízení podle pořadí, které jste nakonfigurovali, a pokusí se z nich zavést. Typické počítače obvykle najdou a zavedou zavaděč systému Windows, který pokračuje v zavádění celého operačního systému Windows. Pokud používáte Linux, BIOS najde a spustí zavaděč GRUB, který používá většina linuxových distribucí.

Je však možné, že malware, například rootkit, nahradí váš zavaděč. Rootkit mohl načíst váš normální operační systém bez náznaku, že se něco děje, a zůstal ve vašem systému zcela neviditelný a nezjistitelný. Systém BIOS nezná rozdíl mezi malwarem a důvěryhodným zavaděčem - jednoduše zavádí vše, co najde.

Secure Boot je navržen tak, aby to zastavil. Počítače se systémy Windows 8 a 10 se dodávají s certifikátem společnosti Microsoft uloženým v UEFI. UEFI před spuštěním zkontroluje zavaděč a zkontroluje, zda je podepsán společností Microsoft. Pokud rootkit nebo jiný malware malware nahradí váš zavaděč nebo s ním manipuluje, UEFI mu nedovolí spustit. Tím zabráníte tomu, aby malware unesl váš proces spouštění a skryl se před operačním systémem.

Jak společnost Microsoft umožňuje spouštění distribucí systému Linux pomocí zabezpečeného spouštění

Tato funkce je teoreticky určena pouze k ochraně před malwarem. Microsoft tedy nabízí způsob, jak pomoci distribucím Linuxu stejně bootovat. To je důvod, proč některé moderní distribuce Linuxu - jako Ubuntu a Fedora - „fungují“ na moderních počítačích i se zapnutým zabezpečeným spuštěním. Distribuce Linuxu mohou zaplatit jednorázový poplatek 99 USD za přístup na portál Microsoft Sysdev, kde mohou požádat o podepsání svých zavaděčů.

Distribuce Linuxu mají obecně podepsaný „shim“. Podložka je malý zavaděč, který jednoduše zavádí hlavní zavaděč GRUB distribucí Linuxu. Podložka podepsaná společností Microsoft zkontroluje, zda bootuje zavaděč podepsaný distribucí Linuxu a poté se distribuce Linuxu spustí normálně.

Ubuntu, Fedora, Red Hat Enterprise Linux a openSUSE aktuálně podporují Secure Boot a na moderním hardwaru budou fungovat bez jakýchkoli vylepšení. Mohou existovat i další, ale to jsou ti, o kterých víme. Některé distribuce Linuxu jsou filozoficky proti žádosti o podpis společnosti Microsoft.

Jak můžete zakázat nebo ovládat zabezpečené spuštění

Pokud by to bylo vše, co Secure Boot udělal, nemohli byste na svém počítači spustit žádný operační systém neschválený společností Microsoft. Pravděpodobně však můžete zabezpečené spouštění ovládat z firmwaru UEFI vašeho počítače, který je jako BIOS ve starších počítačích.

Existují dva způsoby ovládání zabezpečeného spouštění. Nejjednodušší metodou je přejít na firmware UEFI a úplně jej deaktivovat. Firmware UEFI nezkontroluje, zda běží podepsaný zavaděč, a spustí se cokoli. Můžete spustit libovolnou distribuci Linuxu nebo dokonce nainstalovat Windows 7, který nepodporuje Secure Boot. Windows 8 a 10 budou fungovat dobře, jen přijdete o výhody zabezpečení, které vám při spouštění poskytne funkce Secure Boot.

Secure Boot můžete také dále přizpůsobit. Můžete určit, které podpisové certifikáty Secure Boot nabízí. Můžete svobodně instalovat nové certifikáty i odebírat stávající certifikáty. Organizace, která například provozovala Linux na svých počítačích, se mohla rozhodnout odebrat certifikáty společnosti Microsoft a na její místo nainstalovat vlastní certifikát organizace. Tyto počítače by pak spouštěly pouze zavaděče schválené a podepsané touto konkrétní organizací.

Mohl by to udělat i jednotlivec - můžete si podepsat vlastní zavaděč systému Linux a zajistit, aby váš počítač mohl zavádět pouze zavaděče, které jste osobně sestavili a podepsali. To je druh ovládání a napájení, které Secure Boot nabízí.

Co Microsoft požaduje od výrobců PC

Společnost Microsoft nevyžaduje pouze to, aby prodejci PC povolili zabezpečené spouštění, pokud chtějí na svých počítačích pěknou certifikační nálepku „Windows 10“ nebo „Windows 8“. Microsoft vyžaduje, aby jej výrobci PC implementovali konkrétním způsobem.

U počítačů se systémem Windows 8 vám museli výrobci dát způsob, jak zabezpečené spuštění vypnout. Společnost Microsoft požadovala, aby výrobci počítačů vložili přepínač zabití zabezpečeného spouštění do rukou uživatelů.

U počítačů se systémem Windows 10 to již není povinné. Výrobci počítačů se mohou rozhodnout povolit zabezpečené spouštění a neposkytovat uživatelům způsob, jak jej vypnout. Ve skutečnosti však nevíme o žádném výrobci počítačů, který by to dělal.

Podobně, i když výrobci počítačů musí zahrnout hlavní klíč „Microsoft Windows Production PCA“ společnosti Microsoft, aby mohl Windows bootovat, nemusí obsahovat klíč „Microsoft Corporation UEFI CA“. Tento druhý klíč je pouze doporučen. Je to druhý volitelný klíč, který společnost Microsoft používá k podpisu zavaděčů systému Linux. Dokumentace k Ubuntu to vysvětluje.

Jinými slovy, ne všechny počítače budou nutně spouštět podepsané distribuce Linuxu se zapnutým zabezpečeným spuštěním. V praxi jsme opět neviděli žádné počítače, které by to dokázaly. Snad žádný výrobce PC nechce vyrábět jedinou řadu notebooků, na které nemůžete nainstalovat Linux.

Alespoň prozatím by vám běžné počítače se systémem Windows měly umožnit deaktivovat Secure Boot, pokud chcete, a měly by zavádět distribuce Linuxu, které byly podepsány společností Microsoft, i když Secure Boot nevypnete.

Zabezpečené spuštění nelze ve Windows RT deaktivovat, ale Windows RT je mrtvý

SOUVISEJÍCÍ: Co je Windows RT a jak se liší od Windows 8?

Všechno výše uvedené platí pro standardní operační systémy Windows 8 a 10 na standardním hardwaru Intel x86. U ARM je to jiné.

V systému Windows RT - verze systému Windows 8 pro hardware ARM, který se mimo jiné dodává na platformách Microsoft Surface RT a Surface 2 - nelze Secure Boot deaktivovat. Zabezpečené spuštění dnes nelze stále deaktivovat na hardwaru Windows 10 Mobile - jinými slovy na telefonech se systémem Windows 10.

Je to proto, že společnost Microsoft chtěla, abyste systémy Windows RT založené na ARM považovali za „zařízení“, nikoli za počítače. Jak Microsoft řekl Mozille, Windows RT „už není Windows.“

Windows RT je však nyní mrtvý. Neexistuje žádná verze operačního systému Windows 10 pro stolní počítače pro hardware ARM, takže už si s tím nemusíte dělat starosti. Pokud však společnost Microsoft přinese zpět hardware Windows RT 10, pravděpodobně na něm nebudete moci deaktivovat zabezpečené spouštění.

Uznání: Ambassador Base, John Bristowe