da.phhsnews.com


da.phhsnews.com / Sådan fungerer sikker opstart på Windows 8 og 10, og hvad det betyder for Linux

Sådan fungerer sikker opstart på Windows 8 og 10, og hvad det betyder for Linux


Moderne pc'er leveres med en funktion kaldet "Secure Boot" aktiveret. Dette er en platformsfunktion i UEFI, som erstatter det traditionelle PC BIOS. Hvis en pc-producent ønsker at placere et "Windows 10" eller "Windows 8" -logo på deres pc, kræver Microsoft, at de aktiverer Secure Boot og følger nogle retningslinjer.

Det forhindrer desværre også dig i at installere nogle Linux-distributioner, hvilket kan være noget besvær.

Sådan Sikker Boot sikrer pc'ens opstartsproces

Secure Boot er ikke kun designet til at gøre kørslen af ​​Linux vanskeligere. Der er reelle sikkerhedsfordele ved at have Secure Boot aktiveret, og endda Linux-brugere kan nyde godt af dem.

En traditionel BIOS starter enhver software. Når du starter din pc, kontrollerer den hardwareenhederne i henhold til den opstartsrækkefølge, du har konfigureret, og forsøger at starte fra dem. Typiske pc'er vil normalt finde og starte Windows boot loader, som fortsætter med at starte det fulde Windows-operativsystem. Hvis du bruger Linux, vil BIOS finde og starte GRUB boot loader, som de fleste Linux distributioner bruger.

Det er dog muligt for malware, som en rootkit, at erstatte din boot loader. Rootkit kunne indlæse dit normale operativsystem uden at indikere noget var forkert, forbliver helt usynligt og uopdageligt på dit system. BIOS kender ikke forskellen mellem malware og en pålidelig boot loader-den støtter bare hvad den finder.

Secure Boot er designet til at stoppe dette. Windows 8 og 10 pc'er leveres med Microsofts certifikat, der er gemt i UEFI. UEFI vil kontrollere boot loader før lanceringen det og sikre det er underskrevet af Microsoft. Hvis en rootkit eller et andet stykke malware erstatter din boot loader eller manipulerer med det, vil UEFI ikke tillade det at starte. Dette forhindrer malware fra at kapre din opstartsproces og skjule sig fra dit operativsystem.

Sådan tillader Microsoft Linux-distributioner at starte med sikker start

Denne funktion er i teorien kun designet til at beskytte mod malware. Så Microsoft tilbyder en måde at hjælpe Linux distributioner boot alligevel. Derfor vil nogle moderne Linux-distributioner - som Ubuntu og Fedora - "justere" på moderne pc'er, selv med Secure Boot aktiveret. Linux-distributioner kan betale et engangsgebyr på $ 99 for at få adgang til Microsoft Sysdev-portalen, hvor de kan søge at få deres bootloaders underskrevet.

Linux-distributioner har generelt en "shim" underskrevet. Shim er en lille boot loader, der simpelthen starter Linux GRUB boot loader. Den Microsoft-underskrevne shim kontrollerer, at den starter en bootloader, der er underskrevet af Linux-distributionen, og derefter Linux-distributionstøvlerne normalt.

Ubuntu, Fedora, Red Hat Enterprise Linux og openSUSE understøtter for øjeblikket Secure Boot og vil fungere uden nogen tweaks på moderne hardware. Der kan være andre, men det er dem, vi er opmærksomme på. Nogle Linux-distributioner er filosofisk imod at anmode om at blive underskrevet af Microsoft.

Sådan kan du deaktivere eller kontrollere sikker opstart

Hvis det var alt Secure Boot, ville du ikke kunne køre nogen ikke-Microsoft-godkendte operativsystem på din pc. Men du kan sandsynligvis kontrollere Secure Boot fra din pc's UEFI-firmware, som er ligesom BIOS i ældre pc'er.

Der er to måder at kontrollere Secure Boot på. Den nemmeste metode er at gå til UEFI-firmwaren og deaktivere den helt. UEFI-firmwaren kontrollerer ikke, at du kører en signeret boot loader, og noget vil starte. Du kan starte en Linux-distribution eller endda installere Windows 7, som ikke understøtter Secure Boot. Windows 8 og 10 fungerer fint, du vil bare miste sikkerhedsfordelene ved at have Secure Boot beskytte din opstartsproces.

Du kan også yderligere tilpasse Secure Boot. Du kan kontrollere, hvilke signaturcertifikater Secure Boot tilbyder. Du kan både installere nye certifikater og fjerne eksisterende certifikater. En organisation, der kørte Linux på sine pc'er, kunne for eksempel vælge at fjerne Microsofts certifikater og installere organisationens eget certifikat på stedet. Disse pc'er ville da kun starte boot-læsere godkendt og underskrevet af den pågældende organisation.

En person kunne også gøre det - du kunne underskrive din egen Linux boot loader og sikre, at din pc kun kunne starte boot loader du personligt kompileret og underskrevet. Det er den slags kontrol og kraft, Secure Boot tilbyder.

Hvad Microsoft kræver af pc-producenter

Microsoft kræver ikke bare, at pc-leverandører aktiverer Secure Boot, hvis de vil have den gode "Windows 10" eller "Windows 8" -certificering på deres pc'er. Microsoft kræver, at pc-producenter implementerer det på en bestemt måde.

For Windows 8-pc'er måtte fabrikanterne give dig mulighed for at slukke for Secure Boot. Microsoft krævede pc-producenter at sætte en Secure Boot kill-bryder i brugernes hænder.

Dette er ikke længere obligatorisk for Windows 10-pc'er. PC-producenter kan vælge at aktivere Secure Boot og ikke give brugerne mulighed for at slukke det. Men vi er faktisk ikke klar over nogen pc-producenter, der gør dette.

På samme måde, mens pc-producenter skal inkludere Microsofts vigtigste "Microsoft Windows Production PCA" -tast, så Windows kan starte, behøver de ikke at medtage " Microsoft Corporation UEFI CA "-tasten. Denne anden nøgle anbefales kun. Det er den anden valgfri nøgle, som Microsoft bruger til at underskrive Linux-opstartslæsere. Ubuntu's dokumentation forklarer dette.

Med andre ord vil ikke alle pc'er nødvendigvis starte bootede Linux-distributioner med Secure Boot tændt. I praksis har vi ikke set nogen pc'er, der gjorde dette. Måske vil ingen pc-producent måske lave den eneste linje af bærbare computere, som du ikke kan installere Linux på.

I det mindste skal almindelige Windows-pc'er i det mindste lade dig deaktivere Secure Boot, hvis du vil, og de skal starte Linux-distributioner, der er blevet underskrevet af Microsoft, selvom du ikke deaktiverer Secure Boot.

Sikker boot kunne ikke deaktiveres på Windows RT, men Windows RT er død

RELATED: Hvad er Windows RT, og hvordan er det? Det er forskelligt fra Windows 8?

Alt ovenfor gælder for standard Windows 8 og 10 operativsystemer på standard Intel x86 hardware. Det er forskelligt for ARM.

I Windows RT-versionen af ​​Windows 8 til ARM-hardware, som blev sendt på Microsofts Surface RT og Surface 2, kunne andre enheder - Secure Boot ikke deaktiveres. I dag kan Secure Boot stadig ikke deaktiveres på Windows 10 Mobile-hardware - med andre ord, telefoner, der kører Windows 10.

Det var fordi Microsoft ønskede, at du tænkte på ARM-baserede Windows RT-systemer som "enheder", ikke pc'er . Som Microsoft fortalte Mozilla, er Windows RT "ikke Windows længere."

Windows RT er imidlertid nu død. Der er ingen version af Windows 10-desktop-operativsystemet til ARM-hardware, så dette er ikke noget, du skal bekymre dig om mere. Men hvis Microsoft bringer tilbage Windows RT 10-hardware, vil du sandsynligvis ikke kunne deaktivere Secure Boot på det.

Billedkredit: Ambassador Base, John Bristowe


Hvordan kan du gendanne data fra et microSD-kort, der ikke kan læses?

Hvordan kan du gendanne data fra et microSD-kort, der ikke kan læses?

Vi har alle været der og havde en lagerenhed af en eller anden slags oplevelse en fejl, og vores værdifulde data er i fare. Men hvad gør du, når den pågældende enhed er et microSD-kort? Dagens SuperUser Q & A-post kommer til undsætning for en læser, der har brug for. Dagens Spørgsmål og Svar-sessions kommer til vores side med SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.

(how-to)

Skal du opbygge din egen pc?

Skal du opbygge din egen pc?

Der var en tid, hvor hver geek syntes at bygge deres egen pc. Mens masserne købte eMachines og Compaqs, byggede geeks deres egne mere kraftfulde og pålidelige skrivebordsmaskiner til billigere. Men gør det stadig mening? Opbygning af din egen pc tilbyder stadig så stor fleksibilitet i komponentvalg som det nogensinde gjorde, men forudbyggede computere er til rådighed til ekstremt konkurrencedygtige priser.

(how-to)