I PC moderni vengono abilitati con una funzionalità chiamata "Avvio protetto". Questa è una funzionalità di piattaforma in UEFI, che sostituisce il tradizionale BIOS del PC. Se un produttore di PC desidera posizionare un adesivo del logo "Windows 10" o "Windows 8" sul proprio PC, Microsoft richiede che abiliti Secure Boot e segua alcune linee guida.
Sfortunatamente, impedisce anche l'installazione di alcune distribuzioni Linux, che
Secure Boot non è solo progettato per rendere più difficile l'esecuzione di Linux. Ci sono reali vantaggi per la sicurezza di avere Secure Boot abilitato, e anche gli utenti Linux possono trarne vantaggio.
Un BIOS tradizionale avvierà qualsiasi software. Quando si avvia il PC, controlla i dispositivi hardware in base all'ordine di avvio configurato e tenta di avviarsi da essi. I PC tipici troveranno e avviano normalmente il boot loader di Windows, che avvia il sistema operativo Windows completo. Se usi Linux, il BIOS troverà e avvierà il boot loader GRUB, che usa la maggior parte delle distribuzioni Linux.
Tuttavia, è possibile che il malware, come un rootkit, sostituisca il tuo boot loader. Il rootkit potrebbe caricare il tuo normale sistema operativo senza alcuna indicazione di errore, rimanendo completamente invisibile e non rilevabile sul tuo sistema. Il BIOS non conosce la differenza tra malware e un boot loader di fiducia, ma avvia solo ciò che trova.
Secure Boot è progettato per fermarlo. I PC Windows 8 e 10 vengono forniti con il certificato Microsoft memorizzato in UEFI. UEFI controllerà il boot loader prima di avviarlo e assicurarsi che sia firmato da Microsoft. Se un rootkit o un altro pezzo di malware sostituisce il boot loader o lo manomette, UEFI non consentirà l'avvio. Questo impedisce al malware di dirottare il processo di avvio e di nascondersi dal sistema operativo.
Questa funzione è, in teoria, progettata per proteggere dal malware. Quindi Microsoft offre un modo per aiutare comunque le distribuzioni Linux ad avviarsi. Ecco perché alcune moderne distribuzioni Linux, come Ubuntu e Fedora, "funzionano" solo sui PC moderni, anche con Secure Boot abilitato. Le distribuzioni Linux possono pagare una tassa una tantum di $ 99 per accedere al portale Microsoft Sysdev, dove possono fare domanda per far firmare i loro boot loader.
Le distribuzioni Linux hanno generalmente uno "shim" firmato. Lo shim è un piccolo boot loader che avvia semplicemente il bootloader GRUB principale delle distribuzioni Linux. Lo shim firmato da Microsoft controlla per assicurarsi che stia avviando un boot loader firmato dalla distribuzione Linux, e quindi la distribuzione Linux si avvia normalmente.
Ubuntu, Fedora, Red Hat Enterprise Linux e openSUSE attualmente supportano Secure Boot e funzioneranno senza eventuali modifiche all'hardware moderno. Potrebbero essercene altri, ma questi sono quelli di cui siamo a conoscenza. Alcune distribuzioni Linux sono filosoficamente contrarie all'applicare per essere firmate da Microsoft.
Se fosse tutto ciò che ha fatto Secure Boot, non si sarebbe in grado di eseguire alcuna approvazione non Microsoft sistema operativo sul tuo PC. Ma è probabile che tu possa controllare Secure Boot dal firmware UEFI del tuo PC, che è come il BIOS nei vecchi PC.
Ci sono due modi per controllare Secure Boot. Il metodo più semplice è dirigersi verso il firmware UEFI e disabilitarlo completamente. Il firmware UEFI non verificherà che tu stia eseguendo un boot loader firmato e tutto verrà avviato. È possibile avviare qualsiasi distribuzione Linux o installare anche Windows 7, che non supporta Secure Boot. Windows 8 e 10 funzioneranno correttamente, perderai i vantaggi di sicurezza di Avvio protetto per proteggere il processo di avvio.
Puoi anche personalizzare ulteriormente Secure Boot. È possibile controllare quali certificati di firma offre Secure Boot. Sei libero di installare entrambi i nuovi certificati e rimuovere i certificati esistenti. Un'organizzazione che gestiva Linux sui propri PC, ad esempio, poteva scegliere di rimuovere i certificati di Microsoft e installare il proprio certificato dell'organizzazione al suo posto. Questi PC avrebbero quindi avviato solo i boot loader approvati e firmati da quella specifica organizzazione.
Un individuo potrebbe fare anche questo: potresti firmare il tuo boot loader Linux e assicurarti che il tuo PC possa solo avviare boot loader che hai personalmente compilato e firmato. Questo è il tipo di controllo e potenza offerte da Secure Boot.
Microsoft non richiede solo che i produttori di PC abilitino Secure Boot se vogliono quel bel adesivo di certificazione "Windows 10" o "Windows 8" sui loro PC. Microsoft richiede ai produttori di PC di implementarlo in un modo specifico.
Per i PC Windows 8, i produttori hanno dovuto darti un modo per disattivare Secure Boot. Microsoft ha richiesto ai produttori di PC di mettere un interruttore di chiusura Secure Boot nelle mani degli utenti.
Per i PC Windows 10, questo non è più obbligatorio. I produttori di PC possono scegliere di abilitare Secure Boot e non dare agli utenti un modo per disattivarlo. Tuttavia, non siamo a conoscenza di alcun produttore di PC che faccia questo.
Allo stesso modo, mentre i produttori di PC devono includere la chiave "Microsoft Windows Production PCA" di Microsoft in modo che Windows possa avviarsi, non devono includere il " Chiave "CA Corporation UEFI Microsoft". Questa seconda chiave è solo raccomandata. È la seconda chiave opzionale che Microsoft usa per firmare i boot loader di Linux. La documentazione di Ubuntu lo spiega.
In altre parole, non tutti i PC avviano necessariamente le distribuzioni Linux firmate con Secure Boot attivato. Di nuovo, in pratica, non abbiamo visto nessun PC che lo abbia fatto. Forse nessun produttore di PC vuole realizzare l'unica linea di laptop su cui non si può installare Linux.
Per ora, almeno, i PC Windows tradizionali dovrebbero consentire di disabilitare Secure Boot se lo si desidera, e dovrebbero avviare le distribuzioni Linux che sono stati firmati da Microsoft anche se non si disabilita Secure Boot.
CORRELATO: Che cos'è Windows RT e come funziona? Differisce da Windows 8?
Tutto quanto sopra è vero per i sistemi operativi Windows 8 e 10 standard sull'hardware Intel x86 standard. È diverso per ARM.
Su Windows RT: la versione di Windows 8 per l'hardware ARM, che è stata distribuita su Surface RT e Surface 2 di Microsoft, tra gli altri dispositivi, Secure Boot non può essere disabilitato. Oggi, Secure Boot non può essere disabilitato su Windows 10 Mobile hardware, in altre parole, i telefoni che eseguono Windows 10.
Questo perché Microsoft voleva che si pensasse ai sistemi Windows RT basati su ARM come "dispositivi", non come PC . Come Microsoft ha dichiarato a Mozilla, Windows RT "non è più Windows".
Tuttavia, Windows RT è morto. Non esiste una versione del sistema operativo desktop Windows 10 per ARM-hardware, quindi non è più qualcosa di cui ti devi preoccupare. Ma, se Microsoft ripristina l'hardware di Windows RT 10, probabilmente non sarà possibile disabilitare Secure Boot su di esso.
Image Credit: Ambassador Base, John Bristowe
I 5 migliori giochi gratuiti per iPhone (che sono effettivamente gratuiti)
I giochi "Freemium", come ora vengono definiti collettivamente, sono una piaga negli app store di tutti i tipi, sia che si tratti di ITunes di Apple, Google Play, o anche il Windows Store. Lampooned nell'episodio di South Park "Freemium Is not Free", giochi come Simpsons: Tapped Out sono stati messi alla prova per creare attivamente e consapevolmente scenari di Skinner in cui i giocatori potevano gioca per "gratis", solo per scoprire che la loro abilità di salire di livello o aggiungere nuovi oggetti era bloccata sotto un paywall per le valute di gioco.
Come controllare tutti i tuoi account e-mail da Gmail
Quasi tutti in questi giorni ha più di un account di posta elettronica, di solito più di quello che può essere contato da un lato. Personalmente, ho 5+ account con diversi provider di servizi di posta elettronica, tra cui Yahoo, Gmail, Cox, il mio indirizzo email, il mio indirizzo email, ecc. Ecc. A