it.phhsnews.com


it.phhsnews.com / Come funziona l'avvio sicuro su Windows 8 e 10 e cosa significa per Linux

Come funziona l'avvio sicuro su Windows 8 e 10 e cosa significa per Linux


I PC moderni vengono abilitati con una funzionalità chiamata "Avvio protetto". Questa è una funzionalità di piattaforma in UEFI, che sostituisce il tradizionale BIOS del PC. Se un produttore di PC desidera posizionare un adesivo del logo "Windows 10" o "Windows 8" sul proprio PC, Microsoft richiede che abiliti Secure Boot e segua alcune linee guida.

Sfortunatamente, impedisce anche l'installazione di alcune distribuzioni Linux, che

Come Secure Boot protegge il processo di avvio del PC

Secure Boot non è solo progettato per rendere più difficile l'esecuzione di Linux. Ci sono reali vantaggi per la sicurezza di avere Secure Boot abilitato, e anche gli utenti Linux possono trarne vantaggio.

Un BIOS tradizionale avvierà qualsiasi software. Quando si avvia il PC, controlla i dispositivi hardware in base all'ordine di avvio configurato e tenta di avviarsi da essi. I PC tipici troveranno e avviano normalmente il boot loader di Windows, che avvia il sistema operativo Windows completo. Se usi Linux, il BIOS troverà e avvierà il boot loader GRUB, che usa la maggior parte delle distribuzioni Linux.

Tuttavia, è possibile che il malware, come un rootkit, sostituisca il tuo boot loader. Il rootkit potrebbe caricare il tuo normale sistema operativo senza alcuna indicazione di errore, rimanendo completamente invisibile e non rilevabile sul tuo sistema. Il BIOS non conosce la differenza tra malware e un boot loader di fiducia, ma avvia solo ciò che trova.

Secure Boot è progettato per fermarlo. I PC Windows 8 e 10 vengono forniti con il certificato Microsoft memorizzato in UEFI. UEFI controllerà il boot loader prima di avviarlo e assicurarsi che sia firmato da Microsoft. Se un rootkit o un altro pezzo di malware sostituisce il boot loader o lo manomette, UEFI non consentirà l'avvio. Questo impedisce al malware di dirottare il processo di avvio e di nascondersi dal sistema operativo.

Come Microsoft consente alle distribuzioni Linux di avviare con Secure Boot

Questa funzione è, in teoria, progettata per proteggere dal malware. Quindi Microsoft offre un modo per aiutare comunque le distribuzioni Linux ad avviarsi. Ecco perché alcune moderne distribuzioni Linux, come Ubuntu e Fedora, "funzionano" solo sui PC moderni, anche con Secure Boot abilitato. Le distribuzioni Linux possono pagare una tassa una tantum di $ 99 per accedere al portale Microsoft Sysdev, dove possono fare domanda per far firmare i loro boot loader.

Le distribuzioni Linux hanno generalmente uno "shim" firmato. Lo shim è un piccolo boot loader che avvia semplicemente il bootloader GRUB principale delle distribuzioni Linux. Lo shim firmato da Microsoft controlla per assicurarsi che stia avviando un boot loader firmato dalla distribuzione Linux, e quindi la distribuzione Linux si avvia normalmente.

Ubuntu, Fedora, Red Hat Enterprise Linux e openSUSE attualmente supportano Secure Boot e funzioneranno senza eventuali modifiche all'hardware moderno. Potrebbero essercene altri, ma questi sono quelli di cui siamo a conoscenza. Alcune distribuzioni Linux sono filosoficamente contrarie all'applicare per essere firmate da Microsoft.

Come si può disabilitare o controllare l'avvio sicuro

Se fosse tutto ciò che ha fatto Secure Boot, non si sarebbe in grado di eseguire alcuna approvazione non Microsoft sistema operativo sul tuo PC. Ma è probabile che tu possa controllare Secure Boot dal firmware UEFI del tuo PC, che è come il BIOS nei vecchi PC.

Ci sono due modi per controllare Secure Boot. Il metodo più semplice è dirigersi verso il firmware UEFI e disabilitarlo completamente. Il firmware UEFI non verificherà che tu stia eseguendo un boot loader firmato e tutto verrà avviato. È possibile avviare qualsiasi distribuzione Linux o installare anche Windows 7, che non supporta Secure Boot. Windows 8 e 10 funzioneranno correttamente, perderai i vantaggi di sicurezza di Avvio protetto per proteggere il processo di avvio.

Puoi anche personalizzare ulteriormente Secure Boot. È possibile controllare quali certificati di firma offre Secure Boot. Sei libero di installare entrambi i nuovi certificati e rimuovere i certificati esistenti. Un'organizzazione che gestiva Linux sui propri PC, ad esempio, poteva scegliere di rimuovere i certificati di Microsoft e installare il proprio certificato dell'organizzazione al suo posto. Questi PC avrebbero quindi avviato solo i boot loader approvati e firmati da quella specifica organizzazione.

Un individuo potrebbe fare anche questo: potresti firmare il tuo boot loader Linux e assicurarti che il tuo PC possa solo avviare boot loader che hai personalmente compilato e firmato. Questo è il tipo di controllo e potenza offerte da Secure Boot.

Cosa richiede Microsoft dai produttori di PC

Microsoft non richiede solo che i produttori di PC abilitino Secure Boot se vogliono quel bel adesivo di certificazione "Windows 10" o "Windows 8" sui loro PC. Microsoft richiede ai produttori di PC di implementarlo in un modo specifico.

Per i PC Windows 8, i produttori hanno dovuto darti un modo per disattivare Secure Boot. Microsoft ha richiesto ai produttori di PC di mettere un interruttore di chiusura Secure Boot nelle mani degli utenti.

Per i PC Windows 10, questo non è più obbligatorio. I produttori di PC possono scegliere di abilitare Secure Boot e non dare agli utenti un modo per disattivarlo. Tuttavia, non siamo a conoscenza di alcun produttore di PC che faccia questo.

Allo stesso modo, mentre i produttori di PC devono includere la chiave "Microsoft Windows Production PCA" di Microsoft in modo che Windows possa avviarsi, non devono includere il " Chiave "CA Corporation UEFI Microsoft". Questa seconda chiave è solo raccomandata. È la seconda chiave opzionale che Microsoft usa per firmare i boot loader di Linux. La documentazione di Ubuntu lo spiega.

In altre parole, non tutti i PC avviano necessariamente le distribuzioni Linux firmate con Secure Boot attivato. Di nuovo, in pratica, non abbiamo visto nessun PC che lo abbia fatto. Forse nessun produttore di PC vuole realizzare l'unica linea di laptop su cui non si può installare Linux.

Per ora, almeno, i PC Windows tradizionali dovrebbero consentire di disabilitare Secure Boot se lo si desidera, e dovrebbero avviare le distribuzioni Linux che sono stati firmati da Microsoft anche se non si disabilita Secure Boot.

Impossibile avviare l'avvio protetto su Windows RT, ma Windows RT è morto

CORRELATO: Che cos'è Windows RT e come funziona? Differisce da Windows 8?

Tutto quanto sopra è vero per i sistemi operativi Windows 8 e 10 standard sull'hardware Intel x86 standard. È diverso per ARM.

Su Windows RT: la versione di Windows 8 per l'hardware ARM, che è stata distribuita su Surface RT e Surface 2 di Microsoft, tra gli altri dispositivi, Secure Boot non può essere disabilitato. Oggi, Secure Boot non può essere disabilitato su Windows 10 Mobile hardware, in altre parole, i telefoni che eseguono Windows 10.

Questo perché Microsoft voleva che si pensasse ai sistemi Windows RT basati su ARM come "dispositivi", non come PC . Come Microsoft ha dichiarato a Mozilla, Windows RT "non è più Windows".

Tuttavia, Windows RT è morto. Non esiste una versione del sistema operativo desktop Windows 10 per ARM-hardware, quindi non è più qualcosa di cui ti devi preoccupare. Ma, se Microsoft ripristina l'hardware di Windows RT 10, probabilmente non sarà possibile disabilitare Secure Boot su di esso.

Image Credit: Ambassador Base, John Bristowe


Che cos'è un disco rigido Bare o OEM?

Che cos'è un disco rigido Bare o OEM?

Quando acquisti un nuovo disco rigido per il tuo computer o laptop, puoi trovare i termini Bare e / o OEM , ma in realtà sono così diversi dagli altri hard-drive o sono uguali? Il post di Q & A di SuperUser di oggi ha le risposte alle domande di un lettore confuso. La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti Web di domande e risposte.

(how-to)

Cosa impedisce la banda larga mobile dall'esperienza dei problemi di

Cosa impedisce la banda larga mobile dall'esperienza dei problemi di "interferenza"?

Con il costante aumento dell'uso dei dispositivi mobili, che cosa aiuta a mantenere la banda larga mobile funzionante senza problemi? Il post di Q & A di SuperUser di oggi ha la risposta alla domanda di un lettore curioso. La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti Web di domande e risposte.

(how-to)