cs.phhsnews.com


cs.phhsnews.com / Jak bezpečná spouštění funguje v systémech Windows 8 a 10 a Co znamená pro Linux

Jak bezpečná spouštění funguje v systémech Windows 8 a 10 a Co znamená pro Linux


Moderní počítače dodávané s funkcí "Secure Boot" povolena. Jedná se o platformu v UEFI, která nahrazuje tradiční PC BIOS. Pokud chce výrobce počítače na své PC umístit do svého počítače nálepku "Windows 10" nebo "Windows 8", vyžaduje společnost Microsoft, aby povolila funkci Secure Boot a dodržovala některé pokyny.

Bohužel také zabraňuje instalaci některých distribucí systému Linux, může být docela hádka.

Jak bezpečná spoušť zabezpečuje proces bootování vašeho počítače

Secure Boot není určen k tomu, aby ztěžoval běžící systém Linux. Existují skutečné bezpečnostní výhody, pokud má Secure Boot zapnuté, a dokonce i uživatelé Linuxu mohou mít z nich užitek.

Tradiční BIOS zavede jakýkoliv software. Při spuštění počítače zkontroluje hardwarová zařízení podle pořadí zavádění, které jste nakonfigurovali, a pokusí se je spustit. Typické počítače běžně vyhledají a spouštějí zavaděč systému Windows, který spouští úplný operační systém Windows. Pokud používáte systém Linux, systém BIOS najde a spustí zavaděč GRUB, který používá většina distribucí Linuxu.

Je však možné, že malware, například rootkit, nahradí zavaděč. Rootkit by mohl načíst váš normální operační systém bez indikace, že se nic nestalo, takže zůstane zcela neviditelný a nedetekovatelný ve vašem systému. Systém BIOS nezná rozdíl mezi malwarem a důvěryhodným zavaděčem zaváděcím systémem - jenom spustí vše, co najde.

Secure Boot je navržen tak, aby to zastavil. Počítače se systémem Windows 8 a 10 jsou dodávány s certifikátem společnosti Microsoft uloženým v systému UEFI. UEFI zkontroluje zavaděč před jeho spuštěním a zajistí, aby byl podepsán společností Microsoft. Pokud rootkit nebo jiný malware nahradí váš boot loader nebo jej manipuluje, UEFI mu nedovolí bootovat. To zabraňuje tomu, aby malware zablokoval zaváděcí proces a zatajil se z vašeho operačního systému.

Jak Microsoft povoluje zavádění distribucí Linux se zabezpečeným spuštěním

Tato funkce je teoreticky navržena pouze pro ochranu před malwarem. Takže Microsoft nabízí způsob, jak pomáhat Linux distribucí bootovat stejně. To je důvod, proč některé moderní distribuce Linuxu, jako jsou Ubuntu a Fedora, "budou fungovat" pouze na moderních počítačích, a to i se zapnutým zabezpečením. Distribuce systému Linux mohou platit jednorázový poplatek ve výši 99 USD za účelem přístupu na portál Microsoft Sysdev, kde mohou podat žádost o podepsání zavaděčů.

Distribuce Linuxu obecně mají podpis "shim". Podložka je malý zavaděč, který jednoduše spouští hlavní distributor distribucí systému Linux GRUB. Kontrola podepsaná společností Microsoft, která zajišťuje zavedení bootloaderu podepsaného distribucí Linux a distribuce Linuxu běží běžně.

Ubuntu, Fedora, Red Hat Enterprise Linux a openSUSE aktuálně podporují Secure Boot a budou pracovat bez jakékoliv vylepšení moderního hardwaru. Mohou jít o jiné, ale tohle jsou ty, o kterých víme. Některé distribuce Linuxu jsou filozoficky protikladné tomu, aby byly podepsány společností Microsoft.

Jak můžete zakázat nebo ovládat zabezpečené spouštění

Pokud to bylo vše, co jste udělali, nebylo by možné spustit žádné schválené od společnosti Microsoft operačním systémem v počítači. Pravděpodobně však můžete řídit Secure Boot z firmwaru UEFI vašeho PC, což je jako starší počítače BIOS.

Existují dva způsoby, jak ovládat Secure Boot. Nejjednodušší metodou je přejít na firmware UEFI a úplně ji deaktivovat. Firmware UEFI nezkontroluje, zda máte spuštěnou podepsanou zaváděcí jednotku, a vše se spustí. Můžete spustit libovolnou distribuci Linuxu nebo dokonce nainstalovat systém Windows 7, který nepodporuje funkci Secure Boot. Windows 8 a 10 budou fungovat dobře, ztratíte bezpečnostní výhody tím, že budete mít zabezpečený spouštěcí proces Secure Boot

Můžete dále přizpůsobit funkci Secure Boot. Můžete řídit, které podpisové certifikáty nabízí Secure Boot. Můžete si nainstalovat nové certifikáty i stávající certifikáty. Organizace, která spustila systém Linux na svých počítačích, se například může rozhodnout odebrat certifikáty společnosti Microsoft a nainstalovat vlastní certifikát organizace na místo. Tyto počítače by pak zaváděly pouze zavaděče zavěšené a schválené a podepsané touto konkrétní organizací.

Jeden by mohl udělat i tohle - mohl by si podepsat vlastní zaváděcí systém Linux a zajistit, aby počítač mohl spouštět pouze bootloadery, které jste osobně sestavili a podepsali. To, co vyžadují výrobce počítačů

Společnost Microsoft nejen vyžaduje, aby prodejci počítačů povolili funkci Secure Boot, pokud chtějí, aby tento pěkný certifikační štítek "Windows 10" nebo "Windows 8" na svých počítačích. Společnost Microsoft požaduje od výrobců osobních počítačů, aby je implementovaly určitým způsobem.

U počítačů se systémem Windows 8 museli výrobci poskytnout způsob, jak vypnout funkci Secure Boot. Společnost Microsoft požadovala od výrobců počítačů, aby v uživatelských rukou vložili přepínač Zabezpečený spouštěcí boot.

Pro počítače se systémem Windows 10 není toto již povinné. Výrobci počítačů se mohou rozhodnout povolit funkci Secure Boot a neposkytnout uživatelům způsob, jak je vypnout. Zatímco výrobci počítačů musí zahrnovat hlavní klíč "Microsoft Windows Production PCA" společnosti Microsoft, aby mohl systém Windows zavádět, nemusí obsahovat " Microsoft Corporation UEFI CA ". Tento druhý klíč se doporučuje pouze. Je to druhý, nepovinný klíč, který společnost Microsoft používá k podepsání zavaděčů systému Linux. Dokumentace Ubuntu vysvětluje tuto skutečnost.

Jinými slovy, ne všechny počítače budou nutně spouštět podepsané linuxové distribuce se zapnutým Secure Boot. Opět v praxi jsme neviděli žádné počítače, které by to udělaly. Možná, že žádný výrobce osobních počítačů nechce vytvořit jediný řádek notebooků, na kterých nemůžete nainstalovat linux.

Prozatím by přinejmenším měli běžné PC Windows umožnit zakázat Secure Boot, pokud se vám líbí, a měli by spustit Linuxové distribuce, které podepsané společností Microsoft, i když neaktivujete systém Secure Boot.

Secure Boot nemohl být deaktivován v systému Windows RT, ale Windows RT je mrtvý

SOUVISEJÍCÍ:

Co je Windows RT a jak je Je to jiné, než Windows 8?

Všechny výše uvedené platí pro běžné operační systémy Windows 8 a 10 na standardním hardwaru Intel x86. V systému Windows RT - verze Windows 8 pro hardware ARM, který byl dodáván na povrchy Microsoft Surface RT a Surface 2, mezi jinými zařízeními - Secure Boot nemohl být deaktivován. Secure Boot nemůže být dnes deaktivován v systému Windows 10 Mobile - jinými slovy v telefonech s operačním systémem Windows 10. To je proto, že společnost Microsoft chtěla, abyste uvažovali o systémech Windows RT se systémem ARM jako o "zařízeních" . Microsoft uvedl Mozilla, Windows RT "už není Windows."

Windows RT je však nyní mrtvý. Neexistuje žádná verze operačního systému Windows 10 pro ARM-hardware, takže se nejedná o něco, o co byste se už museli starat. Pokud však společnost Microsoft vrátí zpět hardware Windows RT 10, pravděpodobně nebudete moci na něm vypnout funkci Secure Boot

Image Credit: Ambassador Base, John Bristowe


Jak přesunout e-maily mezi kartami Auto-Sorted Doručená pošta v Gmailu

Jak přesunout e-maily mezi kartami Auto-Sorted Doručená pošta v Gmailu

Systém Gmail s příchozími kartami je užitečný způsob, jak uspořádat e-maily do kategorií, ale vyladíte, který je okamžitě zřejmý. Společnost Google představila v roce 2013 kartu s příchozími kartami a miliony lidí dostali novou schránku, kde byly všechny e-maily automaticky roztříděny do výchozích kategorií jako jsou "Primární", "Sociální" a "Propagace".

(how-to)

10 Způsobů generování náhodného hesla z příkazového řádku Linux

10 Způsobů generování náhodného hesla z příkazového řádku Linux

Jednou z velkých věcí o Linuxu je, že můžete dělat totéž stovky různých způsobů - dokonce i něco tak jednoduchého, jako generování náhodné heslo může být provedeno s desítkami různých příkazů. Zde je 10 způsobů, jak to dokážete. Všechny tyto příkazy jsme shromáždili z příkazového řádku Fu a testovali je na našem vlastním počítači Linux, aby se ujistili, že fungují.

(how-to)