no.phhsnews.com


no.phhsnews.com / Hvordan sikker oppstart fungerer på Windows 8 og 10, og hva det betyr for Linux

Hvordan sikker oppstart fungerer på Windows 8 og 10, og hva det betyr for Linux


Moderne PCer leveres med en funksjon som kalles "Secure Boot" aktivert. Dette er en plattformfunksjon i UEFI, som erstatter den tradisjonelle PC BIOS. Hvis en PC-produsent ønsker å legge inn et "Windows 10" eller "Windows 8" -logoen til PCen, krever Microsoft at de aktiverer sikker oppstart og følger noen retningslinjer.

Dessverre forhindrer det deg også i å installere noen Linux-distribusjoner som kan være ganske trøbbel.

Hvordan sikker oppstart sikrer PC-en Boot-prosess

Secure Boot er ikke bare designet for å gjøre det vanskeligere å kjøre Linux. Det er ekte sikkerhetsfordeler ved å ha Secure Boot aktivert, og til og med Linux-brukere kan dra nytte av dem.

En tradisjonell BIOS starter opp programvare. Når du starter datamaskinen, kontrollerer den maskinvareenhetene i henhold til oppstartsrekkefølgen du har konfigurert, og prøver å starte opp fra dem. Typiske PCer vil normalt finne og starte oppstartslasteren for Windows, som fortsetter å starte hele Windows-operativsystemet. Hvis du bruker Linux, vil BIOS finne og starte GRUB-opplasteren, som de fleste Linux-distribusjoner bruker.

Det er imidlertid mulig for skadelig programvare, for eksempel en rootkit, å erstatte oppstartslasteren. Rotkittet kunne laste det vanlige operativsystemet uten at det var noe som var feil, forblir helt usynlig og ikke påviselig på systemet. BIOS kjenner ikke forskjellen mellom skadelig programvare og en pålitelig oppstartslader. Den støtter bare hva den finner.

Secure Boot er designet for å stoppe dette. Windows 8 og 10 PCer leveres med Microsofts sertifikat lagret i UEFI. UEFI vil sjekke oppstartsladeren før du starter den og sørger for at den er signert av Microsoft. Hvis en rootkit eller et annet stykke malware erstatter oppstartslaster eller tukle med det, vil UEFI ikke tillate det å starte opp. Dette forhindrer at skadelig programvare kjører oppstartsprosessen og skjuler seg fra operativsystemet.

Hvordan Microsoft tillater Linux-distribusjoner å starte opp med sikker oppstart

Denne funksjonen er, i teorien, bare designet for å beskytte mot skadelig programvare. Så Microsoft tilbyr en måte å hjelpe Linux distribusjons oppstart uansett. Det er derfor noen moderne Linux-distribusjoner som Ubuntu og Fedora vil "bare virke" på moderne PCer, selv med Secure Boot aktivert. Linux-distribusjoner kan betale et engangsavgift på $ 99 for å få tilgang til Microsoft Sysdev-portalen, der de kan søke om at de har oppstartslasterne signert.

Linux-distribusjoner har vanligvis en "shim" signert. Shim er en liten oppstartslaster som bare støtter Linux-distribusjonens hoved GRUB-opplaster. Den Microsoft-signerte shim-kontrollen kontrollerer at den starter en oppstartslaster som er signert av Linux-distribusjonen, og deretter Linux-distribusjonsstøvlene normalt.

Ubuntu, Fedora, Red Hat Enterprise Linux og openSUSE støtter for øyeblikket Secure Boot, og vil fungere uten noen tweaks på moderne maskinvare. Det kan være andre, men det er de vi er klar over. Noen Linux-distribusjoner er filosofisk imot å søke om å bli signert av Microsoft.

Slik kan du deaktivere eller kontrollere sikker oppstart

Hvis det var alt Secure Boot gjorde, ville du ikke kunne kjøre noen ikke-Microsoft-godkjente operativsystem på din PC. Men du kan sannsynligvis kontrollere Secure Boot fra datamaskinens UEFI-firmware, som er som BIOS i eldre PCer.

Det er to måter å kontrollere Secure Boot på. Den enkleste metoden er å gå til UEFI-fastvaren og deaktivere den helt. UEFI-programvaren kontrollerer ikke at du kjører en signert oppstartslaster, og alt vil starte opp. Du kan starte en Linux-distribusjon eller installere Windows 7, som ikke støtter Secure Boot. Windows 8 og 10 fungerer bra, du vil bare miste sikkerhetsfordelene ved å ha Secure Boot beskytte oppstartsprosessen.

Du kan også tilpasse Secure Boot ytterligere. Du kan kontrollere hvilke signeringssertifikater Secure Boot tilbyr. Du kan gratis installere nye sertifikater og fjerne eksisterende sertifikater. En organisasjon som kjørte Linux på sine PCer, kan for eksempel velge å fjerne Microsofts sertifikater og installere organisasjonens eget sertifikat på plass. Disse PCene ville da bare starte oppstartslaster godkjent og signert av den aktuelle organisasjonen.

En person kan også gjøre dette - du kunne signere din egen Linux oppstartslaster og sørge for at PC-en din bare kunne starte oppstartslaster du personlig sammensatt og signert. Det er den typen kontroll og kraft som Secure Boot tilbyr.

Microsoft krever av PC-produsenter

Microsoft krever ikke bare at PC-leverandører aktiverer Secure Boot hvis de vil ha den fine "Windows 10" eller "Windows 8" -sertifiseringsklienten på sine PCer. Microsoft krever at PC-produsenter implementerer det på en bestemt måte.

For Windows 8-PCer, måtte produsentene gi deg en måte å slå sikker start på. Microsoft krevde PC-produsenter å sette en Secure Boot kill-bryter i brukernes hender.

For Windows 10-PCer er dette ikke lenger obligatorisk. PC-produsenter kan velge å aktivere Secure Boot og ikke gi brukerne mulighet til å slå den av. Vi er imidlertid ikke klar over noen PC-produsenter som gjør dette.

På samme måte, mens PC-produsenter må inkludere Microsofts viktigste "Microsoft Windows Production PCA" -tast, slik at Windows kan starte opp, må de ikke inkludere " Microsoft Corporation UEFI CA "-tasten. Denne andre nøkkelen anbefales kun. Det er den andre valgfrie nøkkelen som Microsoft bruker til å signere Linux oppstartslaster. Ubuntus dokumentasjon forklarer dette.

Med andre ord vil ikke alle PCer nødvendigvis starte opp signerte Linux-distribusjoner med Secure Boot slått på. Igjen, i praksis har vi ikke sett noen PCer som gjorde dette. Kanskje ingen PC-produsent ønsker å lage den eneste linjen med bærbare datamaskiner du ikke kan installere Linux på.

For nå, i det minste skal vanlige Windows-PCer tillate deg å deaktivere Secure Boot hvis du vil, og de skal starte Linux-distribusjoner som

Sikker Boot kan ikke deaktiveres på Windows RT, men Windows RT er Dead

RELATED: Hva er Windows RT, og hvordan er det? Det er forskjellig fra Windows 8?

Alt ovenfor gjelder for standard Windows 8 og 10 operativsystemer på standard Intel x86-maskinvaren. Det er forskjellig for ARM.

På Windows RT-versjonen av Windows 8 for ARM-maskinvare, som sendes på Microsofts Surface RT og Surface 2, kunne ikke andre enheter-Secure Boot deaktiveres. I dag kan Secure Boot ikke deaktiveres på Windows 10 Mobile-maskinvare, med andre ord, telefoner som kjører Windows 10.

Det er fordi Microsoft ønsket at du skulle tenke på ARM-baserte Windows RT-systemer som "enheter", ikke PCer . Som Microsoft fortalte Mozilla, er Windows RT "ikke Windows lenger."

Windows RT er imidlertid nå død. Det er ingen versjon av operativsystemet Windows 10 for ARM-maskinvare, så dette er ikke noe du trenger å bekymre deg for lenger. Men hvis Microsoft bringer tilbake Windows RT 10-maskinvare, vil du sannsynligvis ikke kunne deaktivere Secure Boot på den.

Image Credit: Ambassador Base, John Bristowe


Slik åpner du flere forekomster av Excel

Slik åpner du flere forekomster av Excel

Hvis du noen gang har jobbet med flere arbeidsbøker i Excel, vet du at det noen ganger kan føre til problemer hvis alle arbeidsbøkene er åpne i samme tilfelle av Excel. For eksempel, hvis du omberegner alle formler, vil det gjøre det for alle åpne arbeidsbøker i samme tilfelle.Hvis du ikke vil at det skal skje, eller hvis du bare vil se begge regnearkene ved siden av hverandre i to forskjellige vinduer, er det å skape flere forekomster av Excel. Du kan

(How-to)

Slik blokkerer du (eller tillater) Visse applikasjoner for brukere i Windows

Slik blokkerer du (eller tillater) Visse applikasjoner for brukere i Windows

Hvis du vil begrense hvilke apper en bruker kan kjøre på en PC, gir Windows deg to alternativer. Du kan blokkere appene du ikke vil at en bruker skal kjøre, eller du kan begrense dem til å kjøre bare bestemte apper. Slik gjør du det. RELATED: Slik bruker du systemgjenoppretting i Windows 7, 8 og 10 MERK: Vær helt sikker på at du endrer en brukerkonto du faktisk vil begrense, og at du alltid har en ubegrenset administrativ konto tilgjengelig for å angre endringene.

(how-to)