Homepage » come » Come funziona l'avvio sicuro su Windows 8 e 10 e cosa significa per Linux

    Come funziona l'avvio sicuro su Windows 8 e 10 e cosa significa per Linux

    I PC moderni vengono forniti con una funzionalità chiamata "Avvio protetto" abilitata. Questa è una funzione di piattaforma in UEFI, che sostituisce il tradizionale BIOS del PC. Se un produttore di PC desidera posizionare un adesivo del logo "Windows 10" o "Windows 8" sul proprio PC, Microsoft richiede che abiliti Avvio protetto e segua alcune linee guida.

    Sfortunatamente, ti impedisce anche di installare alcune distribuzioni Linux, il che può essere piuttosto complicato.

    In che modo Secure Boot protegge il processo di avvio del PC

    Secure Boot non è solo progettato per rendere più difficile l'esecuzione di Linux. Ci sono reali vantaggi per la sicurezza di avere Secure Boot abilitato, e anche gli utenti Linux possono trarne vantaggio.

    Un BIOS tradizionale avvierà qualsiasi software. Quando si avvia il PC, controlla i dispositivi hardware in base all'ordine di avvio configurato e tenta di avviarsi da essi. I PC tipici troveranno e avviano normalmente il boot loader di Windows, che avvia il sistema operativo Windows completo. Se si utilizza Linux, il BIOS troverà e avvierà il boot loader GRUB, utilizzato dalla maggior parte delle distribuzioni Linux.

    Tuttavia, è possibile che il malware, come un rootkit, sostituisca il boot loader. Il rootkit potrebbe caricare il tuo normale sistema operativo senza alcuna indicazione di errore, rimanendo completamente invisibile e non rilevabile sul tuo sistema. Il BIOS non conosce la differenza tra malware e un boot loader affidabile, ma avvia solo tutto ciò che trova.

    Secure Boot è progettato per fermare questo. I PC Windows 8 e 10 vengono forniti con il certificato Microsoft memorizzato in UEFI. UEFI controllerà il boot loader prima di avviarlo e assicurarsi che sia firmato da Microsoft. Se un rootkit o un altro pezzo di malware sostituisce il boot loader o lo manomette, UEFI non consentirà l'avvio. Questo impedisce al malware di dirottare la tua procedura di avvio e di nascondersi dal tuo sistema operativo.

    In che modo Microsoft consente alle distribuzioni Linux di avviarsi con Secure Boot

    Questa funzione è, in teoria, appena progettata per proteggere dal malware. Quindi Microsoft offre un modo per aiutare comunque le distribuzioni Linux ad avviarsi. Ecco perché alcune moderne distribuzioni Linux, come Ubuntu e Fedora, "funzionano" solo sui PC moderni, anche con Secure Boot abilitato. Le distribuzioni Linux possono pagare una commissione una tantum di $ 99 per accedere al portale Microsoft Sysdev, dove possono fare domanda per far firmare i boot loader.

    Le distribuzioni Linux hanno generalmente uno "shim" firmato. Lo shim è un piccolo boot loader che avvia semplicemente il boot loader GRUB principale delle distribuzioni Linux. Lo shim firmato da Microsoft controlla per assicurarsi che stia avviando un boot loader firmato dalla distribuzione Linux, e quindi la distribuzione Linux si avvia normalmente.

    Ubuntu, Fedora, Red Hat Enterprise Linux e openSUSE attualmente supportano Secure Boot e funzioneranno senza apportare modifiche all'hardware moderno. Potrebbero essercene altri, ma questi sono quelli di cui siamo a conoscenza. Alcune distribuzioni Linux sono filosoficamente contrarie all'applicare per essere firmate da Microsoft.

    Come puoi disabilitare o controllare l'avvio sicuro

    Se quello era tutto ciò che Secure Boot faceva, non saresti in grado di eseguire alcun sistema operativo non approvato da Microsoft sul tuo PC. Ma è probabile che tu possa controllare Secure Boot dal firmware UEFI del tuo PC, che è come il BIOS nei vecchi PC.

    Esistono due modi per controllare Secure Boot. Il metodo più semplice è dirigersi verso il firmware UEFI e disabilitarlo completamente. Il firmware UEFI non verificherà che tu stia eseguendo un boot loader firmato e tutto verrà avviato. È possibile avviare qualsiasi distribuzione Linux o installare anche Windows 7, che non supporta Secure Boot. Windows 8 e 10 funzioneranno correttamente, perderai i vantaggi di sicurezza di Avvio protetto per proteggere il processo di avvio.

    Puoi anche personalizzare ulteriormente Secure Boot. È possibile controllare i certificati di firma offerti da Secure Boot. Sei libero di installare entrambi i nuovi certificati e rimuovere i certificati esistenti. Un'organizzazione che gestiva Linux sui propri PC, ad esempio, poteva scegliere di rimuovere i certificati di Microsoft e installare il proprio certificato dell'organizzazione al suo posto. Questi PC avrebbero quindi avviato solo i boot loader approvati e firmati da quella specifica organizzazione.

    Un individuo potrebbe fare anche questo: è possibile firmare il proprio boot loader Linux e assicurarsi che il proprio PC possa solo avviare i boot loader che sono stati compilati e firmati personalmente. Questo è il tipo di controllo e potenza offerte da Secure Boot.

    Cosa richiede Microsoft dai produttori di PC

    Microsoft non richiede solo che i produttori di PC abilitino Secure Boot se desiderano un bell'adesivo di certificazione "Windows 10" o "Windows 8" sul proprio PC. Microsoft richiede che i produttori di PC lo implementino in un modo specifico.

    Per i PC Windows 8, i produttori hanno dovuto darti un modo per disattivare Secure Boot. Microsoft ha richiesto ai produttori di PC di mettere un kill switch Secure Boot nelle mani degli utenti.

    Per PC Windows 10, questo non è più obbligatorio. I produttori di PC possono scegliere di abilitare Secure Boot e non dare agli utenti un modo per disattivarlo. Tuttavia, non siamo effettivamente a conoscenza di produttori di PC che lo fanno.

    Allo stesso modo, mentre i produttori di PC devono includere la chiave "Microsoft Windows Production PCA" di Microsoft in modo che Windows possa avviarsi, non devono includere la chiave "Microsoft Corporation UEFI CA". Questa seconda chiave è solo raccomandata. È la seconda chiave opzionale che Microsoft usa per firmare i boot loader di Linux. La documentazione di Ubuntu lo spiega.

    In altre parole, non tutti i PC avviano necessariamente le distribuzioni Linux firmate con Secure Boot attivato. Di nuovo, in pratica, non abbiamo visto nessun PC che lo abbia fatto. Forse nessun produttore di PC vuole realizzare l'unica linea di laptop su cui non è possibile installare Linux.

    Per ora, almeno, i PC Windows tradizionali dovrebbero consentire di disabilitare Secure Boot se lo si desidera, e dovrebbero avviare le distribuzioni Linux che sono state firmate da Microsoft anche se non si disabilita Secure Boot.

    Impossibile avviare l'avvio protetto su Windows RT, ma Windows RT non funziona

    Tutto quanto sopra è vero per i sistemi operativi Windows 8 e 10 standard sull'hardware Intel x86 standard. È diverso per ARM.

    Su Windows RT, la versione di Windows 8 per l'hardware ARM, distribuita su Surface RT e Surface 2 di Microsoft, tra gli altri dispositivi, Secure Boot non può essere disabilitato. Oggi, Secure Boot non può essere disabilitato su Windows 10 Mobile hardware, in altre parole, i telefoni che eseguono Windows 10.

    Questo perché Microsoft voleva che pensassi ai sistemi Windows RT basati su ARM come "dispositivi", non come PC. Come Microsoft ha dichiarato a Mozilla, Windows RT "non è più Windows".

    Tuttavia, Windows RT è morto. Non esiste una versione del sistema operativo desktop Windows 10 per ARM-hardware, quindi non è più qualcosa di cui ti devi preoccupare. Ma, se Microsoft ripristina l'hardware di Windows RT 10, probabilmente non sarà possibile disabilitare Secure Boot su di esso.

    Immagine di credito: Ambassador Base, John Bristowe