Поиск по сайту:

Как работает безопасная загрузка в Windows 10 и что это значит для Linux

Современные ПК поставляются с включенной функцией «Безопасная загрузка». Это функция платформы в UEFI, которая заменяет традиционный BIOS для ПК. Если производитель ПК хочет разместить на своем ПК наклейку с логотипом Windows 10, Microsoft требует, чтобы он включил безопасную загрузку и соблюдал некоторые рекомендации.

К сожалению, это также не позволяет вам установить некоторые дистрибутивы Linux, что может доставить немало хлопот.

Как безопасная загрузка защищает процесс загрузки вашего ПК

Безопасная загрузка предназначена не только для того, чтобы усложнить работу Linux. Включение безопасной загрузки дает реальные преимущества в плане безопасности, и даже пользователи Linux могут извлечь из них выгоду.

Традиционный BIOS загрузит любое программное обеспечение. Когда вы загружаете свой компьютер, он проверяет аппаратные устройства в соответствии с настроенным вами порядком загрузки и пытается загрузиться с них. Типичные ПК обычно находят и загружают загрузчик Windows, который загружает всю операционную систему Windows. Если вы используете Linux, BIOS найдет и загрузит загрузчик GRUB, который используется в большинстве дистрибутивов Linux.

Однако вредоносное ПО, например руткит, может заменить ваш загрузчик. Руткит может загрузить вашу обычную операционную систему без каких-либо признаков того, что что-то не так, оставаясь полностью невидимым и необнаружимым в вашей системе. BIOS не знает разницы между вредоносным ПО и доверенным загрузчиком — он просто загружает все, что находит.

Безопасная загрузка предназначена для предотвращения этого. ПК с Windows 8 и 10 поставляются с сертификатом Microsoft, хранящимся в UEFI. UEFI проверит загрузчик перед его запуском и убедитесь, что он подписан Microsoft. Если руткит или другое вредоносное ПО заменит ваш загрузчик или вмешается в него, UEFI не позволит ему загрузиться. Это предотвращает захват вашего процесса загрузки вредоносными программами и их сокрытие от вашей операционной системы.

Как Microsoft разрешает загрузку дистрибутивов Linux с помощью безопасной загрузки

Эта функция теоретически предназначена только для защиты от вредоносных программ. Таким образом, Microsoft предлагает способ помочь дистрибутивам Linux загружаться в любом случае. Вот почему некоторые современные дистрибутивы Linux, такие как Ubuntu и Fedora, «просто работают» на современных ПК даже с включенной безопасной загрузкой. Дистрибутивы Linux могут заплатить единовременную плату в размере 99 долларов за доступ к порталу Microsoft Sysdev, где они могут подать заявку на подписание своих загрузчиков.

Дистрибутивы Linux обычно имеют подписанную «прокладку». Прокладка — это небольшой загрузчик, который просто загружает основной загрузчик GRUB дистрибутивов Linux. Оболочка, подписанная Microsoft, проверяет, загружается ли загрузчик, подписанный дистрибутивом Linux, после чего дистрибутив Linux загружается нормально.

Ubuntu, Fedora, Red Hat Enterprise Linux и openSUSE в настоящее время поддерживают безопасную загрузку и будут работать без каких-либо настроек на современном оборудовании. Могут быть и другие, но это те, о которых мы знаем. Некоторые дистрибутивы Linux философски против подачи заявки на подписание Microsoft.

Как вы можете отключить или контролировать безопасную загрузку

Если бы это было все, что делает безопасная загрузка, вы не смогли бы запустить на своем ПК какую-либо операционную систему, не одобренную Microsoft. Но вы, вероятно, можете управлять безопасной загрузкой из прошивки UEFI вашего ПК, которая похожа на BIOS на старых ПК.

Есть два способа управления безопасной загрузкой. Самый простой способ — перейти к прошивке UEFI и полностью отключить ее. Прошивка UEFI не будет проверять, что вы используете подписанный загрузчик, и все загрузится. Вы можете загрузить любой дистрибутив Linux или даже установить Windows 7, которая не поддерживает безопасную загрузку. Windows 10 будет работать нормально, вы просто потеряете преимущества безопасности, связанные с защитой процесса загрузки Secure Boot.

Вы также можете дополнительно настроить безопасную загрузку. Вы можете контролировать, какие сертификаты подписи предлагает безопасная загрузка. Вы можете как устанавливать новые сертификаты, так и удалять существующие сертификаты. Например, организация, использующая Linux на своих ПК, может удалить сертификаты Microsoft и установить вместо них собственный сертификат организации. Затем эти ПК будут загружать только загрузчики, одобренные и подписанные этой конкретной организацией.

Это может сделать и человек — вы можете подписать свой собственный загрузчик Linux и убедиться, что ваш компьютер может загружать только те загрузчики, которые вы лично скомпилировали и подписали. Именно такой контроль и мощность предлагает Secure Boot.

Что Microsoft требует от производителей ПК

Microsoft не просто требует, чтобы поставщики ПК включали безопасную загрузку, если они хотят иметь на своих ПК красивую сертификационную наклейку «Windows 10». Microsoft требует, чтобы производители ПК реализовывали его определенным образом.

Для ПК с Windows 8 производители должны были дать вам возможность отключить безопасную загрузку. Microsoft потребовала от производителей ПК предоставить пользователям функцию экстренного отключения от безопасной загрузки.

Для ПК с Windows 10 это больше не является обязательным. Производители ПК могут включить безопасную загрузку и не давать пользователям возможность ее отключить. Однако на самом деле мы не знаем ни одного производителя ПК, который делает это.

Точно так же, хотя производители ПК должны включать основной ключ «Microsoft Windows Production PCA» от Microsoft, чтобы Windows могла загружаться, им не нужно включать ключ «Microsoft Corporation UEFI CA». Этот второй ключ только рекомендуется. Это второй необязательный ключ, который Microsoft использует для подписи загрузчиков Linux. Документация Ubuntu объясняет это.

Другими словами, не все ПК обязательно будут загружать подписанные дистрибутивы Linux с включенной безопасной загрузкой. Опять же, на практике мы не видели ни одного ПК, который делал бы это. Возможно, ни один производитель ПК не хочет выпускать единственную линейку ноутбуков, на которые нельзя установить Linux.

На данный момент, по крайней мере, обычные ПК с Windows должны позволять вам отключать безопасную загрузку, если хотите, и они должны загружать дистрибутивы Linux, подписанные Microsoft, даже если вы не отключаете безопасную загрузку.

Безопасную загрузку нельзя отключить в Windows RT, но Windows RT мертва

Все вышесказанное верно для стандартных операционных систем Windows 10 на стандартном оборудовании Intel x86. Другое дело для ARM.

В Windows RT — версии Windows 8 для оборудования ARM, которая поставлялась, в частности, на Surface RT и Surface 2 от Microsoft, — безопасную загрузку нельзя было отключить. Сегодня безопасную загрузку по-прежнему нельзя отключить на оборудовании с Windows 10 Mobile, другими словами, на телефонах с Windows 10.

Это потому, что Microsoft хотела, чтобы вы думали о системах Windows RT на базе ARM как об «устройствах», а не о ПК. Как Microsoft заявила Mozilla, Windows RT «больше не Windows».

Однако Windows RT теперь мертва. Версии настольной операционной системы Windows 10 для ARM-оборудования не существует, так что вам больше не о чем беспокоиться. Но если Microsoft вернет оборудование Windows RT 10, вы, скорее всего, не сможете отключить на нем безопасную загрузку.

Изображение предоставлено: Ambassador Base, Джон Бристоу