nl.phhsnews.com


nl.phhsnews.com / Hoe Secure Boot werkt op Windows 8 en 10, en wat het betekent voor Linux

Hoe Secure Boot werkt op Windows 8 en 10, en wat het betekent voor Linux


Moderne pc's worden geleverd met een functie genaamd "Secure Boot" ingeschakeld. Dit is een platformfunctie in UEFI, die het traditionele pc-BIOS vervangt. Als een pc-fabrikant een "Windows 10" - of "Windows 8" -logosticker op zijn pc wil plaatsen, moet Microsoft Secure Boot inschakelen en een aantal richtlijnen volgen.

Helaas wordt ook voorkomen dat u sommige Linux-distributies installeert. kan een behoorlijk gedoe zijn.

Hoe Secure Boot het opstartproces van uw pc beveiligt

Secure Boot is niet alleen ontworpen om het draaien van Linux moeilijker te maken. Er zijn echte beveiligingsvoordelen als Secure Boot is ingeschakeld en zelfs Linux-gebruikers kunnen hiervan profiteren.

Een traditioneel BIOS zal alle software opstarten. Wanneer u uw pc opstart, worden de hardwareapparaten gecontroleerd volgens de opstartvolgorde die u hebt geconfigureerd en probeert u ze op te starten. Typische pc's zullen normaal de opstartlader van Windows vinden en opstarten, waarna het volledige Windows-besturingssysteem wordt opgestart. Als je Linux gebruikt, zal het BIOS de GRUB-bootloader vinden en booten, die de meeste Linux-distributies gebruiken.

Het is echter mogelijk dat malware, zoals een rootkit, je bootloader vervangt. De rootkit kan uw normale besturingssysteem laden zonder enige indicatie dat er iets mis is, volledig onzichtbaar en niet detecteerbaar op uw systeem. Het BIOS kent het verschil niet tussen malware en een vertrouwde bootloader-het boot alleen wat het vindt.

Secure Boot is ontworpen om dit te stoppen. Windows 8 en 10 pc's worden geleverd met Microsoft-certificaat dat is opgeslagen in UEFI. UEFI controleert de bootloader voordat deze wordt gestart en zorgt ervoor dat deze door Microsoft is ondertekend. Als een rootkit of een ander stukje malware je opstartlader vervangt of ermee knoeit, staat UEFI het niet toe om op te starten. Hiermee wordt voorkomen dat malware uw opstartproces kapot maakt en zichzelf voor uw besturingssysteem verborgen houdt.

Hoe Microsoft Linux-distributies toestaat op te starten met Secure Boot

Deze functie is in theorie alleen bedoeld om te beschermen tegen malware. Dus Microsoft biedt een manier om Linux-distributies toch op te starten. Daarom zullen sommige moderne Linux-distributies, zoals Ubuntu en Fedora, "gewoon werken" op moderne pc's, zelfs als Secure Boot is ingeschakeld. Linux-distributies kunnen eenmalige kosten van $ 99 betalen om toegang te krijgen tot de Microsoft Sysdev-portal, waar ze kunnen aanvragen om hun bootloaders te laten ondertekenen.

Linux-distributies hebben over het algemeen een "shim" ondertekend. De shim is een kleine bootloader die eenvoudig de Linux GRUB-bootloader opstart. De door Microsoft ondertekende shim controleert of het een bootloader start die is ondertekend door de Linux-distributie en de Linux-distributie start normaal.

Ubuntu, Fedora, Red Hat Enterprise Linux en openSUSE ondersteunen momenteel Secure Boot en werken zonder eventuele tweaks op moderne hardware. Er kunnen anderen zijn, maar dit zijn degenen waarvan we ons bewust zijn. Sommige Linux-distributies zijn filosofisch gekant tegen aanmelding door Microsoft.

Hoe u Secure Boot kunt uitschakelen of bedienen

Als dat alles was wat Secure Boot deed, zou u geen door Microsoft goedgekeurde programma's kunnen uitvoeren besturingssysteem op uw pc. Maar u kunt waarschijnlijk Secure Boot besturen via de UEFI-firmware van uw pc, wat vergelijkbaar is met het BIOS op oudere pc's.

Er zijn twee manieren om Secure Boot te besturen. De eenvoudigste methode is om naar de UEFI-firmware te gaan en deze volledig uit te schakelen. De UEFI-firmware controleert niet of u een bootloader met een handtekening gebruikt en alles start op. Je kunt elke Linux-distributie opstarten of zelfs Windows 7 installeren, die Secure Boot niet ondersteunt. Windows 8 en 10 werken goed, je verliest gewoon de beveiligingsvoordelen van het hebben van Secure Boot om je opstartproces te beschermen.

Je kunt Secure Boot ook verder aanpassen. U kunt bepalen welke ondertekeningscertificaten Secure Boot biedt. U bent vrij om zowel nieuwe certificaten te installeren als bestaande certificaten te verwijderen. Een organisatie die Linux op pc's draaide, kon er bijvoorbeeld voor kiezen om Microsoft-certificaten te verwijderen en het eigen certificaat van de organisatie op zijn plaats te installeren. Die pc's booten dan alleen bootloaders die zijn goedgekeurd en ondertekend door die specifieke organisatie.

Een individu zou dit ook kunnen doen - je zou je eigen Linux bootloader kunnen ondertekenen en ervoor zorgen dat je pc alleen bootloaders kan booten die je persoonlijk hebt samengesteld en ondertekend. Dat is het soort controle en kracht dat Secure Boot biedt.

Wat Microsoft nodig heeft van pc-fabrikanten

Microsoft vereist niet alleen dat pc-leveranciers Secure Boot inschakelen als ze die leuke "Windows 10" - of "Windows 8" -certificeringssticker willen op hun pc's. Microsoft vereist dat pc-fabrikanten het op een specifieke manier implementeren.

Voor Windows 8-pc's moesten fabrikanten u een manier geven om Secure Boot uit te schakelen. Microsoft vereiste pc-fabrikanten om een ​​Secure Boot-kill-switch in handen van de gebruiker te plaatsen.

Voor Windows 10-pc's is dit niet langer verplicht. Pc-fabrikanten kunnen ervoor kiezen Secure Boot in te schakelen en gebruikers geen manier geven om het uit te schakelen. We zijn echter niet echt op de hoogte van pc-fabrikanten die dit doen.

Evenzo, terwijl pc-fabrikanten Microsoft's belangrijkste "Microsoft Windows Production PCA" -sleutel moeten opnemen zodat Windows kan opstarten, hoeven ze niet de " Microsoft Corporation UEFI CA "sleutel. Deze tweede sleutel wordt alleen aanbevolen. Het is de tweede, optionele sleutel die Microsoft gebruikt om Linux-bootladers te ondertekenen. Ubuntu's documentatie legt dit uit.

Met andere woorden, niet alle pc's zullen noodzakelijkerwijs ondertekende Linux-distributies starten als Secure Boot is ingeschakeld. Nogmaals, in de praktijk hebben we geen pc's gezien die dit hebben gedaan. Misschien wil geen pc-fabrikant de enige reeks laptops maken waarop je Linux niet kunt installeren.

Voorlopig zouden mainstream Windows-pc's je in staat moeten stellen om Secure Boot desgewenst uit te schakelen en Linux-distributies opstarten die zijn ondertekend door Microsoft, zelfs als u Secure Boot niet uitschakelt.

Secure Boot kan niet worden uitgeschakeld op Windows RT, maar Windows RT is dood

RELATED: Wat is Windows RT en hoe wordt It Anders dan Windows 8?

Al het bovenstaande geldt voor standaard Windows 8 en 10 besturingssystemen op de standaard Intel x86-hardware. Het is anders voor ARM.

Op Windows RT - de versie van Windows 8 voor ARM-hardware, die werd geleverd op Surface RT en Surface 2 van Microsoft, naast andere apparaten: Secure Boot kon niet worden uitgeschakeld. Vandaag de dag kan Secure Boot nog steeds niet worden uitgeschakeld op Windows 10 Mobile-hardware, met andere woorden, telefoons met Windows 10.

Dat komt omdat Microsoft wilde dat je op ARM-gebaseerde Windows RT-systemen dacht als "apparaten", niet als pc's . Zoals Microsoft aan Mozilla heeft verteld, is Windows RT "geen Windows meer."

Windows RT is nu echter dood. Er is geen versie van het Windows 10-desktopbesturingssysteem voor ARM-hardware, dus dit is niet iets waarover u zich geen zorgen meer hoeft te maken. Maar als Microsoft Windows RT 10 hardware terugbrengt, kunt u Secure Boot waarschijnlijk niet uitschakelen.

Image Credit: Ambassador Base, John Bristowe


Waar gaat het over: Blanco pagina in webbrowser Voor?

Waar gaat het over: Blanco pagina in webbrowser Voor?

Hoewel de meeste mensen de voorkeur geven aan een specifieke webpagina als startpagina in hun webbrowser, hebben anderen ervoor gekozen om over te gebruiken: leeg in plaats daarvan. Gaat over: leeg gewoon een lege webpagina of heeft deze een speciaal doel? De SuperUser Q & A-post van vandaag biedt de antwoorden op de vragen van een nieuwsgierige lezer.

(how-to)

Pijlen op snelkoppelingspictogrammen verwijderen (of wijzigen) in Windows 7, 8 en 10

Pijlen op snelkoppelingspictogrammen verwijderen (of wijzigen) in Windows 7, 8 en 10

In Windows hebben pictogrammen voor snelkoppelingen kleine pijlen om u eraan te herinneren dat wat u bekijkt is een snelkoppeling. Hoewel de pijlen kleiner zijn dan in sommige eerdere versies van Windows, zijn ze niet erg aantrekkelijk. Gelukkig zijn ze vrij gemakkelijk te verwijderen. Het verwijderen van die kleine pijlen vereist een aanpassing aan het Windows-register, maar er zijn een paar verschillende manieren om het te doen.

(how-to)