Как работает Secure Boot в Windows и что это значит для Linux

Как работает Secure Boot в Windows и что это значит для Linux

В современных компьютерах часто вместо старого BIOS установлена UEFI. Во многих UEFI по умолчанию активирована функция безопасной загрузки (Secure Boot). Эта функция, предотвращает загрузку на компьютере не авторизованного ПО, к которому относятся также различные драйверы и ОС. Если производитель компьютера (ноутбука) желает чтобы его изделие было сертифицировано Microsoft и на него можно было наклеить соответствующую наклейку с Windows 10 или 8, режим безопасной загрузки в устройстве должен быть включен. К сожалению, данная возможность может затруднить или вообще сделать невозможной установку на такой компьютер Linux. Давайте разберемся как работает режим Secure Boot и как он влияет на возможность установки на ПК не Windows ОС.

Как Secure Boot защищает процесс загрузки

Обычный BIOS способен загрузить любое ПО. Когда вы включаете свой компьютер, он проводит тест всего оборудования, в случае каких-либо неполадок выдает соответствующее сообщение, а если все в порядке, ищет загрузчик операционной системы и передает управление компьютером ему.

Все просто, но подобный подход позволяет в момент загрузки компьютера запускать и вредоносный код, который после загрузки ОС никак себя не будет выдавать. Для BIOS нет разницы между вредоносным кодом и кодом загрузчика, он загрузить все, что найдёт. Безопасная загрузка создана для того, чтобы избежать подобного.

Компьютеры с предустановленной Windows 8 или 10 имеют специальный, вшитый в UEFI сертификат Microsoft. Когда UEFI находит загрузчик ОС, он проверяет его на наличие подписи Microsoft, и только после этого передает ему управление. Если какой-либо вирус или другой вредоносный код подменит загрузчик, UEFI не позволит ему загрузится.

Каким образом Microsoft позволяет загружаться Linux с Secure Boot

В теории, функция безопасной загрузки разработана для предотвращения запуска вредоносного кода, но на практике, изначально, это означало, что на компьютер с включенной Secure Boot нельзя было установить ничего, кроме Windows. Пользователи альтернативных ОС остались не у дел. Поэтому Microsoft решила помочь с загрузкой Linux на компьютерах с включенной Secure Boot – за одноразовую плату в 99 $ можно получить доступ к sysdev порталу Microsoft, где можно подписать свои загрузчики их ключом.

Кроме того, для Linux дистрибутивов есть несколько уже подписанных загрузчиков. Например Shim. Это небольшой загрузчик, предназначение которого передать загрузку основному загрузчику, GRUB, к примеру. Поскольку Shim подписан колючем от Microsoft, он без проблем проходит проверку UEFI, в свою очередь загружая подписанный Linux дистрибутивом загрузчик. Затем Linux загружается в обычном режиме.

Такие дистрибутив как Ubuntu, Fedora, RHEL и openSUSE без проблем поддерживают режим безопасной загрузки, поэтому без особых трудностей будут работать на любом современном железе. Однако есть также некоторые дистрибутивы, которые, следуя своей философии, не подписывают ПО ключами от Microsoft. Поэтому при выборе компьютера или дистрибутива это стоит учитывать.

Управление режимом Secure Boot

Если из-за режима безопасной загрузки вы не можете использовать свой любимый дистрибутив, существует несколько способов решить эту проблему.

Первый, и самый простой способ – отключение Secure Boot. Это можно сделать в настройках UEFI. После этого UEFI перестанет проверять подпись запускаемого ПО, и вы сможете, как и при старом BIOS, загружать любой дистрибутив.

Второй способ – настройка Secure Boot. Можно управлять тем, что режим безопасной загрузки должен проверять. Пользователь может сам устанавливать новые сертификаты и удалять уже вшитые. Например, можно удалить все сертификаты Microsoft и установить свои.

Залишити коментар

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *