كيف يعمل الحذاء الآمن على ويندوز 8 و 10 وماذا يعني بالنسبة للينكس
تأتي أجهزة الكمبيوتر الحديثة مزودة بميزة تسمى "التمهيد الآمن". هذه هي ميزة النظام الأساسي في UEFI ، الذي يحل محل BIOS PC التقليدي. إذا أرادت الشركة المصنّعة لأجهزة الكمبيوتر وضع ملصق شعار "Windows 10" أو "Windows 8" على جهاز الكمبيوتر الخاص بهم ، فإن Microsoft تتطلب تمكين ميزة "التمهيد الآمن" واتباع بعض الإرشادات.
لسوء الحظ ، فإنه يمنعك أيضًا من تثبيت بعض توزيعات لينكس ، والتي يمكن أن تكون متاعب.
كيفية تأمين الحذاء يؤمن عملية التمهيد لجهاز الكمبيوتر الخاص بك
لم يتم تصميم Secure Boot فقط لجعل تشغيل Linux أكثر صعوبة. هناك مزايا أمنية حقيقية لتمكين Secure Boot ، وحتى مستخدمي Linux يمكنهم الاستفادة منها.
سوف BIOS التقليدية التمهيد أي برنامج. عند قيامك بتمهيد جهاز الكمبيوتر الخاص بك ، فإنه يتحقق من الأجهزة وفقًا لأمر التمهيد الذي قمت بتكوينه ، ويحاول التمهيد منها. عادةً ما تعثر أجهزة الكمبيوتر العادية على برنامج تحميل التمهيد لـ Windows وتقوم بتشغيله ، والذي يستمر في تشغيل نظام التشغيل Windows الكامل. إذا كنت تستخدم لينكس ، فإن نظام الإدخال والإخراج الأساسي (BIOS) سيجد ويدعم أداة تحميل GRUB ، التي تستخدمها معظم توزيعات لينكس.
ومع ذلك ، فمن الممكن لبرامج ضارة ، مثل rootkit ، أن تحل محل محمل الإقلاع. يمكن أن يقوم برنامج rootkit بتحميل نظام التشغيل العادي الخاص بك دون أي إشارة إلى أن أي شيء كان خاطئًا ، ويظل غير مرئي تمامًا وغير قابل للكشف على نظامك. لا يعرف نظام BIOS الاختلاف بين البرامج الضارة ومحمل الإقلاع الموثوق ، فهو يقوم فقط بتشغيل كل ما يعثر عليه.
تم تصميم Secure Boot لإيقاف هذا. يتم شحن Windows 8 و 10 أجهزة الكمبيوتر بشهادة Microsoft المخزنة في UEFI. سيتحقق UEFI من محمل الإقلاع قبل تشغيله والتأكد من توقيعه بواسطة Microsoft. إذا كان برنامج rootkit أو أي برنامج آخر من البرامج الضارة يستبدل أداة التحميل أو التلاعب بها ، فلن يسمح UEFI بتشغيلها. هذا يمنع البرامج الضارة من اختطاف عملية التشغيل وإخفاء نفسها من نظام التشغيل الخاص بك.
كيف تسمح مايكروسوفت توزيعات لينكس للتشغيل مع التمهيد الآمن
هذه الميزة ، من الناحية النظرية ، مصممة فقط للحماية من البرامج الضارة. لذا تقدم Microsoft طريقة لمساعدة توزيعات Linux التمهيد على أي حال. هذا هو السبب في أن بعض توزيعات Linux الحديثة مثل Ubuntu و Fedora سوف "تعمل فقط" على أجهزة الكمبيوتر الحديثة ، حتى مع تمكين Secure Boot. يمكن أن تقوم توزيعات لينكس بدفع رسوم لمرة واحدة بقيمة 99 دولارًا للوصول إلى بوابة Microsoft Sysdev ، حيث يمكنها التقدم للحصول على برامج تحميل التمهيد الخاصة بها.
توزيعات Linux بشكل عام لها توقيع "الرقائق". الرقائق هي محمل إقلاع صغير يقوم ببساطة بتمهيد برنامج تحميل التمهيد الرئيسي GRUB من Linux distributions. تقوم الرقائق الموقعة من قبل Microsoft بالتأكد من أنها تقوم بتمهيد محمل إقلاع موقّع بواسطة توزيعة لينكس ، ومن ثم يتم تثبيت توزيعة لينكس بشكل طبيعي.
يدعم كل من Ubuntu و Fedora و Red Hat Enterprise Linux و openSUSE حاليًا التمهيد الآمن ، وسيعمل دون أي تعديلات على الأجهزة الحديثة. قد يكون هناك آخرون ، لكن هؤلاء هم الذين نعرفهم. بعض توزيعات لينكس تعارض فلسفياً تطبيق أن يتم توقيعها بواسطة Microsoft.
كيف يمكنك تعطيل أو التحكم في تأمين الحذاء
إذا كان هذا هو كل ما فعلته Secure Boot ، فلن تتمكن من تشغيل أي نظام تشغيل معتمد من قبل Microsoft على جهاز الكمبيوتر الخاص بك. ولكن من المحتمل أن تتحكم في برنامج Secure Boot من برنامج UEFI الخاص بالكمبيوتر ، والذي يشبه BIOS في أجهزة الكمبيوتر القديمة.
هناك طريقتان للتحكم في التمهيد الآمن. أسهل طريقة هي التوجه إلى البرنامج الثابت UEFI وتعطيله بالكامل. لن تتحقق البرامج الثابتة من UEFI لضمان تشغيل أداة تحميل تمهيد موقعة ، وسيتم تشغيل أي شيء. يمكنك تشغيل أي توزيع Linux أو حتى تثبيت Windows 7 ، الذي لا يدعم Secure Boot. سيعمل نظاما التشغيل Windows 8 و 10 بشكل جيد ، فستفقد فقط ميزات الأمان التي توفرها حماية Secure Boot من عملية التمهيد.
يمكنك أيضًا تخصيص تخصيص آمن. يمكنك التحكم في شهادات التوقيع التي يقدمها Secure Boot. أنت مطلق الحرية في تثبيت الشهادات الجديدة وإزالة الشهادات الحالية. فعلى سبيل المثال ، يمكن أن تختار منظمة تشغل Linux على أجهزة الكمبيوتر الخاصة بها إزالة شهادات Microsoft وتثبيت الشهادة الخاصة بالمؤسسة في مكانها. وعندئذٍ ستقوم أجهزة الكمبيوتر هذه بتشغيل برامج تحميل التمهيد المعتمدة والموقعة من قِبل تلك المؤسسة المحددة.
يمكن لفرد القيام بذلك ، أيضا ، يمكنك توقيع محمل الإقلاع Linux الخاص بك والتأكد من أن جهاز الكمبيوتر الخاص بك يمكن فقط تحميل برامج تحميل التمهيد التي قمت بتجميعها وتوقيعها شخصيا. هذا هو نوع التحكم والقوة التي يوفرها Secure Boot.
ما تتطلبه Microsoft من الشركات المصنعة للكمبيوتر
لا تقتصر Microsoft على قيام موردي أجهزة الكمبيوتر بتمكين ميزة "التمهيد الآمن" إذا كانوا يريدون ملصق "Windows 10" أو "Windows 8" الجميل على أجهزة الكمبيوتر الخاصة بهم. يتطلب Microsoft الشركات المصنعة لأجهزة الكمبيوتر بتطبيقها بطريقة معينة.
بالنسبة إلى أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 8 ، يجب على المصنعين منحك طريقة لإيقاف تشغيل التمهيد الآمن. مايكروسوفت الشركات المصنعة لأجهزة الكمبيوتر الشخصية لوضع مفتاح قتل التمهيد الآمن في أيدي المستخدمين.
بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام Windows 10 ، لم يعد هذا الأمر إلزاميًا. يمكن للشركات المصنعة لأجهزة الكمبيوتر اختيار تمكين التمهيد الآمن وعدم منح المستخدمين طريقة لإيقاف تشغيله. ومع ذلك ، فنحن لا ندرك بالفعل أي شركات تصنيع أجهزة كمبيوتر تقوم بذلك.
وبالمثل ، في حين يتعين على الشركات المصنعة لأجهزة الكمبيوتر أن تقوم بتضمين مفتاح "Microsoft Windows Production PCA" الرئيسي الخاص بـ Microsoft بحيث يمكن لـ Windows التمهيد ، لن تحتاج إلى تضمين مفتاح "Microsoft Corporation UEFI CA". هذا المفتاح الثاني موصى به فقط. إنه المفتاح الثاني ، الاختياري الذي تستخدمه Microsoft لتوقيع لوادر تحميل Linux. تشرح وثائق Ubuntu هذا.
وبعبارة أخرى ، لن تقوم كل أجهزة الكمبيوتر بالضرورة بتشغيل توزيعات Linux الموقعة مع تشغيل التمهيد الآمن. مرة أخرى ، من الناحية العملية ، لم نر أي أجهزة كمبيوتر تقوم بذلك. ربما لا ترغب الشركة المصنّعة للكمبيوتر في إنشاء الخط الوحيد من أجهزة الكمبيوتر المحمولة التي لا تستطيع تثبيت Linux عليها.
في الوقت الحالي ، على الأقل ، يجب أن تسمح لك أجهزة الكمبيوتر العادية التي تعمل بنظام التشغيل Windows بتعطيل ميزة "التمهيد الآمن" إذا أردت ، ويجب أن تقوم بتشغيل توزيعات Linux التي تم توقيعها بواسطة Microsoft حتى إذا لم تقم بتعطيل Secure Boot.
تعذر تشغيل التمهيد الآمن على Windows RT ، ولكن Windows RT كان Dead
كل ما سبق ينطبق على أنظمة التشغيل القياسية Windows 8 و 10 على أجهزة Intel x86 القياسية. الأمر مختلف بالنسبة لـ ARM.
على Windows RT-the يتعذر تعطيل إصدار Windows 8 الخاص بأجهزة ARM ، التي يتم شحنها على Surface RT و Surface 2 من Microsoft ، من بين الأجهزة الأخرى - التمهيد الآمن. اليوم ، لا يزال من الممكن تعطيل Secure Boot على أجهزة Windows 10 Mobile ، وبعبارة أخرى ، الهواتف التي تعمل بنظام التشغيل Windows 10.
ويرجع ذلك إلى أن Microsoft أرادت منك التفكير في أنظمة Windows RT المستندة إلى ARM كـ "أجهزة" ، وليس أجهزة الكمبيوتر الشخصي. كما أخبرت مايكروسوفت Mozilla ، Windows RT "لم يعد Windows."
ومع ذلك ، Windows RT الآن ميت. لا توجد نسخة من نظام تشغيل Windows 10 لسطح المكتب لأجهزة ARM ، لذلك لا داعي للقلق بعد الآن. ولكن إذا كانت Microsoft تعيد أجهزة Windows RT 10 ، فمن المحتمل ألا تتمكن من تعطيل Secure Boot على الجهاز.
ائتمان الصورة: قاعدة السفير ، جون بريستو