Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet

Inhaltsverzeichnis:

Video: Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet

Video: Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet
Video: Einfach fotografieren lernen - Blende, ISO, Verschlusszeit für Anfänger erklärt 2024, März
Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet
Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet
Anonim
Moderne PCs werden mit einer Funktion namens "Secure Boot" ausgeliefert. Dies ist eine Plattformfunktion in UEFI, die das herkömmliche PC-BIOS ersetzt. Wenn ein PC-Hersteller einen „Windows 10“- oder „Windows 8“-Logo-Aufkleber an seinem PC anbringen möchte, muss Microsoft Secure Boot aktivieren und einige Richtlinien befolgen.
Moderne PCs werden mit einer Funktion namens "Secure Boot" ausgeliefert. Dies ist eine Plattformfunktion in UEFI, die das herkömmliche PC-BIOS ersetzt. Wenn ein PC-Hersteller einen „Windows 10“- oder „Windows 8“-Logo-Aufkleber an seinem PC anbringen möchte, muss Microsoft Secure Boot aktivieren und einige Richtlinien befolgen.

Leider verhindert dies auch, dass Sie einige Linux-Distributionen installieren, was sehr umständlich sein kann.

Wie sicherer Start den Startvorgang Ihres PCs sichert

Secure Boot ist nicht nur dazu gedacht, Linux zu erschweren. Das Aktivieren von Secure Boot bietet echte Sicherheitsvorteile, von denen sogar Linux-Benutzer profitieren können.

Ein herkömmliches BIOS bootet jede Software. Wenn Sie Ihren PC starten, werden die Hardwaregeräte gemäß der von Ihnen konfigurierten Startreihenfolge überprüft und es wird versucht, von ihnen zu booten. Typische PCs werden normalerweise den Windows-Bootloader finden und booten, der dann das vollständige Windows-Betriebssystem bootet. Wenn Sie Linux verwenden, wird das Boot den GRUB-Bootloader finden und booten, den die meisten Linux-Distributionen verwenden.

Es ist jedoch möglich, dass Malware wie ein Rootkit Ihren Bootloader ersetzt. Das Rootkit kann Ihr normales Betriebssystem laden, ohne dass ein Hinweis vorliegt, dass irgendetwas nicht stimmt. Auf Ihrem System bleiben Sie also vollständig unsichtbar und nicht erkennbar. Das BIOS kennt den Unterschied zwischen Malware und einem vertrauenswürdigen Bootloader nicht - es startet einfach alles, was es findet.

Secure Boot dient dazu, dies zu stoppen. Windows 8- und 10-PCs werden mit dem in UEFI gespeicherten Microsoft-Zertifikat geliefert. UEFI überprüft den Bootloader vor dem Start und stellt sicher, dass er von Microsoft signiert ist. Wenn ein Rootkit oder eine andere Malware Ihren Bootloader ersetzt oder diesen manipuliert, lässt UEFI dies nicht zu. Dadurch wird verhindert, dass Malware Ihren Startvorgang überführt und sich vor Ihrem Betriebssystem verbirgt.

Wie Microsoft Linux-Distributionen mit Secure Boot booten lässt

Theoretisch dient diese Funktion nur zum Schutz vor Malware. Microsoft bietet also eine Möglichkeit, Linux-Distributionen trotzdem zu unterstützen. Deshalb funktionieren einige moderne Linux-Distributionen wie Ubuntu und Fedora auf modernen PCs "nur", selbst wenn Secure Boot aktiviert ist. Linux-Distributionen zahlen eine einmalige Gebühr von 99 US-Dollar für den Zugriff auf das Microsoft Sysdev-Portal. Dort können sie beantragen, dass ihre Bootloader signiert werden.
Theoretisch dient diese Funktion nur zum Schutz vor Malware. Microsoft bietet also eine Möglichkeit, Linux-Distributionen trotzdem zu unterstützen. Deshalb funktionieren einige moderne Linux-Distributionen wie Ubuntu und Fedora auf modernen PCs "nur", selbst wenn Secure Boot aktiviert ist. Linux-Distributionen zahlen eine einmalige Gebühr von 99 US-Dollar für den Zugriff auf das Microsoft Sysdev-Portal. Dort können sie beantragen, dass ihre Bootloader signiert werden.

Linux-Distributionen haben in der Regel ein "Shim". Das Shim ist ein kleiner Bootloader, der einfach den GRUB-Bootloader der Linux-Distributionen bootet. Das von Microsoft signierte Shim prüft, ob ein Bootloader gestartet wird, der von der Linux-Distribution signiert wurde. Anschließend wird die Linux-Distribution normal gestartet.

Derzeit unterstützen Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE Secure Boot und funktionieren mit moderner Hardware problemlos. Es mag andere geben, aber diese sind uns bekannt. Einige Linux-Distributionen sprechen sich philosophisch gegen die Beantragung einer Unterzeichnung durch Microsoft aus.

Wie Sie den sicheren Start deaktivieren oder steuern können

Wenn dies alles der sichere Start war, können Sie kein von Microsoft genehmigtes Betriebssystem auf Ihrem PC ausführen. Sie können den sicheren Start jedoch wahrscheinlich über die UEFI-Firmware Ihres PCs steuern, die dem BIOS älterer PCs ähnelt.
Wenn dies alles der sichere Start war, können Sie kein von Microsoft genehmigtes Betriebssystem auf Ihrem PC ausführen. Sie können den sicheren Start jedoch wahrscheinlich über die UEFI-Firmware Ihres PCs steuern, die dem BIOS älterer PCs ähnelt.

Es gibt zwei Möglichkeiten, den sicheren Start zu steuern. Die einfachste Methode ist, die UEFI-Firmware aufzurufen und sie vollständig zu deaktivieren. Die UEFI-Firmware prüft nicht, ob Sie einen signierten Bootloader ausführen, und alles wird gestartet. Sie können eine beliebige Linux-Distribution booten oder sogar Windows 7 installieren, das Secure Boot nicht unterstützt. Windows 8 und 10 funktionieren einwandfrei. Sie verlieren nur die Sicherheitsvorteile, wenn Secure Boot Ihren Startvorgang schützt.

Sie können Secure Boot auch weiter anpassen. Sie können steuern, welche Signaturzertifikate Secure Boot anbietet. Sie können sowohl neue Zertifikate installieren als auch vorhandene Zertifikate entfernen. Eine Organisation, die Linux auf ihren PCs ausgeführt hat, könnte beispielsweise die Zertifikate von Microsoft entfernen und stattdessen das eigene Zertifikat der Organisation installieren. Diese PCs würden dann nur Bootloader starten, die von dieser bestimmten Organisation genehmigt und signiert wurden.

Eine Person kann dies auch tun - Sie können Ihren eigenen Linux-Bootloader signieren und sicherstellen, dass Ihr PC nur Bootloader bootet, die Sie persönlich kompiliert und signiert haben. Das ist die Art von Kontrolle und Leistung, die Secure Boot bietet.

Was Microsoft von PC-Herstellern verlangt

Microsoft erfordert nicht nur, dass PC-Anbieter den sicheren Start aktivieren, wenn sie auf ihren PCs den hübschen Aufkleber "Windows 10" oder "Windows 8" erhalten möchten. Microsoft verlangt, dass PC-Hersteller dies auf spezifische Weise implementieren.

Bei Windows 8-PCs mussten die Hersteller Ihnen die Möglichkeit geben, den sicheren Start zu deaktivieren. Microsoft forderte die PC-Hersteller auf, dem Benutzer einen sicheren Startschalter zu geben.

Für Windows 10-PCs ist dies nicht mehr obligatorisch. PC-Hersteller können sich dafür entscheiden, Secure Boot zu aktivieren, und den Benutzern keine Möglichkeit zum Ausschalten geben. Wir wissen jedoch nicht, dass es PC-Hersteller gibt, die dies tun.

Auch wenn PC-Hersteller den Hauptschlüssel "Microsoft Windows Production PCA" von Microsoft einschließen müssen, damit Windows booten kann, müssen sie den Schlüssel "Microsoft Corporation UEFI CA" nicht enthalten. Dieser zweite Schlüssel wird nur empfohlen. Dies ist der zweite optionale Schlüssel, mit dem Microsoft Linux-Bootloader signiert. Ubuntus Dokumentation erklärt dies.

Mit anderen Worten, nicht alle PCs starten signierte Linux-Distributionen bei aktiviertem Secure Boot. In der Praxis haben wir noch keine PCs gesehen, die dies getan haben. Vielleicht möchte kein PC-Hersteller die einzige Laptopserie herstellen, auf der Linux nicht installiert werden kann.

Zumindest sollten Windows-PCs auf dem Mainstream zumindest die Möglichkeit haben, Secure Boot zu deaktivieren, und sie sollten Linux-Distributionen booten, die von Microsoft signiert wurden, auch wenn Sie Secure Boot nicht deaktivieren.

Sicherer Start konnte unter Windows RT nicht deaktiviert werden, Windows RT ist jedoch tot

All dies gilt für Standard-Betriebssysteme Windows 8 und 10 auf der Standard-Intel-x86-Hardware. Bei ARM ist das anders.
All dies gilt für Standard-Betriebssysteme Windows 8 und 10 auf der Standard-Intel-x86-Hardware. Bei ARM ist das anders.

Unter Windows RT - der Version von Windows 8 für ARM-Hardware, die unter anderem von Microsoft Surface RT und Surface 2 ausgeliefert wurde - konnte Secure Boot nicht deaktiviert werden. Secure Boot kann heute noch nicht auf Windows 10 Mobile-Hardware deaktiviert werden, dh Telefone, auf denen Windows 10 ausgeführt wird.

Das liegt daran, dass Microsoft wollte, dass Sie ARM-basierte Windows RT-Systeme als „Geräte“und nicht als PCs betrachten. Wie Microsoft Mozilla mitteilte, ist Windows RT "kein Windows mehr".

Windows RT ist jedoch jetzt tot. Es gibt keine Version des Windows 10-Desktop-Betriebssystems für ARM-Hardware. Daher müssen Sie sich keine Sorgen mehr machen. Wenn Microsoft jedoch Windows RT 10-Hardware zurückbringt, können Sie Secure Boot wahrscheinlich nicht deaktivieren.

Empfohlen: