I PC moderni vengono forniti con una funzione denominata “Avvio protetto” abilitata. Questa è una funzionalità della piattaforma in UEFI, che sostituisce il tradizionale BIOS del PC. Se un produttore di PC desidera posizionare un adesivo con il logo “Windows 10” o “Windows 8” sul proprio PC, Microsoft richiede di abilitare l'avvio protetto e seguire alcune linee guida.
Sfortunatamente, ti impedisce anche di installare alcune distribuzioni Linux, il che può essere una seccatura.
In che modo l'avvio protetto protegge il processo di avvio del PC
Secure Boot non è progettato solo per rendere più difficile l'esecuzione di Linux. Ci sono dei reali vantaggi in termini di sicurezza per l'attivazione di Secure Boot e anche gli utenti Linux possono trarne vantaggio.
Un BIOS tradizionale avvierà qualsiasi software. Quando avvii il tuo PC, controlla i dispositivi hardware in base all'ordine di avvio che hai configurato e tenta di avviarli. I PC tipici normalmente trovano e avviano il caricatore di avvio di Windows, che avvia l'avvio del sistema operativo Windows completo. Se usi Linux, il BIOS troverà e avvierà il boot loader GRUB, utilizzato dalla maggior parte delle distribuzioni Linux.
Tuttavia, è possibile che malware, come un rootkit, sostituiscano il caricatore di avvio. Il rootkit poteva caricare il tuo normale sistema operativo senza alcuna indicazione che qualcosa non andava, rimanendo completamente invisibile e non rilevabile sul tuo sistema. Il BIOS non conosce la differenza tra malware e caricatore di avvio affidabile, ma avvia semplicemente tutto ciò che trova.
Secure Boot è progettato per fermare questo. I PC Windows 8 e 10 vengono spediti con il certificato Microsoft archiviato in UEFI. UEFI verificherà il boot loader prima di avviarlo e si assicurerà che sia firmato da Microsoft. Se un rootkit o un altro malware rimpiazza il boot loader o lo manomette, UEFI non gli consentirà di avviarsi. Ciò impedisce al malware di dirottare il processo di avvio e nascondersi dal sistema operativo.
In che modo Microsoft consente l'avvio delle distribuzioni Linux con l'avvio protetto
Questa funzionalità è, in teoria, progettata per proteggere dai malware. Quindi Microsoft offre un modo per aiutare comunque l'avvio delle distribuzioni Linux. Ecco perché alcune moderne distribuzioni Linux, come Ubuntu e Fedora, “funzioneranno” su PC moderni, anche con Secure Boot abilitato. Le distribuzioni Linux possono pagare una commissione una tantum di $ 99 per accedere al portale Microsoft Sysdev, dove possono fare domanda per far firmare i propri bootloader.
Le distribuzioni Linux generalmente hanno uno “shim” firmato. Lo shim è un piccolo caricatore di avvio che avvia semplicemente il principale caricatore di avvio GRUB delle distribuzioni Linux. Lo shim con firma Microsoft verifica che si stia avviando un boot loader firmato dalla distribuzione Linux, quindi la distribuzione Linux si avvia normalmente.
Ubuntu, Fedora, Red Hat Enterprise Linux e openSUSE attualmente supportano Secure Boot e funzioneranno senza modifiche sull'hardware moderno. Potrebbero essercene altri, ma questi sono quelli di cui siamo a conoscenza. Alcune distribuzioni Linux sono filosoficamente contrarie alla richiesta di essere firmate da Microsoft.
Come disabilitare o controllare l'avvio protetto
Se questo fosse tutto Secure Boot, non saresti in grado di eseguire alcun sistema operativo non approvato sul tuo PC. Ma puoi probabilmente controllare Secure Boot dal firmware UEFI del tuo PC, che è come il BIOS nei PC più vecchi.
Esistono due modi per controllare Secure Boot. Il metodo più semplice è andare al firmware UEFI e disabilitarlo completamente. Il firmware UEFI non verificherà che tu stia eseguendo un caricatore di avvio firmato e qualsiasi cosa verrà avviata. Puoi avviare qualsiasi distribuzione Linux o persino installare Windows 7, che non supporta l'avvio protetto. Windows 8 e 10 funzioneranno bene, perderai solo i vantaggi di sicurezza di avere Secure Boot che protegge il tuo processo di avvio.
È inoltre possibile personalizzare ulteriormente Avvio protetto. Puoi controllare quali certificati di firma offre Secure Boot. Puoi installare sia i nuovi certificati sia rimuovere i certificati esistenti. Un'organizzazione che utilizzava Linux sui suoi PC, ad esempio, poteva scegliere di rimuovere i certificati di Microsoft e installare il proprio certificato dell'organizzazione al suo posto. Quei PC avrebbero quindi solo i boot loader approvati e firmati da quella specifica organizzazione.
Anche un individuo potrebbe farlo: potresti firmare il tuo boot loader Linux e assicurarti che il tuo PC possa avviare solo boot loader che hai compilato e firmato personalmente. Questo è il tipo di controllo e potenziamento delle offerte Secure Boot.
Cosa richiede Microsoft ai produttori di PC
Microsoft non richiede solo ai venditori di PC di abilitare Secure Boot se vogliono quel bel adesivo di certificazione “Windows 10” o “Windows 8” sui loro PC. Microsoft richiede ai produttori di PC di implementarlo in un modo specifico.
Per i PC Windows 8, i produttori dovevano offrire un modo per disattivare Secure Boot. Microsoft ha richiesto ai produttori di PC di mettere un interruttore di sicurezza Secure Boot nelle mani degli utenti.
Per i PC Windows 10, questo non è più obbligatorio. I produttori di PC possono scegliere di abilitare Secure Boot e non offrire agli utenti un modo per disattivarlo. Tuttavia, in realtà non siamo a conoscenza di produttori di PC che lo fanno.
Allo stesso modo, mentre i produttori di PC devono includere la chiave principale “Microsoft Windows Production PCA” di Microsoft per consentire l'avvio di Windows, non devono includere la chiave “Microsoft Corporation UEFI CA”. Questa seconda chiave è consigliata solo. È la seconda chiave opzionale che Microsoft utilizza per firmare i boot loader di Linux. La documentazione di Ubuntu spiega questo.
In altre parole, non tutti i PC eseguiranno necessariamente l'avvio di distribuzioni Linux firmate con Secure Boot attivato. Ancora una volta, in pratica, non abbiamo visto alcun PC che lo facesse. Forse nessun produttore di PC vuole realizzare l'unica linea di laptop su cui non è possibile installare Linux.
Per ora, almeno, i PC Windows tradizionali dovrebbero consentire di disabilitare Secure Boot, se lo desideri, e dovrebbero avviare le distribuzioni Linux che sono state firmate da Microsoft anche se non disabiliti Secure Boot.
L'avvio protetto non può essere disabilitato su Windows RT, ma Windows RT è morto
RELAZIONATO: Che cos'è Windows RT e in cosa differisce da Windows 8?
Tutto quanto sopra è vero per i sistemi operativi Windows 8 e 10 standard sull'hardware Intel x86 standard. È diverso per ARM.
Su Windows RT, la versione di Windows 8 per hardware ARM, fornita su Surface RT e Surface 2 di Microsoft, tra gli altri dispositivi, non è stato possibile disabilitare l'avvio protetto. Oggi, Secure Boot non può ancora essere disabilitato sull'hardware di Windows 10 Mobile, in altre parole, i telefoni che eseguono Windows 10.
Questo perché Microsoft voleva che pensassi ai sistemi Windows RT basati su ARM come a “dispositivi”, non a PC. Come ha detto Microsoft a Mozilla, Windows RT “non è più Windows”.
Tuttavia, Windows RT è ora morto. Non esiste una versione del sistema operativo desktop Windows 10 per l'hardware ARM, quindi questo non è più qualcosa di cui preoccuparsi. Ma, se Microsoft riporta l'hardware di Windows RT 10, probabilmente non sarai in grado di disabilitare Secure Boot su di esso.
Credito d'immagine: Ambassador Base, John Bristowe
