Sfortunatamente, ti impedisce anche di installare alcune distribuzioni Linux, il che può essere piuttosto complicato.
In che modo Secure Boot protegge il processo di avvio del PC
Secure Boot non è solo progettato per rendere più difficile l'esecuzione di Linux. Ci sono reali vantaggi in termini di sicurezza per l'avvio protetto, e anche gli utenti Linux possono trarne vantaggio.
Un BIOS tradizionale avvierà qualsiasi software. Quando si avvia il PC, controlla i dispositivi hardware in base all'ordine di avvio configurato e tenta di avviarsi da essi. I PC tipici troveranno e avviano normalmente il boot loader di Windows, che avvia il sistema operativo Windows completo. Se usi Linux, il BIOS troverà e avvierà il boot loader GRUB, che usa la maggior parte delle distribuzioni Linux.
Tuttavia, è possibile che il malware, come un rootkit, sostituisca il boot loader. Il rootkit potrebbe caricare il tuo normale sistema operativo senza alcuna indicazione di errore, rimanendo completamente invisibile e non rilevabile sul tuo sistema. Il BIOS non conosce la differenza tra malware e un boot loader di fiducia, ma avvia solo tutto ciò che trova.
Secure Boot è progettato per fermare questo. I PC Windows 8 e 10 vengono forniti con il certificato Microsoft memorizzato in UEFI. UEFI controllerà il boot loader prima di avviarlo e assicurarsi che sia firmato da Microsoft. Se un rootkit o un altro pezzo di malware sostituisce il boot loader o lo manomette, UEFI non consentirà l'avvio. Questo impedisce al malware di dirottare la tua procedura di avvio e di nascondersi dal tuo sistema operativo.
In che modo Microsoft consente alle distribuzioni Linux di avviarsi con Secure Boot
Le distribuzioni Linux hanno generalmente uno "shim" firmato. Lo shim è un piccolo boot loader che avvia semplicemente il bootloader GRUB principale delle distribuzioni Linux. Lo shim firmato da Microsoft controlla per assicurarsi che stia avviando un boot loader firmato dalla distribuzione Linux, e quindi la distribuzione Linux si avvia normalmente.
Ubuntu, Fedora, Red Hat Enterprise Linux e openSUSE attualmente supportano Secure Boot e funzioneranno senza apportare modifiche all'hardware moderno. Potrebbero essercene altri, ma questi sono quelli di cui siamo a conoscenza. Alcune distribuzioni Linux sono filosoficamente contrarie all'applicare per essere firmate da Microsoft.
Come puoi disabilitare o controllare l'avvio sicuro
Esistono due modi per controllare Secure Boot. Il metodo più semplice è dirigersi verso il firmware UEFI e disabilitarlo completamente. Il firmware UEFI non verificherà che tu stia eseguendo un boot loader firmato e tutto verrà avviato. È possibile avviare qualsiasi distribuzione Linux o installare anche Windows 7, che non supporta Secure Boot. Windows 8 e 10 funzioneranno correttamente, perderai i vantaggi di sicurezza di Avvio protetto per proteggere il processo di avvio.
Puoi anche personalizzare ulteriormente Secure Boot. È possibile controllare quali certificati di firma offre Secure Boot. Sei libero di installare entrambi i nuovi certificati e rimuovere i certificati esistenti. Un'organizzazione che gestiva Linux sui propri PC, ad esempio, poteva scegliere di rimuovere i certificati di Microsoft e installare il proprio certificato dell'organizzazione al suo posto. Quei PC avrebbero quindi solo avviato i boot loader approvati e firmati da quella specifica organizzazione.
Un individuo potrebbe fare anche questo: potresti firmare il tuo boot loader Linux e assicurarti che il tuo PC possa solo avviare boot loader che hai personalmente compilato e firmato. Questo è il tipo di controllo e potenza offerte da Secure Boot.
Cosa richiede Microsoft dai produttori di PC
Microsoft non richiede solo che i produttori di PC abilitino Secure Boot se desiderano un bell'adesivo di certificazione "Windows 10" o "Windows 8" sui loro PC. Microsoft richiede ai produttori di PC di implementarlo in un modo specifico.
Per i PC Windows 8, i produttori hanno dovuto darti un modo per disattivare Secure Boot. Microsoft ha richiesto ai produttori di PC di mettere un kill switch Secure Boot nelle mani degli utenti.
Per PC Windows 10, questo non è più obbligatorio. I produttori di PC possono scegliere di abilitare Secure Boot e non dare agli utenti un modo per disattivarlo. Tuttavia, non siamo effettivamente a conoscenza di produttori di PC che lo fanno.
Allo stesso modo, mentre i produttori di PC devono includere la chiave "Microsoft Windows Production PCA" di Microsoft in modo che Windows possa avviarsi, non devono includere la chiave "Microsoft Corporation UEFI CA". Questa seconda chiave è solo raccomandata. È la seconda chiave opzionale che Microsoft usa per firmare i boot loader di Linux. La documentazione di Ubuntu lo spiega.
In altre parole, non tutti i PC avviano necessariamente le distribuzioni Linux firmate con Secure Boot attivato. Di nuovo, in pratica, non abbiamo visto nessun PC che lo abbia fatto. Forse nessun produttore di PC vuole realizzare l'unica linea di laptop su cui non è possibile installare Linux.
Per ora, almeno, i PC Windows tradizionali dovrebbero consentire di disabilitare Secure Boot se lo si desidera, e dovrebbero avviare le distribuzioni Linux che sono state firmate da Microsoft anche se non si disabilita Secure Boot.
Impossibile avviare l'avvio protetto su Windows RT, ma Windows RT non funziona
Su Windows RT, la versione di Windows 8 per l'hardware ARM, distribuita su Surface RT e Surface 2 di Microsoft, tra gli altri dispositivi, Secure Boot non poteva essere disabilitato. Oggi, Secure Boot non può essere disabilitato su Windows 10 Mobile hardware, in altre parole, i telefoni che eseguono Windows 10.
Questo perché Microsoft voleva che pensassi ai sistemi Windows RT basati su ARM come "dispositivi", non come PC. Come Microsoft ha dichiarato a Mozilla, Windows RT "non è più Windows".
Tuttavia, Windows RT è morto. Non esiste una versione del sistema operativo desktop Windows 10 per ARM-hardware, quindi non è più qualcosa di cui ti devi preoccupare. Ma, se Microsoft ripristina l'hardware di Windows RT 10, probabilmente non sarà possibile disabilitare Secure Boot su di esso.