Microsoft impone ai produttori di PC di consentire agli utenti di disabilitare Secure Boot, quindi è possibile disabilitare Secure Boot o aggiungere la propria chiave personalizzata per ovviare a questa limitazione. Secure Boot non può essere disabilitato su dispositivi ARM che eseguono Windows RT.
Come funziona l'avvio sicuro
I PC forniti con Windows 8 e Windows 8.1 includono il firmware UEFI invece del BIOS tradizionale. Per impostazione predefinita, il firmware UEFI della macchina avvia solo i boot loader firmati da una chiave incorporata nel firmware UEFI. Questa funzione è nota come "Avvio protetto" o "Avvio trusted". Sui PC tradizionali senza questa funzione di sicurezza, un rootkit può installarsi e diventare il caricatore di avvio. Il BIOS del computer quindi caricava il rootkit all'avvio, che avviava e caricava Windows, nascondendosi dal sistema operativo e incorporandosi a un livello profondo.
Secure Boot blocca questo: il computer avvierà solo il software affidabile, quindi i caricatori di avvio pericolosi non saranno in grado di infettare il sistema.
Su un PC Intel x86 (non su PC ARM), hai il controllo su Secure Boot. Puoi scegliere di disabilitarlo o persino aggiungere la tua chiave di firma. Le organizzazioni potrebbero utilizzare le proprie chiavi per garantire, ad esempio, l'avvio solo dei sistemi operativi Linux approvati.
Opzioni per l'installazione di Linux
Hai diverse opzioni per installare Linux su un PC con Secure Boot:
- Scegli una distribuzione Linux che supporti l'avvio sicuro: Le versioni moderne di Ubuntu - a partire da Ubuntu 12.04.2 LTS e 12.10 - si avviano e si installano normalmente sulla maggior parte dei PC con Secure Boot abilitato. Questo perché il boot loader EFI di primo stadio di Ubuntu è firmato da Microsoft. Tuttavia, uno sviluppatore di Ubuntu nota che il boot loader di Ubuntu non è firmato con una chiave richiesta dal processo di certificazione di Microsoft, ma semplicemente una chiave che Microsoft dice è "raccomandata". Ciò significa che Ubuntu potrebbe non avviarsi su tutti i PC UEFI. Gli utenti potrebbero dover disabilitare Secure Boot per usare Ubuntu su alcuni PC.
- Disabilita avvio sicuro: Secure Boot può essere disattivato, il che si scambierà i suoi vantaggi in termini di sicurezza per la possibilità di far avviare il PC qualsiasi cosa, proprio come fanno i vecchi PC con il BIOS tradizionale. Ciò è anche necessario se si desidera installare una versione precedente di Windows che non è stata sviluppata pensando a Secure Boot, come Windows 7.
- Aggiungi una chiave di firma al firmware UEFI: Alcune distribuzioni Linux possono firmare i propri boot loader con la propria chiave, che è possibile aggiungere al firmware UEFI. Questo non sembra essere un comune al momento.
Dovresti controllare per vedere quale processo consiglia la tua scelta di distribuzione Linux. Se hai bisogno di avviare una vecchia distribuzione Linux che non fornisce alcuna informazione su questo, devi solo disabilitare Secure Boot.
Dovresti essere in grado di installare le versioni correnti di Ubuntu - sia la versione LTS che l'ultima versione - senza problemi sulla maggior parte dei nuovi PC. Vedi l'ultima sezione per le istruzioni sull'avvio da un dispositivo rimovibile.
Come disabilitare Avvio protetto
È possibile controllare Avvio protetto dalla schermata delle impostazioni del firmware UEFI. Per accedere a questa schermata, è necessario accedere al menu delle opzioni di avvio in Windows 8. A tale scopo, aprire l'accesso alle impostazioni - premere il tasto Windows + I per aprirlo - fare clic sul pulsante Accensione, quindi tenere premuto il tasto Maiusc come fai clic su Riavvia.
Avvio da supporti rimovibili
È possibile eseguire l'avvio da supporti rimovibili accedendo al menu delle opzioni di avvio nello stesso modo: tenere premuto MAIUSC mentre si fa clic sull'opzione Riavvia. Inserisci il dispositivo di avvio desiderato, seleziona Usa un dispositivo e seleziona il dispositivo da cui desideri eseguire l'avvio.
Dopo l'avvio dal dispositivo rimovibile, è possibile installare Linux normalmente o semplicemente utilizzare l'ambiente live dal dispositivo rimovibile senza installarlo.
Tenere presente che Secure Boot è una funzionalità di sicurezza utile. È necessario lasciarlo abilitato a meno che non sia necessario eseguire sistemi operativi che non si avvieranno con Secure Boot abilitato.
