phhsnews.com


phhsnews.com / Fonctionnement de Secure Boot sur Windows 8 et 10, et ce que cela signifie pour Linux

Fonctionnement de Secure Boot sur Windows 8 et 10, et ce que cela signifie pour Linux


Les PC modernes sont livrés avec une fonctionnalité appelée "Secure Boot" activée. Ceci est une fonctionnalité de plate-forme dans UEFI, qui remplace le BIOS PC traditionnel. Si un fabricant de PC veut placer un autocollant de logo «Windows 10» ou «Windows 8» sur son PC, Microsoft exige qu'ils activent Secure Boot et suivent certaines directives.

Malheureusement, cela vous empêche également d'installer certaines distributions Linux,

Comment Secure Boot sécurise le processus de démarrage de votre PC

Secure Boot n'est pas seulement conçu pour rendre Linux plus difficile. Il existe de réels avantages pour la sécurité d'avoir Secure Boot activé, et même les utilisateurs de Linux peuvent en bénéficier.

Un BIOS traditionnel démarre n'importe quel logiciel. Lorsque vous démarrez votre PC, il vérifie les périphériques matériels en fonction de l'ordre de démarrage que vous avez configuré et tente de démarrer à partir d'eux. Normalement, les PC trouveront et démarreront le chargeur de démarrage de Windows, qui démarre pour démarrer le système d'exploitation Windows complet. Si vous utilisez Linux, le BIOS trouvera et démarrera le chargeur de démarrage GRUB, que la plupart des distributions Linux utilisent.

Cependant, il est possible qu'un logiciel malveillant, tel qu'un rootkit, remplace votre chargeur de démarrage. Le rootkit pourrait charger votre système d'exploitation normal sans aucune indication que quelque chose n'allait pas, rester complètement invisible et indétectable sur votre système. Le BIOS ne connaît pas la différence entre les logiciels malveillants et un chargeur de démarrage fiable - il démarre simplement tout ce qu'il trouve.

Secure Boot est conçu pour arrêter cela. Les PC Windows 8 et 10 sont livrés avec le certificat de Microsoft stocké dans UEFI. UEFI va vérifier le chargeur de démarrage avant de le lancer et s'assurer qu'il est signé par Microsoft. Si un rootkit ou un autre logiciel malveillant remplace votre chargeur de démarrage ou l'altère, UEFI ne l'autorisera pas à démarrer. Cela empêche les logiciels malveillants de détourner votre processus de démarrage et de se dissimuler de votre système d'exploitation

Comment Microsoft autorise les distributions Linux à démarrer avec un démarrage sécurisé

Cette fonctionnalité est, en théorie, conçue uniquement pour se protéger contre les logiciels malveillants. Microsoft propose donc un moyen d'aider les distributions Linux à démarrer quand même. C'est pourquoi certaines distributions Linux modernes - comme Ubuntu et Fedora - «fonctionneront» uniquement sur les PC modernes, même si le démarrage sécurisé est activé. Les distributions Linux peuvent payer des frais uniques de 99 $ pour accéder au portail Microsoft Sysdev, où ils peuvent demander la signature de leurs chargeurs de démarrage.

Les distributions Linux ont généralement un "shim" signé. Le shim est un petit chargeur de démarrage qui démarre simplement le chargeur de démarrage GRUB principal des distributions Linux. Le shim signé par Microsoft vérifie qu'il démarre un chargeur de démarrage signé par la distribution Linux, puis la distribution Linux démarre normalement. , Ubuntu, Fedora, Red Hat Enterprise Linux et openSUSE supportent actuellement Secure Boot, et fonctionneront sans toutes les modifications sur le matériel moderne. Il y en a peut-être d'autres, mais ce sont ceux que nous connaissons. Certaines distributions Linux sont philosophiquement opposées à l'application pour être signé par Microsoft

Comment vous pouvez désactiver ou contrôler l'amorçage sécurisé

Si cela était le cas, vous ne pourriez pas exécuter un démarrage non sécurisé système d'exploitation sur votre PC. Mais vous pouvez probablement contrôler le démarrage sécurisé à partir du microprogramme UEFI de votre PC, qui est similaire au BIOS des anciens PC.

Il existe deux façons de contrôler le démarrage sécurisé. La méthode la plus simple est de se diriger vers le firmware UEFI et de le désactiver complètement. Le microprogramme UEFI ne vérifie pas que vous exécutez un chargeur de démarrage signé et que tout démarre. Vous pouvez démarrer n'importe quelle distribution Linux ou même installer Windows 7, qui ne prend pas en charge le démarrage sécurisé. Windows 8 et 10 fonctionneront correctement, vous perdrez tout simplement les avantages de la sécurisation de Boot Boot par votre Secure Boot.

Vous pouvez également personnaliser Secure Boot. Vous pouvez contrôler les certificats de signature proposés par Secure Boot. Vous êtes libre d'installer de nouveaux certificats et de supprimer des certificats existants. Une organisation qui exécute Linux sur ses PC, par exemple, pourrait choisir de supprimer les certificats de Microsoft et d'installer le propre certificat de l'organisation à sa place. Ces ordinateurs n'amorceraient alors que les chargeurs de démarrage approuvés et signés par cette organisation spécifique.

Un individu peut également faire cela: vous pouvez signer votre propre chargeur de démarrage Linux et vous assurer que votre PC ne peut démarrer que les chargeurs de démarrage que vous avez personnellement compilés et signés. C'est le genre de contrôle et de puissance qu'offre Secure Boot

Ce dont Microsoft a besoin pour les fabricants de PC

Microsoft ne demande pas seulement aux fournisseurs de PC d'activer le démarrage sécurisé s'ils veulent un bon autocollant de certification "Windows 10" ou "Windows 8" sur leurs PC. Microsoft exige que les fabricants de PC l'implémentent d'une manière spécifique.

Pour les PC Windows 8, les fabricants devaient vous donner un moyen de désactiver le démarrage sécurisé. Microsoft obligeait les fabricants de PC à mettre un commutateur d'arrêt de démarrage sécurisé entre les mains des utilisateurs

Pour les PC Windows 10, ce n'est plus obligatoire. Les fabricants de PC peuvent choisir d'activer le démarrage sécurisé et ne pas donner aux utilisateurs un moyen de le désactiver. Cependant, nous ne connaissons pas les fabricants de PC qui le font.

De même, alors que les fabricants de PC doivent inclure la clé "Microsoft Windows Production PCA" de Microsoft pour que Windows puisse démarrer, ils n'ont pas besoin d'inclure " Clé Microsoft Corporation UEFI CA ". Cette deuxième clé est seulement recommandée. C'est la deuxième clé facultative que Microsoft utilise pour signer les chargeurs de démarrage Linux. La documentation d'Ubuntu l'explique.

En d'autres termes, tous les PC ne démarrent pas nécessairement les distributions Linux signées avec le démarrage sécurisé activé. Encore une fois, dans la pratique, nous n'avons vu aucun PC qui a fait cela. Peut-être qu'aucun fabricant de PC ne veut faire la seule ligne d'ordinateurs portables sur laquelle vous ne pouvez pas installer Linux.

Pour l'instant, au moins, les PC Windows traditionnels devraient vous permettre de désactiver Secure Boot si vous le souhaitez. ont été signés par Microsoft même si vous ne désactivez pas le démarrage sécurisé.

Le démarrage sécurisé n'a pas pu être désactivé sous Windows RT, mais Windows RT est mort

RELATED:

Qu'est-ce que Windows RT et comment Il est différent de Windows 8? Tout ce qui précède est vrai pour les systèmes d'exploitation Windows 8 et 10 standard sur le matériel Intel x86 standard. C'est différent pour ARM.

Sur Windows RT, la version de Windows 8 pour le matériel ARM, livrée sur Microsoft Surface RT et Surface 2, entre autres, Secure Boot ne pouvait pas être désactivée. Aujourd'hui, Secure Boot ne peut toujours pas être désactivé sur le matériel Windows 10 Mobile, autrement dit sur les téléphones fonctionnant sous Windows 10.

Microsoft voulait que vous pensiez que les systèmes Windows RT basés sur ARM sont des "périphériques", pas des PC. . Comme Microsoft l'a dit à Mozilla, Windows RT "n'est plus Windows."

Cependant, Windows RT est maintenant mort. Il n'y a pas de version du système d'exploitation de bureau Windows 10 pour le matériel ARM, donc ce n'est plus quelque chose dont vous devez vous inquiéter. Mais, si Microsoft ramène du matériel Windows RT 10, vous ne pourrez probablement pas désactiver le démarrage sécurisé.

Crédit d'image: Base de l'ambassadeur, John Bristowe


Comment renommer un ordinateur, un smartphone ou une tablette

Comment renommer un ordinateur, un smartphone ou une tablette

C'est une bonne idée de donner un nom significatif à chacun des appareils que vous utilisez. Cela est particulièrement important sur Windows 10, car Microsoft a supprimé l'option de nom d'ordinateur du processus d'installation pour la première fois. Par défaut, les ordinateurs Windows 10 recevront des noms aléatoires sans signification Sur un réseau, ce nom d'hôte identifie le périphérique sur les pages d'état de votre routeur et lors de la navigation dans des fichiers partagés.

(how-to)

Comment modifier l'intensité de la lampe de poche de l'iOS 10

Comment modifier l'intensité de la lampe de poche de l'iOS 10

Avec iOS 10, vous pouvez enfin régler l'intensité de votre lampe de poche pour ne pas vous brûler les yeux. C'est vraiment facile à faire - voici comment. Tout d'abord, cette astuce repose sur un raccourci 3D Touch, donc cela ne fonctionnera pas si votre appareil n'a pas de 3D Touch. Vous aurez besoin d'un iPhone 6S ou plus récent pour l'utiliser Pour régler l'intensité de votre lampe de poche, faites d'abord glisser le bord inférieur de votre appareil vers le centre de contrôle.

(how-to)