Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet

Moderne PCs werden mit einer Funktion namens "Secure Boot" ausgeliefert. Dies ist eine Plattformfunktion in UEFI, die das herkömmliche PC-BIOS ersetzt. Wenn ein PC-Hersteller einen "Windows 10" - oder "Windows 8" -Logo-Aufkleber auf seinem PC anbringen möchte, muss Microsoft Secure Boot aktivieren und einige Richtlinien befolgen.

Leider verhindert es auch, dass Sie einige Linux-Distributionen installieren, was ein ziemlicher Aufwand sein kann.

So sichern Sie den Startvorgang Sichert den Startvorgang Ihres PCs

Secure Boot wurde nicht nur entwickelt, um das Ausführen von Linux zu erschweren. Die Aktivierung von Secure Boot bietet echte Sicherheitsvorteile, von denen auch Linux-Benutzer profitieren können.

Ein traditionelles BIOS startet jede Software. Wenn Sie Ihren PC booten, überprüft er die Hardwaregeräte gemäß der von Ihnen konfigurierten Startreihenfolge und versucht, von ihnen zu booten. Typische PCs finden und starten normalerweise den Windows-Bootloader, mit dem das gesamte Windows-Betriebssystem gestartet wird. Wenn Sie Linux verwenden, findet und startet das BIOS den GRUB-Bootloader, den die meisten Linux-Distributionen verwenden.

Es ist jedoch möglich, dass Malware wie ein Rootkit Ihren Bootloader ersetzt. Das Rootkit kann Ihr normales Betriebssystem laden, ohne dass darauf hingewiesen wird, dass etwas nicht stimmt. Es bleibt auf Ihrem System völlig unsichtbar und nicht erkennbar. Das BIOS kennt den Unterschied zwischen Malware und einem vertrauenswürdigen Bootloader nicht - es bootet nur das, was es findet.

Secure Boot soll dies verhindern. Windows 8- und 10-PCs werden mit dem in UEFI gespeicherten Microsoft-Zertifikat geliefert. UEFI überprüft den Bootloader vor dem Start und stellt sicher, dass er von Microsoft signiert ist. Wenn ein Rootkit oder eine andere Malware Ihren Bootloader ersetzt oder manipuliert, lässt UEFI das Booten nicht zu. Dies verhindert, dass Malware Ihren Startvorgang entführt und sich vor Ihrem Betriebssystem verbirgt.

So lässt Microsoft Linux-Distributionen mit Secure Boot booten

Diese Funktion wurde theoretisch nur zum Schutz vor Malware entwickelt. Microsoft bietet also eine Möglichkeit, Linux-Distributionen trotzdem beim Booten zu unterstützen. Aus diesem Grund funktionieren einige moderne Linux-Distributionen - wie Ubuntu und Fedora - auch auf modernen PCs, selbst wenn Secure Boot aktiviert ist. Linux-Distributionen können eine einmalige Gebühr von 99 US-Dollar für den Zugriff auf das Microsoft Sysdev-Portal zahlen, wo sie beantragen können, dass ihre Bootloader signiert werden.

Bei Linux-Distributionen ist im Allgemeinen ein "Shim" signiert. Der Shim ist ein kleiner Bootloader, der einfach den Haupt-GRUB-Bootloader der Linux-Distribution startet. Das von Microsoft signierte Shim überprüft, ob ein von der Linux-Distribution signierter Bootloader gestartet wird. Anschließend wird die Linux-Distribution normal gestartet.

Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE unterstützen derzeit Secure Boot und funktionieren ohne Änderungen an moderner Hardware. Es mag andere geben, aber diese sind uns bekannt. Einige Linux-Distributionen lehnen es aus philosophischen Gründen ab, sich von Microsoft signieren zu lassen.

So können Sie den sicheren Start deaktivieren oder steuern

Wenn das alles wäre, was Secure Boot getan hat, könnten Sie kein nicht von Microsoft zugelassenes Betriebssystem auf Ihrem PC ausführen. Sie können Secure Boot jedoch wahrscheinlich über die UEFI-Firmware Ihres PCs steuern, die dem BIOS älterer PCs ähnelt.

Es gibt zwei Möglichkeiten, den sicheren Start zu steuern. Am einfachsten ist es, zur UEFI-Firmware zu wechseln und diese vollständig zu deaktivieren. Die UEFI-Firmware überprüft nicht, ob Sie einen signierten Bootloader ausführen, und alles wird gestartet. Sie können jede Linux-Distribution booten oder sogar Windows 7 installieren, das Secure Boot nicht unterstützt. Windows 8 und 10 funktionieren einwandfrei. Sie verlieren nur die Sicherheitsvorteile von Secure Boot, das Ihren Startvorgang schützt.

Sie können Secure Boot auch weiter anpassen. Sie können steuern, welche Signaturzertifikate Secure Boot anbietet. Sie können sowohl neue Zertifikate installieren als auch vorhandene Zertifikate entfernen. Eine Organisation, die beispielsweise Linux auf ihren PCs ausführte, könnte sich dafür entscheiden, die Microsoft-Zertifikate zu entfernen und stattdessen das eigene Zertifikat der Organisation zu installieren. Diese PCs würden dann nur Bootloader booten, die von dieser bestimmten Organisation genehmigt und signiert wurden.

Dies kann auch eine Person tun - Sie können Ihren eigenen Linux-Bootloader signieren und sicherstellen, dass Ihr PC nur Bootloader bootet, die Sie persönlich kompiliert und signiert haben. Das ist die Art von Kontrolle und Leistung, die Secure Boot bietet.

Was Microsoft von PC-Herstellern verlangt

Microsoft verlangt nicht nur, dass PC-Anbieter Secure Boot aktivieren, wenn sie diesen schönen „Windows 10“ - oder „Windows 8“ -Zertifizierungsaufkleber auf ihren PCs haben möchten. Microsoft verlangt von PC-Herstellern, dass sie es auf eine bestimmte Art und Weise implementieren.

Bei Windows 8-PCs mussten die Hersteller Ihnen die Möglichkeit geben, Secure Boot zu deaktivieren. Microsoft forderte die PC-Hersteller auf, einen Secure Boot Kill-Schalter in die Hände der Benutzer zu legen.

Für Windows 10-PCs ist dies nicht mehr obligatorisch. PC-Hersteller können Secure Boot aktivieren und Benutzern keine Möglichkeit zum Deaktivieren geben. Wir kennen jedoch keine PC-Hersteller, die dies tun.

Während PC-Hersteller den Hauptschlüssel „Microsoft Windows Production PCA“ von Microsoft einschließen müssen, damit Windows booten kann, müssen sie den Schlüssel „Microsoft Corporation UEFI CA“ nicht einschließen. Dieser zweite Schlüssel wird nur empfohlen. Dies ist der zweite optionale Schlüssel, mit dem Microsoft Linux-Bootloader signiert. Die Dokumentation von Ubuntu erklärt dies.

Mit anderen Worten, nicht alle PCs starten notwendigerweise signierte Linux-Distributionen mit aktiviertem Secure Boot. Auch in der Praxis haben wir keine PCs gesehen, die dies getan haben. Vielleicht möchte kein PC-Hersteller die einzige Reihe von Laptops herstellen, auf denen Sie Linux nicht installieren können.

Zumindest für den Moment sollten Mainstream-Windows-PCs es Ihnen ermöglichen, Secure Boot zu deaktivieren, wenn Sie möchten, und sie sollten Linux-Distributionen starten, die von Microsoft signiert wurden, auch wenn Sie Secure Boot nicht deaktivieren.

Der sichere Start konnte unter Windows RT nicht deaktiviert werden, aber Windows RT ist tot

VERBINDUNG: Was ist Windows RT und wie unterscheidet es sich von Windows 8?

All dies gilt für Standardbetriebssysteme von Windows 8 und 10 auf der Standardhardware von Intel x86. Bei ARM ist das anders.

Unter Windows RT - der Version von Windows 8 für ARM-Hardware, die unter anderem auf Microsoft Surface RT und Surface 2 ausgeliefert wurde - konnte Secure Boot nicht deaktiviert werden. Noch heute kann Secure Boot auf Windows 10 Mobile-Hardware nicht deaktiviert werden, dh auf Telefonen, auf denen Windows 10 ausgeführt wird.

Microsoft wollte, dass Sie ARM-basierte Windows RT-Systeme als „Geräte“ und nicht als PCs betrachten. Wie Microsoft Mozilla sagte, ist Windows RT "nicht mehr Windows".

Windows RT ist jetzt jedoch tot. Es gibt keine Version des Windows 10-Desktop-Betriebssystems für ARM-Hardware. Sie müssen sich also keine Sorgen mehr machen. Wenn Microsoft jedoch Windows RT 10-Hardware zurückbringt, können Sie Secure Boot wahrscheinlich nicht deaktivieren.

Bildnachweis: Ambassador Base, John Bristowe