Безопасная загрузка UEFI. Если у вас когда-либо возникали проблемы с BIOS вашего ПК - или вы сталкивались с мощным руткитом — знайте - BIOS следовало выкинуть ещё десять лет назад.
Содержание:
Безопасная загрузка UEFI
В Windows 10, Microsoft вывел брыкающуюся и ноющую индустрию из поколения BIOS в гораздо более удобную, и противоречивую, альтернативу - Унифицированный Расширяемый Интерфейс Встроенного Программного Обеспечения (UEFI). Хотя, во времена Windows 7, машины UEFI были редкостью, начиная с Windows 8, для запуска каждой новой машины с наклейкой "Работает под управлением Windows 8" уже требуется UEFI. Это часть лицензионного требования. Windows 10 продолжает выполнять те же требования.
Краткая история BIOS
Чтобы понять, куда движется Windows, лучше всего посмотреть, где она была. BIOS внутри ПК — это вся история персонального компьютера. То есть BIOS, в ПК, старше 30 лет. У самого первого IBM PC был BIOS, и он не сильно отличался от того загадочного, на который вы сейчас ругаетесь.
Базовая система ввода/вывода, или BIOS, — это программа, отвечающая за приведение в порядок всего оборудования вашего ПК. А затем запуск операционной системы — в данном случае Windows - и, наконец, передачу управления компьютером операционной системе. BIOS запускается автоматически при включении компьютера. Старые операционные системы, такие как DOS, полагались на BIOS для выполнения функций ввода и вывода. Более современные операционные системы, включая Windows, имеют свои собственные драйверы устройств, которые делают управление BIOS устаревшим после запуска ОС.
Каждый BIOS имеет пользовательский интерфейс. Вы нажимаете клавишу во время запуска BIOS и, используя непонятные чары клавиатуры, получаете некоторый контроль над оборудованием вашего ПК, выбираете загрузочные устройства (другими словами, указываете BIOS, где находится операционная система), разгоняете процессор, отключаете или переставляете жёсткие диски и тому подобное.
Компьютер, который вы используете прямо сейчас, может иметь или не иметь UEFI, и даже если у него есть безопасная загрузка UEFI, вы можете не получить к нему доступ. Windows 10 отлично работает в системах BIOS, но она может защитить вас ещё лучше — особенно от руткитов — если ваш компьютер поддерживает UEFI.
Чем UEFI отличается или лучше BIOS
У BIOS есть всевозможные проблемы, не последней из которых является его восприимчивость к вредоносным программам. Руткиты любят подключаться к самой ранней части процесса загрузки, позволяя им работать под Windows, а у BIOS с этим проблемы.
UEFI и BIOS могут сосуществовать: UEFI может работать поверх BIOS, подключаясь к расположениям программ, где операционная система может вызывать BIOS, в основном узурпируя все функции BIOS после запуска UEFI. UEFI также может работать без BIOS, заботясь обо всех функциях времени выполнения. Единственное, что UEFI не может сделать, это выполнить самопроверку ПОСЛЕ включения питания или выполнить начальную настройку. ПК с UEFI без BIOS нуждаются в отдельных программах для post и установки, которые запускаются автоматически при запуске ПК.
В отличие от BIOS, который находится внутри чипа на материнской плате вашего ПК, UEFI может существовать на диске, как и любая другая программа, или в энергонезависимой памяти на материнской плате, или даже на общем сетевом ресурсе. UEFI очень похож на операционную систему, которая запускается до запуска вашей окончательной операционной системы. UEFI имеет доступ ко всему оборудованию ПК, включая мышь и сетевые подключения. Он может использовать преимущества вашей необычной видеокарты и монитора. Он даже может выходить в Интернет. Если вы когда-нибудь играли с BIOS, вы знаете, что это совершенно новое измерение.
BIOS - весь процесс, связанный с BIOS, включая POST - занимает много времени. С UEFI, напротив, может пройти довольно быстро. Сама программа BIOS легко поддаётся реинжинирингу и не имеет внутренней защиты безопасности. В водовороте вредоносных программ это лёгкая добыча. UEFI может работать любым уклоняющимся от вредоносного ПО способом, который придумали его изобретатели.
Двойная загрузка, в старом мире, предполагает передачу неуклюжей текстовой программы. В новом мире она может быть намного проще, нагляднее и управляться с помощью мыши или прикосновения. Более того, UEFI может проверять операционные системы перед их загрузкой. Это может значительно усложнить жизнь создателям руткитов, например, отказываясь запускать ОС, если у неё нет надлежащей цифровой подписи безопасности. Для проверки операционных систем перед их загрузкой с UEFI может работать Защитник Windows. И вот тут-то и начинается спор.
Как Windows 10 использует безопасную загрузку UEFI
Опция безопасной загрузки UEFI проверяет программы, прежде чем разрешить их запуск. Если включена безопасная загрузка, загрузчики операционной системы должны быть подписаны с помощью цифрового сертификата. Если вы хотите выполнить двойную загрузку между Windows 10 и Linux, программа Linux должна иметь цифровой сертификат — то, что программы Linux никогда раньше не требовали.
После того, как UEFI подтвердит цифровой ключ, UEFI вызовет защитника Windows для проверки сертификата загрузчика ОС. Защитник Windows (или другая программа безопасности) может выйти в Интернет и проверить, собирается ли UEFI запустить ОС, у которой был удалён сертификат.
Таким образом, по сути, в системе с двойной загрузкой защитник Windows решает, загружается ли операционная система на ваш компьютер с поддержкой безопасной загрузки. Это приводит в замешательство многих поклонников Linux. Почему их операционные системы должны подчиняться правилам Microsoft, если вы хотите выполнить двойную загрузку между Windows 10 и Linux?
Если у вас есть компьютер с UEFI и безопасной загрузкой Secure Boot, и вы хотите загрузить операционную систему, которая не имеет цифровой подписи, одобренной Microsoft, у вас есть два варианта:
- Вы можете отключить Secure Boot.
- Вы можете вручную добавить ключ в процедуру проверки UEFI, специально разрешив загрузку неподписанной операционной системы.
Некоторые компьютеры не позволяют отключить безопасную загрузку. Поэтому, если вы хотите выполнить двойную загрузку Windows 10 и какой-либо другой операционной системы на компьютере, сертифицированном под Windows 10, вам, возможно, придётся преодолеть множество препятствий. Проконсультируйтесь с производителем вашего оборудования.