Las PC modernas se envían con una función llamada "Arranque seguro" habilitada. Esta es una función de plataforma en UEFI, que reemplaza al PC BIOS tradicional. Si un fabricante de PC desea colocar un adhesivo con el logotipo "Windows 10" o "Windows 8" en su PC, Microsoft requiere que active el arranque seguro y siga algunas pautas.

Desafortunadamente, también impide instalar algunas distribuciones de Linux, que puede ser bastante complicado.

Cómo Secure Boot asegura el proceso de arranque de su PC

Secure Boot no solo está diseñado para dificultar la ejecución de Linux. Existen ventajas reales de seguridad al tener habilitado el Arranque seguro, e incluso los usuarios de Linux pueden beneficiarse de ellos.

Un BIOS tradicional arrancará cualquier software. Cuando inicia su PC, comprueba los dispositivos de hardware de acuerdo con el orden de arranque que ha configurado e intenta iniciar desde ellos. Las PC típicas normalmente encontrarán y arrancarán el cargador de arranque de Windows, que inicia el sistema operativo completo de Windows. Si usa Linux, el BIOS buscará y arrancará el cargador de arranque de GRUB, que usa la mayoría de las distribuciones de Linux.

Sin embargo, es posible que un malware, como un rootkit, reemplace su cargador de arranque. El rootkit podría cargar su sistema operativo normal sin indicar que algo estaba mal, permaneciendo completamente invisible e indetectable en su sistema. El BIOS no conoce la diferencia entre el malware y un cargador de arranque de confianza: simplemente inicia lo que encuentre.

El arranque seguro está diseñado para detener esto. Las PC con Windows 8 y 10 se envían con el certificado de Microsoft almacenado en UEFI. UEFI comprobará el gestor de arranque antes de ejecutarlo y se asegurará de que esté firmado por Microsoft. Si un rootkit u otra pieza de malware reemplaza su gestor de arranque o lo manipula, UEFI no permitirá que se inicie. Esto evita que el malware piratee su proceso de arranque y se oculte a sí mismo desde su sistema operativo.

Cómo permite que las distribuciones Linux arranquen con Secure Boot

Esta característica, en teoría, está diseñada para proteger contra el malware. Entonces, Microsoft ofrece una forma de ayudar a las distribuciones de Linux a arrancar de todos modos. Es por eso que algunas distribuciones modernas de Linux, como Ubuntu y Fedora, "simplemente funcionarán" en las PC modernas, incluso con Secure Boot habilitado. Las distribuciones de Linux pueden pagar una tarifa única de $ 99 para acceder al portal de Microsoft Sysdev, donde pueden solicitar la firma de sus cargadores de arranque.

Las distribuciones de Linux generalmente tienen un "shim" firmado. El shim es un pequeño gestor de arranque que simplemente arranca el cargador de arranque GRUB principal de distribuciones de Linux. El shim firmado por Microsoft comprueba que está arrancando un gestor de arranque firmado por la distribución de Linux, y luego la distribución de Linux arranca normalmente.

Ubuntu, Fedora, Red Hat Enterprise Linux y openSUSE soportan actualmente Secure Boot, y funcionarán sin cualquier modificación en hardware moderno. Puede haber otros, pero estos son de los que tenemos conocimiento. Algunas distribuciones de Linux son filosóficamente opuestas a la solicitud para ser firmado por Microsoft.

Cómo puede usted deshabilitar o controlar el arranque seguro

Si eso era todo lo que hizo el Arranque seguro, no podría ejecutar ningún otro sistema aprobado por Microsoft. sistema operativo en tu PC. Pero es probable que controle Secure Boot desde el firmware UEFI de su PC, que es como el BIOS en PC más antiguas.

Hay dos formas de controlar Secure Boot. El método más fácil es dirigirse al firmware de UEFI y deshabilitarlo por completo. El firmware UEFI no se comprobará para asegurarse de que está ejecutando un gestor de arranque firmado, y todo se iniciará. Puede iniciar cualquier distribución de Linux o incluso instalar Windows 7, que no es compatible con Secure Boot. Windows 8 y 10 funcionarán bien, solo perderá las ventajas de seguridad de tener Secure Boot para proteger su proceso de arranque.

También puede personalizar aún más Secure Boot. Puede controlar qué certificados de firma ofrece Secure Boot. Puede instalar certificados nuevos y eliminar certificados existentes. Una organización que ejecutó Linux en sus PC, por ejemplo, podría optar por eliminar los certificados de Microsoft e instalar el propio certificado de la organización en su lugar. Esas computadoras solo iniciarían cargadores de arranque aprobados y firmados por esa organización específica.

Una persona también podría hacer esto: podría firmar su propio gestor de arranque de Linux y asegurarse de que su PC solo pudiera arrancar los cargadores de arranque que compiló y firmó personalmente. Ese es el tipo de control y potencia que ofrece Secure Boot.

Lo que Microsoft requiere de los fabricantes de PC

Microsoft no solo exige que los proveedores de PC habiliten Secure Boot si quieren esa calcomanía de certificación de "Windows 10" o "Windows 8" en sus PC. Microsoft requiere que los fabricantes de PC lo implementen de manera específica.

Para las PC con Windows 8, los fabricantes tuvieron que darle una forma de desactivar el arranque seguro. Microsoft exigió a los fabricantes de PC que pusieran un interruptor de arranque seguro en las manos de los usuarios.

Para PC con Windows 10, esto ya no es obligatorio. Los fabricantes de PC pueden optar por habilitar el Arranque seguro y no dar a los usuarios una manera de apagarlo. Sin embargo, en realidad no conocemos ningún fabricante de PC que haga esto. De manera similar, aunque los fabricantes de PC deben incluir la clave principal de Microsoft PCA de producción de Microsoft para que Windows pueda arrancar, no es necesario que incluyan el " Clave de Microsoft Corporation UEFI CA ". Esta segunda clave solo se recomienda. Es la segunda clave opcional que Microsoft usa para firmar los cargadores de arranque de Linux. La documentación de Ubuntu explica esto.

En otras palabras, no todas las PC arrancarán necesariamente las distribuciones de Linux firmadas con Secure Boot activado. Nuevamente, en la práctica, no hemos visto ninguna PC que haya hecho esto. Quizás ningún fabricante de PC quiera fabricar la única línea de computadoras portátiles en las que no puede instalar Linux.

Por ahora, al menos, las PC con Windows deberían permitirle desactivar el arranque seguro si lo desea, y deberían iniciar distribuciones de Linux que han sido firmados por Microsoft, incluso si no desactiva el arranque seguro.

El inicio seguro no se pudo desactivar en Windows RT, pero Windows RT está muerto

RELACIONADO:

¿Qué es Windows RT y cómo es? Es diferente de Windows 8? Todo lo anterior es cierto para los sistemas operativos estándar Windows 8 y 10 en el hardware Intel x86 estándar. Es diferente para ARM.

En Windows RT, la versión de Windows 8 para hardware ARM, que se envía en Surface RT y Surface 2 de Microsoft, entre otros dispositivos, Secure Boot no se pudo desactivar. Hoy, Secure Boot aún no se puede desactivar en el hardware de Windows 10 Mobile; en otras palabras, teléfonos que ejecutan Windows 10.

Eso se debe a que Microsoft quería que pensaras en sistemas Windows RT basados ​​en ARM como "dispositivos", no como PC. . Como Microsoft le dijo a Mozilla, Windows RT "ya no es Windows".

Sin embargo, Windows RT ahora está muerto. No hay ninguna versión del sistema operativo de escritorio para Windows 10 para hardware ARM, por lo que ya no es algo de lo que tenga que preocuparse. Pero, si Microsoft trae de vuelta el hardware de Windows RT 10, es probable que no pueda deshabilitar el arranque seguro en él.

Crédito de la imagen: Ambassador Base, John Bristowe

Cómo transmitir video a Internet desde su teléfono o tableta

Aunque aún no lo sepa, hay una revolución de transmisión en directo a la vuelta de la esquina. Mientras los gigantes de las redes sociales como Twitter ven más allá del video pregrabado y entran en el mundo de las transmisiones "en directo", las aplicaciones que hacen posible que los usuarios obtengan instantáneamente imágenes en movimiento de sus teléfonos y en el éter están comenzando a inundar .

(how-to)

¿Qué es un Smart Faucet y necesito uno?

Con una sequía de varios años, un patrón climático demasiado familiar en lugares como Texas, el Suroeste y California, la necesidad de Conservar el agua nunca ha sido más importante de lo que es hoy. Pero, ¿cómo controlas algo que la gente usa en tu casa casi tanto como la electricidad que mantiene las luces encendidas?

(how-to)