Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet



Moderne PCs werden mit einer aktivierten Funktion namens Secure Boot ausgeliefert. Dies ist eine Plattformfunktion in UEFA , die ersetzt das traditionelle PC-BIOS . Wenn ein PC-Hersteller einen Windows 10- oder Windows 8-Logoaufkleber an seinem PC anbringen möchte, verlangt Microsoft, dass er Secure Boot aktiviert und einige Richtlinien befolgt.

Leider hindert es Sie auch daran, einige Linux-Distributionen zu installieren, was ziemlich mühsam sein kann.





Wie Secure Boot den Boot-Prozess Ihres PCs sichert

Secure Boot soll nicht nur die Ausführung von Linux erschweren. Es gibt echte Sicherheitsvorteile, wenn Secure Boot aktiviert ist, und sogar Linux-Benutzer können davon profitieren.

Ein herkömmliches BIOS bootet jede Software. Wenn Sie Ihren PC booten, überprüft er die Hardwaregeräte gemäß der von Ihnen konfigurierten Bootreihenfolge und versucht, von ihnen zu booten. Typische PCs finden und booten normalerweise den Windows-Bootloader, der dann das vollständige Windows-Betriebssystem bootet. Wenn Sie Linux verwenden, findet und bootet das BIOS den GRUB-Bootloader, den die meisten Linux-Distributionen verwenden.



Es ist jedoch möglich, dass Malware wie ein Rootkit Ihren Bootloader ersetzt. Das Rootkit könnte Ihr normales Betriebssystem laden, ohne dass ein Fehler angezeigt wird, und bleibt auf Ihrem System völlig unsichtbar und nicht nachweisbar. Das BIOS kennt den Unterschied zwischen Malware und einem vertrauenswürdigen Bootloader nicht – es bootet einfach alles, was es findet.

Anzeige

Secure Boot soll dies verhindern . PCs mit Windows 8 und 10 werden mit dem in UEFI gespeicherten Microsoft-Zertifikat geliefert. UEFI überprüft den Bootloader vor dem Start und stellt sicher, dass er von Microsoft signiert ist. Wenn ein Rootkit oder eine andere Malware Ihren Bootloader ersetzt oder ihn manipuliert, lässt UEFI das Booten nicht zu. Dies verhindert, dass Malware Ihren Boot-Prozess kapert und sich vor Ihrem Betriebssystem versteckt.

So ermöglicht Microsoft das Booten von Linux-Distributionen mit Secure Boot



Diese Funktion dient theoretisch nur dem Schutz vor Malware. Microsoft bietet also eine Möglichkeit, Linux-Distributionen trotzdem beim Booten zu helfen. Aus diesem Grund funktionieren einige moderne Linux-Distributionen – wie Ubuntu und Fedora – nur auf modernen PCs, selbst wenn Secure Boot aktiviert ist. Linux-Distributionen können eine einmalige Gebühr von 99 US-Dollar zahlen, um auf das Microsoft Sysdev-Portal zuzugreifen, wo sie die Signierung ihrer Bootloader beantragen können.

Linux-Distributionen haben im Allgemeinen ein Shim-Signatur. Das Shim ist ein kleiner Bootloader, der einfach den GRUB-Bootloader der Linux-Distributionen bootet. Das von Microsoft signierte Shim überprüft, ob es einen Bootloader startet, der von der Linux-Distribution signiert wurde, und dann startet die Linux-Distribution normal.

Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE unterstützen derzeit Secure Boot und funktionieren ohne Anpassungen auf moderner Hardware. Es mag andere geben, aber diese sind uns bekannt. Einige Linux-Distributionen sind philosophisch dagegen, sich von Microsoft signieren zu lassen.

So können Sie Secure Boot deaktivieren oder steuern

Wenn das alles wäre, was Secure Boot tun würde, könnten Sie kein nicht von Microsoft genehmigtes Betriebssystem auf Ihrem PC ausführen. Aber Sie können Secure Boot wahrscheinlich über die UEFI-Firmware Ihres PCs steuern, die wie das BIOS in älteren PCs ist.

Es gibt zwei Möglichkeiten, Secure Boot zu steuern. Die einfachste Methode besteht darin, zur UEFI-Firmware zu gehen und sie vollständig zu deaktivieren. Die UEFI-Firmware überprüft nicht, ob Sie einen signierten Bootloader ausführen, und alles wird gestartet. Sie können jede Linux-Distribution booten oder sogar Windows 7 installieren, das Secure Boot nicht unterstützt. Windows 8 und 10 werden gut funktionieren, Sie verlieren nur die Sicherheitsvorteile, wenn Secure Boot Ihren Startvorgang schützt.

Anzeige

Sie können Secure Boot auch weiter anpassen. Sie können steuern, welche Signaturzertifikate Secure Boot anbietet. Sie können sowohl neue Zertifikate installieren als auch vorhandene Zertifikate entfernen. Eine Organisation, die beispielsweise Linux auf ihren PCs ausführte, könnte die Zertifikate von Microsoft entfernen und stattdessen das eigene Zertifikat der Organisation installieren. Diese PCs würden dann nur Bootloader booten, die von dieser speziellen Organisation genehmigt und signiert wurden.

Dies könnte auch eine Einzelperson tun – Sie könnten Ihren eigenen Linux-Bootloader signieren und sicherstellen, dass Ihr PC nur Bootloader booten kann, die Sie persönlich kompiliert und signiert haben. Das ist die Art von Kontrolle und Leistung, die Secure Boot bietet.

Was Microsoft von PC-Herstellern verlangt

Microsoft verlangt nicht nur, dass PC-Anbieter Secure Boot aktivieren, wenn sie diesen schönen Windows 10- oder Windows 8-Zertifizierungsaufkleber auf ihren PCs haben möchten. Microsoft verlangt von PC-Herstellern, dass es in einer bestimmten Weise implementiert wird.

Für Windows 8-PCs mussten die Hersteller Ihnen eine Möglichkeit bieten, Secure Boot zu deaktivieren. Microsoft verlangte von PC-Herstellern, den Benutzern einen Secure Boot-Kill-Switch in die Hand zu geben.

Für Windows 10-PCs ist dies nicht mehr zwingend erforderlich. PC-Hersteller können Secure Boot aktivieren und Benutzern keine Möglichkeit geben, es zu deaktivieren. Uns sind jedoch keine PC-Hersteller bekannt, die dies tun.

Während PC-Hersteller den Haupt-PCA-Schlüssel von Microsoft Windows Production einschließen müssen, damit Windows booten kann, müssen sie den UEFI-CA-Schlüssel der Microsoft Corporation nicht einschließen. Dieser zweite Schlüssel wird nur empfohlen. Es ist der zweite, optionale Schlüssel, den Microsoft zum Signieren von Linux-Bootloadern verwendet. Ubuntu-Dokumentation erklärt dies.

Anzeige

Mit anderen Worten, nicht alle PCs booten notwendigerweise signierte Linux-Distributionen mit aktiviertem Secure Boot. Auch hier haben wir in der Praxis keine PCs gesehen, die dies getan haben. Vielleicht möchte kein PC-Hersteller die einzige Reihe von Laptops herstellen, auf denen Linux nicht installiert werden kann.

Zumindest vorerst sollten Mainstream-Windows-PCs es Ihnen ermöglichen, Secure Boot zu deaktivieren, wenn Sie möchten, und sie sollten Linux-Distributionen starten, die von Microsoft signiert wurden, selbst wenn Sie Secure Boot nicht deaktivieren.

Secure Boot konnte unter Windows RT nicht deaktiviert werden, aber Windows RT ist tot

VERBUNDEN: Was ist Windows RT und wie unterscheidet es sich von Windows 8?

All dies gilt für Standard-Windows 8- und 10-Betriebssysteme auf der standardmäßigen Intel x86-Hardware. Bei ARM ist das anders.

Auf Windows RT —die Version von Windows 8 für ARM-Hardware , das unter anderem auf Microsofts Surface RT und Surface 2 ausgeliefert wurde – Secure Boot konnte nicht deaktiviert werden. Heute kann Secure Boot immer noch nicht deaktiviert werden Windows 10 Mobile Hardware – mit anderen Worten, Telefone, auf denen Windows 10 ausgeführt wird.

Das liegt daran, dass Microsoft wollte, dass Sie sich ARM-basierte Windows RT-Systeme als Geräte und nicht als PCs vorstellen. Wie Microsoft sagte Mozilla , Windows RT ist nicht mehr Windows.

Allerdings ist Windows RT jetzt tot. Es gibt keine Version des Windows 10-Desktop-Betriebssystems für ARM-Hardware, daher müssen Sie sich keine Sorgen mehr machen. Wenn Microsoft jedoch Windows RT 10-Hardware zurückbringt, können Sie Secure Boot wahrscheinlich nicht deaktivieren.

Bildnachweis: Botschafterbasis , John Bristowe

WEITER LESEN Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen

Interessante Artikel