كيف يعمل التمهيد الآمن على نظامي التشغيل Windows 8 و 10 ، وماذا يعني لنظام التشغيل Linux

تأتي أجهزة الكمبيوتر الحديثة مزودة بميزة تسمى "التمهيد الآمن". هذه إحدى ميزات النظام الأساسي في UEFI ، والتي تحل محل BIOS التقليدي لجهاز الكمبيوتر. إذا أرادت إحدى الشركات المصنعة لجهاز الكمبيوتر وضع ملصق شعار "Windows 10" أو "Windows 8" على أجهزة الكمبيوتر الخاصة بها ، تطلب Microsoft منها تمكين التمهيد الآمن واتباع بعض الإرشادات.

لسوء الحظ ، يمنعك أيضًا من تثبيت بعض توزيعات Linux ، مما قد يكون مشكلة كبيرة.

كيف يؤمن التمهيد الآمن عملية تمهيد جهاز الكمبيوتر الخاص بك

لم يتم تصميم Secure Boot فقط لجعل تشغيل Linux أكثر صعوبة. هناك مزايا أمان حقيقية من تمكين Secure Boot ، ويمكن حتى لمستخدمي Linux الاستفادة منها.

يقوم BIOS التقليدي بتمهيد أي برنامج. عندما تقوم بتشغيل جهاز الكمبيوتر الخاص بك ، فإنه يتحقق من الأجهزة وفقًا لترتيب التمهيد الذي قمت بتكوينه ، ويحاول التمهيد منها. عادةً ما تعثر أجهزة الكمبيوتر العادية على أداة تحميل التمهيد لنظام التشغيل Windows وتمهيدها ، والتي تستمر في تشغيل نظام تشغيل Windows الكامل. إذا كنت تستخدم Linux ، فسيقوم BIOS بالعثور على محمل الإقلاع GRUB وتشغيله ، والذي تستخدمه معظم توزيعات Linux.

ومع ذلك ، فمن الممكن للبرامج الضارة ، مثل rootkit ، أن تحل محل أداة تحميل التمهيد. يمكن أن يقوم برنامج rootkit بتحميل نظام التشغيل العادي الخاص بك دون أي إشارة إلى وجود أي خطأ ، ويظل غير مرئي تمامًا ولا يمكن اكتشافه على نظامك. لا يعرف نظام الإدخال والإخراج الأساسي (BIOS) الفرق بين البرامج الضارة ومحمل الإقلاع الموثوق - إنه يقوم فقط بتشغيل كل ما يعثر عليه.

تم تصميم التمهيد الآمن لإيقاف هذا. تأتي أجهزة الكمبيوتر التي تعمل بنظام Windows 8 و 10 مصحوبة بشهادة Microsoft مخزنة في UEFI. سيتحقق UEFI من أداة تحميل التمهيد قبل تشغيله والتأكد من توقيعه بواسطة Microsoft. إذا استبدل برنامج rootkit أو أي جزء آخر من البرامج الضارة أداة تحميل التمهيد أو العبث به ، فلن يسمح UEFI له بالتمهيد. هذا يمنع البرامج الضارة من اختطاف عملية التمهيد وإخفاء نفسها من نظام التشغيل الخاص بك.

كيف تسمح Microsoft لتوزيعات Linux بالتمهيد باستخدام التمهيد الآمن

هذه الميزة ، من الناحية النظرية ، مصممة فقط للحماية من البرامج الضارة. لذلك تقدم Microsoft طريقة لمساعدة توزيعات Linux على التمهيد على أي حال. هذا هو السبب في أن بعض توزيعات Linux الحديثة - مثل Ubuntu و Fedora - "تعمل فقط" على أجهزة الكمبيوتر الحديثة ، حتى مع تمكين Secure Boot. يمكن أن تدفع توزيعات Linux رسومًا لمرة واحدة قدرها 99 دولارًا للوصول إلى مدخل Microsoft Sysdev ، حيث يمكنهم التقدم للحصول على برامج تحميل التمهيد الخاصة بهم.

توزيعات Linux بشكل عام لها علامة “shim”. الرقاقة عبارة عن أداة تحميل صغيرة تقوم ببساطة بتشغيل محمل التمهيد GRUB الرئيسي لتوزيعات Linux. يتحقق shim الموقعة من Microsoft للتأكد من أنه يقوم بتشغيل محمل الإقلاع الموقع بواسطة توزيع Linux ، ثم يتم تشغيل توزيع Linux بشكل طبيعي.

تدعم Ubuntu و Fedora و Red Hat Enterprise Linux و openSUSE حاليًا التمهيد الآمن ، وستعمل بدون أي تعديلات على الأجهزة الحديثة. قد يكون هناك آخرون ، لكن هؤلاء هم الذين نعرفهم. تعارض بعض توزيعات Linux من الناحية الفلسفية التقديم للتوقيع بواسطة Microsoft.

كيف يمكنك تعطيل أو التحكم في التمهيد الآمن

إذا كان هذا هو كل ما فعله التمهيد الآمن ، فلن تتمكن من تشغيل أي نظام تشغيل غير معتمد من Microsoft على جهاز الكمبيوتر الخاص بك. ولكن يمكنك على الأرجح التحكم في التمهيد الآمن من البرامج الثابتة UEFI بجهاز الكمبيوتر ، والتي تشبه BIOS في أجهزة الكمبيوتر القديمة.

هناك طريقتان للتحكم في التمهيد الآمن. أسهل طريقة هي التوجه إلى البرامج الثابتة UEFI وتعطيلها بالكامل. لن يتم فحص برنامج UEFI الثابت للتأكد من أنك تقوم بتشغيل محمل إقلاع موقّع ، وسيتم تشغيل أي شيء. يمكنك تشغيل أي توزيع Linux أو حتى تثبيت Windows 7 ، والذي لا يدعم التمهيد الآمن. سيعمل نظاما التشغيل Windows 8 و 10 بشكل جيد ، وستفقد مزايا الأمان المتمثلة في وجود التمهيد الآمن الذي يحمي عملية التمهيد.

يمكنك أيضًا تخصيص التمهيد الآمن بشكل أكبر. يمكنك التحكم في شهادات التوقيع التي يقدمها Secure Boot. لك مطلق الحرية في تثبيت الشهادات الجديدة وإزالة الشهادات الحالية. على سبيل المثال ، يمكن للمؤسسة التي تقوم بتشغيل Linux على أجهزة الكمبيوتر الخاصة بها اختيار إزالة شهادات Microsoft وتثبيت شهادة المؤسسة الخاصة بها في مكانها. ستقوم أجهزة الكمبيوتر هذه بعد ذلك فقط بتمهيد برامج تحميل التمهيد المعتمدة والموقعة من قبل تلك المنظمة المحددة.

يمكن للفرد القيام بذلك أيضًا - يمكنك التوقيع على مُحمل إقلاع Linux الخاص بك والتأكد من أن جهاز الكمبيوتر الخاص بك يمكنه فقط تشغيل برامج تحميل التمهيد التي قمت بتجميعها وتوقيعها شخصيًا. هذا هو نوع التحكم وعروض Power Secure Boot.

ما تتطلبه Microsoft من الشركات المصنّعة لأجهزة الكمبيوتر

لا تطلب Microsoft من بائعي أجهزة الكمبيوتر تمكين التمهيد الآمن فقط إذا كانوا يريدون ملصق شهادة "Windows 10" أو "Windows 8" الرائع على أجهزة الكمبيوتر الخاصة بهم. تطلب Microsoft من الشركات المصنعة لأجهزة الكمبيوتر تنفيذها بطريقة معينة.

بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام Windows 8 ، كان على الشركات المصنعة منحك طريقة لإيقاف تشغيل Secure Boot. طلبت Microsoft من مصنعي أجهزة الكمبيوتر وضع مفتاح إغلاق التمهيد الآمن في أيدي المستخدمين.

بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام Windows 10 ، لم يعد هذا إلزاميًا. يمكن للشركات المصنعة لأجهزة الكمبيوتر اختيار تمكين التمهيد الآمن وعدم منح المستخدمين طريقة لإيقاف تشغيله. ومع ذلك ، فنحن لسنا على علم بأي شركة مصنعة لأجهزة الكمبيوتر تقوم بذلك.

وبالمثل ، بينما يتعين على الشركات المصنعة لأجهزة الكمبيوتر تضمين مفتاح Microsoft Windows Production PCA الرئيسي حتى يتمكن Windows من التمهيد ، فلا يتعين عليهم تضمين مفتاح "Microsoft Corporation UEFI CA". يوصى بهذا المفتاح الثاني فقط. إنه المفتاح الثاني الاختياري الذي تستخدمه Microsoft للتوقيع على برامج تحميل تمهيد Linux. تشرح وثائق أوبونتو هذا.

بمعنى آخر ، لن تقوم جميع أجهزة الكمبيوتر بالضرورة بتمهيد توزيعات Linux الموقعة مع تشغيل Secure Boot. مرة أخرى ، من الناحية العملية ، لم نر أي أجهزة كمبيوتر قامت بذلك. ربما لا يريد أي مصنع للكمبيوتر الشخصي أن يصنع السطر الوحيد من أجهزة الكمبيوتر المحمولة التي لا يمكنك تثبيت Linux عليها.

في الوقت الحالي ، على الأقل ، يجب أن تسمح لك أجهزة الكمبيوتر العادية التي تعمل بنظام Windows بتعطيل التمهيد الآمن إذا أردت ، ويجب أن تقوم بتشغيل توزيعات Linux التي تم توقيعها بواسطة Microsoft حتى إذا لم تقم بتعطيل Secure Boot.

لا يمكن تعطيل التمهيد الآمن على Windows RT ، لكن Windows RT ميت

ذات صلة: ما هو Windows RT ، وما مدى اختلافه عن Windows 8؟

كل ما سبق ينطبق على أنظمة التشغيل القياسية Windows 8 و 10 على أجهزة Intel x86 القياسية. الأمر مختلف بالنسبة لـ ARM.

في Windows RT - إصدار Windows 8 لأجهزة ARM ، والذي تم شحنه على Surface RT و Surface 2 من Microsoft ، من بين أجهزة أخرى - لا يمكن تعطيل التمهيد الآمن. اليوم ، لا يزال يتعذر تعطيل Secure Boot على أجهزة Windows 10 Mobile - بمعنى آخر ، الهواتف التي تعمل بنظام Windows 10.

هذا لأن Microsoft أرادت أن تفكر في أنظمة Windows RT القائمة على ARM على أنها "أجهزة" ، وليست أجهزة كمبيوتر. كما أخبرت Microsoft Mozilla ، فإن Windows RT "لم يعد Windows".

ومع ذلك ، فإن Windows RT قد مات الآن. لا يوجد إصدار من نظام تشغيل سطح مكتب Windows 10 لأجهزة ARM ، لذلك لم يعد عليك القلق بشأن هذا الأمر. ولكن ، إذا أعادت Microsoft أجهزة Windows RT 10 ، فمن المحتمل ألا تتمكن من تعطيل Secure Boot عليه.

حقوق الصورة: السفير بيس ، جون بريستو