Hoe Secure Boot werkt op Windows 8 en 10, en wat het betekent voor Linux

hoe-veilig-opstarten-op-windows-8-en-10-en-wat-het-betekent-voor-linux-foto 1

Moderne pc's worden geleverd met een functie genaamd Secure Boot ingeschakeld. Dit is een platformfunctie in UEFI, die het traditionele pc-BIOS vervangt. Als een pc-fabrikant een Windows 10- of Windows 8-logosticker op zijn pc wil plaatsen, vereist Microsoft dat hij Secure Boot inschakelt en enkele richtlijnen volgt.

Helaas voorkomt het ook dat je sommige Linux-distributies installeert, wat nogal een gedoe kan zijn.



hoe-veilig-opstarten-op-windows-8-en-10-en-wat-het-betekent-voor-linux-foto 2

Hoe Secure Boot het opstartproces van uw pc beveiligt

Secure Boot is niet alleen ontworpen om het draaien van Linux moeilijker te maken. Er zijn echte beveiligingsvoordelen verbonden aan het inschakelen van Secure Boot, en zelfs Linux-gebruikers kunnen hiervan profiteren.

Een traditioneel BIOS zal alle software opstarten. Wanneer u uw pc opstart, controleert deze de hardwareapparaten volgens de opstartvolgorde die u hebt geconfigureerd en probeert vanaf hen op te starten. Typische pc's zullen normaal gesproken de Windows-bootloader vinden en opstarten, die vervolgens het volledige Windows-besturingssysteem opstart. Als je Linux gebruikt, zal het BIOS de GRUB-bootloader vinden en opstarten, die de meeste Linux-distributies gebruiken.

Het is echter mogelijk dat malware, zoals een rootkit, uw bootloader vervangt. De rootkit kan je normale besturingssysteem laden zonder enige indicatie dat er iets mis is, en blijft volledig onzichtbaar en ondetecteerbaar op je systeem. Het BIOS kent het verschil niet tussen malware en een vertrouwde bootloader - het start gewoon op wat het vindt.

Secure Boot is ontworpen om dit te stoppen. Windows 8 en 10 pc's worden geleverd met het Microsoft-certificaat dat is opgeslagen in UEFI. UEFI controleert de bootloader voordat deze wordt gestart en zorgt ervoor dat deze is ondertekend door Microsoft. Als een rootkit of een ander stukje malware je bootloader vervangt of ermee knoeit, staat UEFI het niet toe om op te starten. Dit voorkomt dat malware uw opstartproces kaapt en zichzelf verbergt voor uw besturingssysteem.

Hoe Microsoft Linux-distributies laat opstarten met Secure Boot

hoe-veilig-opstarten-op-windows-8-en-10-en-wat-het-betekent-voor-linux-foto 3

Deze functie is in theorie alleen ontworpen om te beschermen tegen malware. Dus Microsoft biedt een manier om Linux-distributies toch te helpen opstarten. Dat is de reden waarom sommige moderne Linux-distributies, zoals Ubuntu en Fedora, gewoon werken op moderne pc's, zelfs als Secure Boot is ingeschakeld. Linux-distributies kunnen een eenmalige vergoeding van $ 99 betalen om toegang te krijgen tot de Microsoft Sysdev-portal, waar ze een aanvraag kunnen indienen om hun bootloaders te laten ondertekenen.

Linux-distributies hebben over het algemeen een shim ondertekend. De shim is een kleine bootloader die eenvoudigweg de GRUB-bootloader van de Linux-distributies opstart. De door Microsoft ondertekende shim controleert of het een bootloader opstart die is ondertekend door de Linux-distributie, en vervolgens start de Linux-distributie normaal op.

Ubuntu, Fedora, Red Hat Enterprise Linux en openSUSE ondersteunen momenteel Secure Boot en werken zonder enige aanpassingen op moderne hardware. Er kunnen andere zijn, maar dit zijn degenen waarvan we ons bewust zijn. Sommige Linux-distributies zijn filosofisch gekant tegen het aanvragen van ondertekening door Microsoft.

Hoe u veilig opstarten kunt uitschakelen of beheren

hoe-veilig-opstarten-op-windows-8-en-10-en-wat-het-betekent-voor-linux-foto 4

Als dat alles was wat Secure Boot deed, zou u geen niet door Microsoft goedgekeurd besturingssysteem op uw pc kunnen uitvoeren. Maar u kunt Secure Boot waarschijnlijk besturen vanaf de UEFI-firmware van uw pc, die vergelijkbaar is met het BIOS op oudere pc's.

Er zijn twee manieren om Secure Boot te besturen. De eenvoudigste methode is om naar de UEFI-firmware te gaan en deze volledig uit te schakelen. De UEFI-firmware controleert niet of u een ondertekende bootloader gebruikt en alles zal opstarten. Je kunt elke Linux-distributie opstarten of zelfs Windows 7 installeren, dat Secure Boot niet ondersteunt. Windows 8 en 10 werken prima, u verliest alleen de beveiligingsvoordelen van Secure Boot om uw opstartproces te beschermen.

U kunt Secure Boot ook verder aanpassen. U kunt bepalen welke ondertekeningscertificaten Secure Boot biedt. U bent vrij om zowel nieuwe certificaten te installeren als bestaande certificaten te verwijderen. Een organisatie die Linux op haar pc's draaide, zou er bijvoorbeeld voor kunnen kiezen om de certificaten van Microsoft te verwijderen en in plaats daarvan het eigen certificaat van de organisatie te installeren. Die pc's zouden dan alleen bootloaders opstarten die zijn goedgekeurd en ondertekend door die specifieke organisatie.

Een individu zou dit ook kunnen doen - je zou je eigen Linux-bootloader kunnen ondertekenen en ervoor zorgen dat je pc alleen bootloaders kan opstarten die je persoonlijk hebt gecompileerd en ondertekend. Dat is het soort controle en kracht dat Secure Boot biedt.

Wat Microsoft van pc-fabrikanten verlangt

Microsoft vereist niet alleen dat pc-leveranciers Secure Boot inschakelen als ze die mooie Windows 10- of Windows 8-certificeringssticker op hun pc willen hebben. Microsoft vereist dat pc-fabrikanten het op een specifieke manier implementeren.

Voor pc's met Windows 8 moesten fabrikanten u een manier bieden om Secure Boot uit te schakelen. Microsoft eiste van pc-fabrikanten dat ze een Secure Boot-kill-schakelaar in handen van gebruikers zouden geven.

Voor pc's met Windows 10 is dit niet langer verplicht. Pc-fabrikanten kunnen ervoor kiezen om Secure Boot in te schakelen en gebruikers geen manier te geven om het uit te schakelen. We zijn echter niet op de hoogte van pc-fabrikanten die dit doen.

Evenzo, terwijl pc-fabrikanten de belangrijkste Microsoft Windows Production PCA-sleutel van Microsoft moeten opnemen zodat Windows kan opstarten, hoeven ze niet de Microsoft Corporation UEFI CA-sleutel op te nemen. Deze tweede sleutel wordt alleen aanbevolen. Het is de tweede, optionele sleutel die Microsoft gebruikt om Linux-bootloaders te ondertekenen. De documentatie van Ubuntu legt dit uit.

Met andere woorden, niet alle pc's zullen noodzakelijkerwijs ondertekende Linux-distributies opstarten met Secure Boot ingeschakeld. Nogmaals, in de praktijk hebben we geen pc's gezien die dit deden. Misschien wil geen enkele pc-fabrikant de enige lijn laptops maken waarop je Linux niet kunt installeren.

Voor nu, tenminste, reguliere Windows-pc's zouden je in staat moeten stellen om Secure Boot uit te schakelen als je wilt, en ze zouden Linux-distributies moeten opstarten die zijn ondertekend door Microsoft, zelfs als je Secure Boot niet uitschakelt.

Veilig opstarten kan niet worden uitgeschakeld op Windows RT, maar Windows RT is dood

hoe-veilig-opstarten-op-windows-8-en-10-en-wat-het-betekent-voor-linux-foto 5

Al het bovenstaande geldt voor standaard Windows 8 en 10 besturingssystemen op de standaard Intel x86-hardware. Voor ARM is dat anders.

Op Windows RT - de versie van Windows 8 voor ARM-hardware, die onder andere werd geleverd op Microsoft Surface RT en Surface 2 - kon Secure Boot niet worden uitgeschakeld. Tegenwoordig kan Secure Boot nog steeds niet worden uitgeschakeld op Windows 10 Mobile-hardware, met andere woorden, telefoons met Windows 10.

Dat komt omdat Microsoft wilde dat je op ARM gebaseerde Windows RT-systemen zou zien als apparaten, niet als pc's. Zoals Microsoft Mozilla vertelde, is Windows RT geen Windows meer.

Windows RT is nu echter dood. Er is geen versie van het Windows 10 desktop-besturingssysteem voor ARM-hardware, dus hier hoef je je geen zorgen meer over te maken. Maar als Microsoft Windows RT 10-hardware terugbrengt, kunt u Secure Boot waarschijnlijk niet uitschakelen.

Image Credit: Ambassador Base, John Bristowe

Meer verhalen

De beste slimme gloeilampen van 2016

Nog steeds vast in de donkere dagen van gloeilampen? Zie het licht - en bedien het met uw smartphone - met een van deze hoogwaardige connected verlichtingssystemen.

De beste wachtwoordmanagers van 2016

Een wachtwoord als '123456' of 'aap' is makkelijk te onthouden, maar ook makkelijk te kraken. Met behulp van een wachtwoordmanager kun je voor elke beveiligde website een uniek en sterk wachtwoord hebben.

De beste laptops van 2016

Of je nu een ultradraagbare laptop, een gaming-kolos of iets daartussenin wilt, ons winkeladvies en productaanbevelingen helpen je bij het vinden van je ideale laptop.

De beste tablets van 2016

Of u nu op zoek bent naar een Android-, Apple- of Windows-tablet, hier is wat u moet overwegen, samen met onze best beoordeelde leien.

De beste telefoons van 2016

We testen en beoordelen honderden mobiele telefoons per jaar. Dit zijn onze best beoordeelde modellen bij de grote Amerikaanse draadloze providers.

De beste digitale camera's van 2016

Van eenvoudige compactcamera's tot full-frame digitale spiegelreflexcamera's, hier is waar u op moet letten bij het kopen van een nieuwe camera, samen met de topmodellen in elke klasse die we testen.

De beste tv's van 2016

Ongeacht je budget of de grootte van het scherm dat je wilt, hier is waar je op moet letten als je aan het winkelen bent, samen met de best beoordeelde televisies die we hebben getest.

De beste koptelefoon van 2016

Voor echt zoet klinkende deuntjes wil je die gebundelde oordopjes weggooien. Dit zijn de best beoordeelde on-ear en around-ear hoofdtelefoons die we hebben getest, in een breed scala aan prijsniveaus.

De beste VR-headsets (virtual reality) van 2016

Consumer virtual reality is eindelijk hier. Maar moet je er nu al in springen? We hebben de beste VR-headsets en -platforms getest om u te helpen erachter te komen welke, indien aanwezig, geschikt voor u is.

De beste drones van 2016

drones. Houd van ze of haat ze, ze zijn er om te blijven. Als jij een van de vele mensen bent die een quadcopter willen, zijn dit de beste die we hebben getest, samen met wat je moet weten om de juiste te kiezen.