Споры о безопасной загрузке: что это значит для ИТ?
Введение
В последнее время в технической прессе было много шума по поводу функции безопасной загрузки в Windows 8; некоторые называют это чудесным подарком для безопасности, а другие убеждены, что это воплощение зла, разработанное с единственной целью — заблокировать возможность установки Linux на компьютеры с Windows 8. Многие компьютерные любители ополчаются по этому поводу, но что последствия — как хорошие, так и плохие — для бизнеса? Об этом мы и поговорим в этой статье.
UEFI: это не BIOS вашего отца
Прежде чем вы сможете понять безопасную загрузку и то, как она работает, вы должны понять UEFI, унифицированный расширяемый интерфейс встроенного ПО. И прежде чем вы сможете понять EUFI, вам необходимо понять, как работала BIOS (базовая система ввода-вывода) в компьютерах прошлого, потому что UEFI был создан как замена и улучшение старого BIOS.
Здесь мы углубляемся в область аппаратного обеспечения, но как ИТ-специалист вы, вероятно, имели более чем мимолетное знакомство с BIOS на протяжении многих лет, поскольку настройки BIOS часто необходимо изменять, чтобы включить функции, которые вы, возможно, захотите. использовать на серверах и рабочих станциях вашей компании. BIOS — это первое системное программное обеспечение, которое запускается при включении компьютера и запускает процедуру POST (самопроверка при включении), которая проверяет все компоненты системы на наличие и правильность их работы. Программное обеспечение BIOS установлено в микросхеме на материнской плате. Она называется «прошивка», потому что редко модифицируется. В первых компьютерах BIOS хранился в постоянном запоминающем устройстве (ПЗУ) и не мог быть изменен. В более поздних системах он хранится в стираемом программируемом ПЗУ (СППЗУ) или флэш-памяти и может быть обновлен («перепрошивка BIOS») для добавления функциональности.
Первоначально EUFI был создан Intel для устранения ограничений традиционного BIOS (сначала они назвали его Intel Boot Initiative) как часть своих серверов Itanium. Позже он стал Extensible Firmware Interface (EFI), который превратился в UEFI, а спецификация представляет собой стандарт, которым занимается некоммерческая организация с представителями Intel, AMD, Microsoft, Apple, Dell, HP, IBM и другими, называемая Единый форум EFI.
UEFI выполняет те же функции, что и BIOS, но отличается от BIOS более быстрой загрузкой и использованием таблицы разделов GUID (GPT) для загрузки с дисков размером более 2 ТБ, а также подключением к сети до загрузка операционной системы, архитектуры и драйверов, не зависящих от процессора. UEFI поддерживает 32- и 64-разрядные процессоры и может использоваться с процессорами Itanium, x86, x64 и ARM.
Как UEFI обеспечивает безопасную загрузку
В отличие от традиционного BIOS, UEFI может реализовывать политику безопасности; это протокол безопасной загрузки UEFI, который использует PKI (инфраструктуру открытых ключей) для аутентификации образов, загружаемых в процессе загрузки. Почему это полезно? Злоумышленники продолжают изобретать новые способы обхода традиционного антивирусного и антивредоносного программного обеспечения. Атаки с использованием загрузчика используют процесс загрузки для загрузки вредоносного кода, маскирующегося под законную операционную систему, до загрузки настоящей ОС.
Вот как это работает: поставщик оборудования должен включать или отключать безопасный протокол загрузки в UEFI своих систем. Если протокол безопасной загрузки включен, ключи цифровой подписи для законных операционных систем устанавливаются в прошивку. Протокол безопасной загрузки при загрузке программного обеспечения проверяет, подписано ли оно одним из установленных ключей.
Ключи для нескольких операционных систем (или драйверы или другие исполняемые файлы) могут быть установлены в прошивке системы. Однако нет централизованного органа для подписи ключей UEFI. Опять же, поставщик оборудования должен установить ключи в прошивку системы. Если бы пользователи могли легко добавлять дополнительные ключи, то и вредоносное ПО тоже могло бы добавлять ключи, и это сводило бы на нет всю цель безопасной загрузки.
Если безопасная загрузка включена, каждый раз при включении или сбросе питания системы микропрограмма проверяет аппаратные периферийные устройства и сертификаты загрузчиков операционной системы на соответствие базе данных «разрешенных» компонентов, которую OEM-производитель хранит в микропрограмме. Также существует «запрещенная» база данных, содержащая хэши известных вредоносных программ.
Почему это спорно
Многие любители компьютеров, особенно поклонники Linux, недовольны тем, как Microsoft реализует безопасную загрузку в Windows 8. В блогах есть множество сообщений, в которых провозглашается опасность, которую безопасная загрузка представляет для бесплатного программного обеспечения с открытым исходным кодом. В Facebook есть группа под названием «Остановите реализацию безопасной загрузки Windows 8».
Их жалобы заключаются в том, что 1) Microsoft потребует от поставщиков оборудования включить безопасную загрузку на компьютерах, чтобы получить логотип совместимости с Windows 8, и 2) Microsoft оставляет на усмотрение поставщиков оборудования вопрос о том, сможет ли пользователь отключить эту функцию., и будут ли/какие еще сертификаты операционной системы устанавливаться в прошивку.
Проблема (для тех, кто хочет установить другую ОС) возникает, когда поставщик не предоставляет способ отключить безопасную загрузку в меню «Настройка» и не устанавливает сертификаты для какой-либо другой ОС, кроме Windows. В этом случае те, кто покупает компьютеры, не смогут установить Linux ни в конфигурации с двойной загрузкой, ни путем форматирования и замены на нее Windows. Это возможное сужение выбора привело к тому, что Фонд свободного программного обеспечения собирает подписи под петицией, призывающей производителей компьютеров предоставить пользователям возможность отключить безопасную загрузку и / или установить альтернативную ОС с включенной безопасной загрузкой.
Между тем те, кто делает дистрибутивы Linux, справляются с этим по-разному. Тим Берк, вице-президент Linux Engineering в Red Hat, попытался успокоить пользователей компании в своем блоге в начале июня, объяснив, что Red Hat и Linux Foundation работали с Microsoft над разработкой механизма использования служб подписи ключей Microsoft для регистрации. Ключи Red Hat/Fedora, чтобы эти операционные системы можно было установить на компьютеры с Windows 8. Canonical, которая распространяет Ubuntu, будет использовать загрузчик, подписанный ключом Microsoft, а затем загрузит собственный загрузчик Canonical. Таким образом, у пользователей не должно возникнуть проблем с установкой по крайней мере двух очень популярных дистрибутивов Linux на машинах с Windows 8.
Даже Линус Торвальдс, «отец Linux», высказал мнение, что безопасная загрузка не удержит людей от установки Linux, хотя он считает, что эта технология в конечном итоге будет взломана.
Обратите внимание, что приведенное выше обсуждение относится к настольным и портативным компьютерам, работающим под управлением Windows 8 или Windows 8 Pro. Windows RT на устройствах ARM — это отдельная история. Спецификации сертификации оборудования Microsoft требуют, чтобы мобильные устройства на базе ARM (например, их собственный планшет Surface, который был представлен 18 июня, а также планшеты Windows RT, произведенные другими поставщиками оборудования) не позволяли отключать безопасную загрузку.
Как это повлияет на ИТ-отдел
Во многих случаях корпоративным ИТ-отделам не мешает функция безопасной загрузки, потому что большинство компаний будут использовать только Windows 8 в системах, которые они приобретают с установленной этой ОС. Немногие бизнес-пользователи выполняют двойную загрузку в нескольких операционных системах. Те работники, которым необходимо работать с разными операционными системами, обычно имеют для них отдельные машины или устанавливают вторую ОС на виртуальную машину, чтобы они могли получить к ней доступ, не загружаясь из первой ОС.
Поскольку установка второй операционной системы на свои компьютеры может создать серьезные проблемы для безопасности пользователей, безопасная загрузка выгодна для ИТ-специалистов; это помогает вам поддерживать больший контроль и предотвращать мошеннические установки ОС в вашей сети. Кроме того, функция, для которой он предназначен, — предотвращение установки вредоносного ПО типа руткит/буткит — принесет пользу ИТ-отделам, помогая защитить ваши системы от этого коварного и трудно обнаруживаемого типа вредоносного программного обеспечения.
Как насчет компаний, которые могут захотеть установить более старые версии Windows (например, Windows 7) на сертифицированные для Windows 8 компьютеры? Еще в прошлом году в блоге Building Windows 8 говорилось, что «для энтузиастов, которые хотят работать со старыми операционными системами, существует опция (отключение безопасной загрузки), позволяющая вам принять это решение». Очевидно, что другим решением для поставщиков оборудования было бы включение сертификатов/ключей для предыдущих версий Windows, популярных версий Linux и т. д. Это было бы предпочтительнее, потому что тогда вы не потеряете защиту от вредоносных программ безопасной загрузки.
Резюме
Как правило, поставщики оборудования работают с предприятиями, особенно с крупными предприятиями, чтобы предоставить специализированные системы, соответствующие потребностям организации. Реализация Secure Boot поставщика — и можно ли ее настроить с помощью дополнительных ключей — будет еще одним вопросом, который следует задать при покупке новых систем. Таким образом, в процессе планирования вам будет важно определить, как системы будут развернуты и будут ли у вас системы, которым требуется двойная загрузка, или которые вы, возможно, когда-нибудь захотите переключиться на другую операционную систему.