विंडोज 8 और 10 पर बूट कितना सुरक्षित है और लिनक्स के लिए इसका क्या अर्थ है
"सुरक्षित बूट" नामक एक सुविधा के साथ आधुनिक पीसी जहाज सक्षम। यह यूईएफआई में एक प्लेटफॉर्म फीचर है, जो पारंपरिक पीसी BIOS को बदलता है। यदि कोई पीसी निर्माता अपने पीसी में "विंडोज 10" या "विंडोज 8" लोगो स्टिकर लगाना चाहता है, तो Microsoft को सुरक्षित बूट सक्षम करने और कुछ दिशानिर्देशों का पालन करने की आवश्यकता होती है।.
दुर्भाग्य से, यह आपको कुछ लिनक्स वितरणों को स्थापित करने से भी रोकता है, जो काफी परेशानी भरा हो सकता है.
कैसे सुरक्षित बूट आपके पीसी की बूट प्रक्रिया सुरक्षित करता है
सुरक्षित बूट को केवल लिनक्स को और अधिक कठिन बनाने के लिए नहीं बनाया गया है। सुरक्षित बूट सक्षम होने के लिए वास्तविक सुरक्षा लाभ हैं, और यहां तक कि लिनक्स उपयोगकर्ता भी उनसे लाभ उठा सकते हैं.
एक पारंपरिक BIOS किसी भी सॉफ्टवेयर को बूट करेगा। जब आप अपने पीसी को बूट करते हैं, तो यह आपके द्वारा कॉन्फ़िगर किए गए बूट ऑर्डर के अनुसार हार्डवेयर उपकरणों की जांच करता है, और उनसे बूट करने का प्रयास करता है। विशिष्ट पीसी सामान्य रूप से विंडोज बूट लोडर को खोजेगा और बूट करेगा, जो पूर्ण विंडोज ऑपरेटिंग सिस्टम को बूट करने के लिए जाता है। यदि आप लिनक्स का उपयोग करते हैं, तो BIOS GRUB बूट लोडर को खोजेगा और बूट करेगा, जिसका उपयोग अधिकांश लिनक्स वितरण करता है.
हालाँकि, यह आपके बूट लोडर को बदलने के लिए एक रूटकिट जैसे मैलवेयर के लिए संभव है। रूटकिट आपके सामान्य ऑपरेटिंग सिस्टम को बिना किसी संकेत के लोड कर सकता है कुछ भी गलत नहीं था, आपके सिस्टम पर पूरी तरह से अदृश्य और अवांछनीय रहकर। BIOS मालवेयर और भरोसेमंद बूट लोडर के बीच के अंतर को नहीं जानता है.
इसे रोकने के लिए सिक्योर बूट डिजाइन किया गया है। UEFI में संग्रहीत माइक्रोसॉफ्ट के प्रमाण पत्र के साथ विंडोज 8 और 10 पीसी जहाज। UEFI लॉन्च करने से पहले बूट लोडर की जांच करेगा और यह सुनिश्चित करेगा कि यह Microsoft द्वारा हस्ताक्षरित है। यदि कोई rootkit या मैलवेयर का दूसरा टुकड़ा आपके बूट लोडर को बदल देता है या उसके साथ छेड़छाड़ करता है, तो UEFI इसे बूट करने की अनुमति नहीं देगा। यह आपके बूट प्रोसेस को हाईजैक करने और आपके ऑपरेटिंग सिस्टम से खुद को छुपाने से मैलवेयर को रोकता है.
कैसे Microsoft लिनक्स वितरण को सुरक्षित बूट के साथ बूट करने की अनुमति देता है
यह सुविधा, सिद्धांत रूप में, बस मैलवेयर से बचाने के लिए डिज़ाइन की गई है। इसलिए Microsoft वैसे भी लिनक्स वितरण बूट में मदद करने का एक तरीका प्रदान करता है। यही कारण है कि कुछ आधुनिक लिनक्स वितरण जैसे उबंटू और फेडोरा-सुरक्षित पीसी पर "बस काम" करेंगे, यहां तक कि सुरक्षित बूट सक्षम भी। लिनक्स वितरण Microsoft Sysdev पोर्टल का उपयोग करने के लिए $ 99 का एक बार शुल्क का भुगतान कर सकते हैं, जहां वे आवेदन कर सकते हैं अपने हस्ताक्षरित लोडर पर हस्ताक्षर करने के लिए.
लिनक्स वितरण में आम तौर पर एक "शिम" हस्ताक्षर किया जाता है। शिम एक छोटा बूट लोडर है जो बस लिनक्स को मुख्य GRUB बूट लोडर को बूट करता है। Microsoft द्वारा हस्ताक्षरित शिम जाँच यह सुनिश्चित करने के लिए है कि यह लिनक्स वितरण द्वारा हस्ताक्षरित बूट लोडर को बूट कर रहा है, और फिर सामान्य रूप से लिनक्स वितरण बूट करता है.
Ubuntu, Fedora, Red Hat Enterprise Linux और OpenSUSE वर्तमान में सिक्योर बूट का समर्थन करते हैं, और आधुनिक हार्डवेयर पर बिना किसी ट्विक के काम करेंगे। दूसरे भी हो सकते हैं, लेकिन ये वही हैं जिनसे हम अवगत हैं। कुछ लिनक्स वितरण Microsoft द्वारा हस्ताक्षरित होने के लिए आवेदन करने के लिए दार्शनिक रूप से विरोध करते हैं.
आप सुरक्षित बूट को कैसे निष्क्रिय या नियंत्रित कर सकते हैं
यदि वह सभी सुरक्षित बूट किया गया था, तो आप अपने पीसी पर किसी भी गैर-माइक्रोसॉफ्ट-अनुमोदित ऑपरेटिंग सिस्टम को चलाने में सक्षम नहीं होंगे। लेकिन आप अपने पीसी के यूईएफआई फर्मवेयर से सुरक्षित बूट को नियंत्रित कर सकते हैं, जो पुराने पीसी में BIOS की तरह है.
सिक्योर बूट को नियंत्रित करने के दो तरीके हैं। सबसे आसान तरीका यूईएफआई फर्मवेयर के लिए सिर है और इसे पूरी तरह से अक्षम करना है। UEFI फर्मवेयर यह सुनिश्चित करने के लिए जाँच नहीं करेगा कि आप एक हस्ताक्षरित लोड लोडर चला रहे हैं, और कुछ भी बूट होगा। आप किसी भी लिनक्स वितरण को बूट कर सकते हैं या यहां तक कि विंडोज 7 को स्थापित कर सकते हैं, जो सुरक्षित बूट का समर्थन नहीं करता है। विंडोज 8 और 10 ठीक काम करेंगे, आप अपने बूट प्रक्रिया को सुरक्षित करने वाले बूट को सुरक्षित रखने के सुरक्षा लाभ खो देंगे.
आप सुरक्षित बूट को और भी कस्टमाइज़ कर सकते हैं। आप यह नियंत्रित कर सकते हैं कि कौन से हस्ताक्षर प्रमाण पत्र सुरक्षित बूट ऑफ़र हैं। आप दोनों नए प्रमाणपत्र स्थापित करने और मौजूदा प्रमाणपत्रों को निकालने के लिए स्वतंत्र हैं। एक संगठन जो अपने पीसी पर लिनक्स चलाता था, उदाहरण के लिए, माइक्रोसॉफ्ट के प्रमाण पत्र को हटाने और उसके स्थान पर संगठन के स्वयं के प्रमाण पत्र को स्थापित करने का विकल्प चुन सकता है। वे पीसी तब केवल बूट लोडर स्वीकृत करते हैं और उस विशिष्ट संगठन द्वारा हस्ताक्षरित होते हैं.
एक व्यक्ति ऐसा कर सकता है, आप भी अपने खुद के लिनक्स बूट लोडर पर हस्ताक्षर कर सकते हैं और यह सुनिश्चित कर सकते हैं कि आपका पीसी केवल बूट बूट लोडर को आपके द्वारा संकलित और हस्ताक्षरित कर सकता है। यह उसी तरह का नियंत्रण और शक्ति है जो सुरक्षित बूट प्रदान करता है.
Microsoft पीसी निर्माताओं की क्या आवश्यकता है
Microsoft को पीसी विक्रेताओं को केवल सुरक्षित बूट सक्षम करने की आवश्यकता नहीं होती है यदि वे चाहते हैं कि उनके पीसी पर "विंडोज 10" या "विंडोज 8" प्रमाणन स्टिकर हो। Microsoft को पीसी निर्माताओं को एक विशिष्ट तरीके से इसे लागू करने की आवश्यकता है.
विंडोज 8 पीसी के लिए, निर्माताओं को आपको सिक्योर बूट को बंद करने का एक तरीका देना था। Microsoft को पीसी निर्माताओं को उपयोगकर्ताओं के हाथों में एक सुरक्षित बूट किल स्विच लगाने की आवश्यकता थी.
विंडोज 10 पीसी के लिए, यह अब अनिवार्य नहीं है। पीसी निर्माता सिक्योर बूट को सक्षम करने के लिए चुन सकते हैं और उपयोगकर्ताओं को इसे बंद करने का एक तरीका नहीं दे सकते हैं। हालांकि, हम वास्तव में ऐसा करने वाले किसी भी पीसी निर्माता के बारे में नहीं जानते हैं.
इसी तरह, जबकि पीसी निर्माताओं को माइक्रोसॉफ्ट के मुख्य "माइक्रोसॉफ्ट विंडोज प्रोडक्शन पीसीए" कुंजी को शामिल करना पड़ता है, इसलिए विंडोज बूट हो सकता है, उन्हें "Microsoft Corporation UEFI CA" कुंजी को शामिल करने की आवश्यकता नहीं है। यह दूसरी कुंजी केवल अनुशंसित है। यह दूसरी, वैकल्पिक कुंजी है जिसका उपयोग Microsoft लिनक्स बूट लोडरों पर हस्ताक्षर करने के लिए करता है। उबंटू के दस्तावेज यह बताते हैं.
दूसरे शब्दों में, सभी पीसी जरूरी नहीं कि सिक्योर बूट के साथ लिनक्स वितरण पर हस्ताक्षर किए गए हैं। फिर से, व्यवहार में, हमने ऐसा कोई पीसी नहीं देखा है जिसने ऐसा किया हो। शायद कोई भी पीसी निर्माता लैपटॉप की एकमात्र पंक्ति नहीं बनाना चाहता है जिसे आप लिनक्स पर स्थापित नहीं कर सकते हैं.
अभी के लिए, कम से कम, मुख्यधारा के विंडोज पीसी को यदि आप चाहें तो सुरक्षित बूट को निष्क्रिय करने की अनुमति देनी चाहिए, और उन्हें लिनक्स वितरण को बूट करना चाहिए जो कि Microsoft द्वारा हस्ताक्षरित किए गए हैं भले ही आप सुरक्षित बूट को अक्षम न करें।.
सुरक्षित बूट Windows RT पर अक्षम नहीं किया जा सकता है, लेकिन Windows RT मृत है
उपरोक्त सभी मानक इंटेल 886 हार्डवेयर पर मानक विंडोज 8 और 10 ऑपरेटिंग सिस्टम के लिए सच है। यह एआरएम के लिए अलग है.
विंडोज आरटी पर- एआरएम हार्डवेयर के लिए विंडोज 8 का संस्करण, जो माइक्रोसॉफ्ट के सर्फेस आरटी और सर्फेस 2 पर भेजा गया था, अन्य डिवाइसों के बीच-सिक्योर बूट को अक्षम नहीं किया जा सका। आज, सुरक्षित बूट अभी भी विंडोज 10 पर निष्क्रिय नहीं किया जा सकता है मोबाइल-दूसरे शब्दों में, विंडोज 10 चलाने वाले फोन.
ऐसा इसलिए है क्योंकि Microsoft चाहता था कि आप एआरएम-आधारित विंडोज आरटी सिस्टम को "डिवाइस" के रूप में सोचें, पीसी नहीं। जैसा कि माइक्रोसॉफ्ट ने मोज़िला को बताया, विंडोज आरटी "अब विंडोज नहीं है।"
हालाँकि, अब Windows RT मर चुका है। एआरएम-हार्डवेयर के लिए विंडोज 10 डेस्कटॉप ऑपरेटिंग सिस्टम का कोई संस्करण नहीं है, इसलिए यह ऐसा कुछ नहीं है जिसके बारे में आपको कोई चिंता नहीं है। लेकिन, अगर Microsoft विंडोज आरटी 10 हार्डवेयर वापस लाता है, तो आप संभवतः उस पर सुरक्षित बूट को अक्षम नहीं कर पाएंगे.
इमेज क्रेडिट: राजदूत बेस, जॉन ब्रिस्टोवे