تأتي أجهزة الكمبيوتر الحديثة مع تمكين ميزة تسمى “التمهيد الآمن”. هذه إحدى ميزات النظام الأساسي في UEFI ، والتي تحل محل BIOS التقليدي لجهاز الكمبيوتر . إذا أرادت إحدى الشركات المصنعة لأجهزة الكمبيوتر وضع ملصق شعار “Windows 10” أو “Windows 8” على أجهزة الكمبيوتر الخاصة بها ، فإن Microsoft تطلب منهم تمكين Secure Boot واتباع بعض الإرشادات.
لسوء الحظ ، يمنعك أيضًا من تثبيت بعض توزيعات Linux ، والتي قد تكون صعبة للغاية.
كيف يحمي التمهيد الآمن عملية تمهيد جهاز الكمبيوتر الخاص بك
لم يتم تصميم التمهيد الآمن فقط لجعل تشغيل Linux صعبًا. يتمتع تمكين التمهيد الآمن بمزايا أمان حقيقية ، ويمكن حتى لمستخدمي Linux الاستفادة منها.
يقوم BIOS التقليدي بتمهيد أي برنامج. عندما يقوم جهاز الكمبيوتر بالتمهيد ، فإنه يتحقق من الأجهزة وفقًا لترتيب التمهيد الذي قمت بتكوينه ويحاول التمهيد منها. عادةً ما تعثر أجهزة الكمبيوتر العادية على أداة تحميل تمهيد Windows وتبدأها ، والتي ستبدأ بعد ذلك نظام تشغيل Windows الكامل. إذا كنت تستخدم Linux ، فسوف يجد BIOS ويبدأ محمل الإقلاع GRUB ، والذي تستخدمه معظم توزيعات Linux.
ومع ذلك ، من الممكن أن تحل البرامج الضارة ، مثل rootkit ، محل أداة تحميل التمهيد. يمكن أن يقوم برنامج rootkit بتحميل نظام التشغيل العادي الخاص بك دون أي إشارة إلى حدوث خطأ ما ، ويظل غير مرئي تمامًا ولا يمكن اكتشافه على نظامك. لا يعرف BIOS الفرق بين البرامج الضارة ومحمل الإقلاع الموثوق ، إنه يقوم فقط بتشغيل ما يجد.
تم تصميم التمهيد الآمن لإيقاف هذا . تأتي أجهزة الكمبيوتر التي تعمل بنظام Windows 8 و 10 مصحوبة بشهادة Microsoft مخزنة في UEFI. سيتحقق UEFI من محمل التمهيد قبل بدء تشغيله ويتأكد من توقيع Microsoft عليه. إذا قام برنامج rootkit أو أي جزء آخر من البرامج الضارة باستبدال برنامج bootloader أو العبث به ، فلن يسمح UEFI له بالتمهيد. هذا يمنع البرامج الضارة من اختطاف عملية التمهيد الخاصة بك والاختباء من نظام التشغيل الخاص بك.
كيف تسمح Microsoft لتوزيعات Linux بالتمهيد باستخدام التمهيد الآمن
تم تصميم هذه الميزة نظريًا فقط للحماية من البرامج الضارة. لذلك ، تقدم Microsoft طريقة لمساعدة توزيعات Linux على البدء على أي حال. هذا هو السبب في أن بعض توزيعات Linux الحديثة ، مثل Ubuntu و Fedora ، “تعمل فقط” على أجهزة الكمبيوتر الحديثة ، حتى مع تمكين التمهيد الآمن. يمكن أن تدفع توزيعات Linux رسومًا لمرة واحدة قدرها 99 دولارًا للوصول إلى مدخل Microsoft Sysdev ، حيث يمكنهم طلب توقيع برامج تحميل التمهيد الخاصة بهم.
توزيعات Linux بشكل عام لها علامة “shim” موقعة. الرقاقة عبارة عن محمل إقلاع صغير يقوم ببساطة بتشغيل محمل الإقلاع GRUB الرئيسي لتوزيعات Linux. تحقق Microsoft الموقعة من الإصلاح للتأكد من بدء تشغيل أداة تحميل التشغيل التي تم توقيعها بواسطة توزيع Linux ، ثم يتم تشغيل توزيع Linux بشكل طبيعي.
تدعم Ubuntu و Fedora و Red Hat Enterprise Linux و openSUSE حاليًا التمهيد الآمن وستعمل دون أي تعديل على الأجهزة الحديثة. قد يكون هناك آخرون ، لكن هؤلاء هم الأشخاص الذين نعرفهم. تعارض بعض توزيعات Linux من الناحية الفلسفية طلب التوقيع من قِبل Microsoft.
كيف يمكنك تعطيل أو التحكم في التمهيد الآمن
إذا كان هذا هو كل ما فعله التمهيد الآمن ، فلن تتمكن من تشغيل أي أنظمة تشغيل غير معتمدة من Microsoft على جهاز الكمبيوتر الخاص بك. ولكن يمكنك على الأرجح التحكم في التمهيد الآمن من برنامج UEFI الثابت لجهاز الكمبيوتر الخاص بك ، والذي يشبه BIOS على أجهزة الكمبيوتر القديمة.
هناك طريقتان للتحكم في التمهيد الآمن. أسهل طريقة هي التوجه إلى البرنامج الثابت UEFI وتعطيله بالكامل. لن يتم فحص برنامج UEFI الثابت للتأكد من أنه يقوم بتشغيل محمل إقلاع موقّع ، وسيتم تشغيل كل شيء. يمكنك بدء أي توزيع Linux أو حتى تثبيت Windows 7 ، والذي لا يدعم التمهيد الآمن. سيعمل نظاما التشغيل Windows 8 و 10 بشكل جيد ، وستفقد فقط المزايا الأمنية للتمهيد الآمن الذي يحمي عملية التمهيد.
يمكنك أيضًا تخصيص التمهيد الآمن بشكل أكبر. التحكم في التوقيع على الشهادات التي يوفرها Secure Boot. يمكنك تثبيت شهادات جديدة وحذف الشهادات الموجودة. على سبيل المثال ، قد تختار إحدى المؤسسات التي تعمل بنظام Linux على أجهزة الكمبيوتر الخاصة بها إزالة شهادات Microsoft وتثبيت شهادة المؤسسة الخاصة بدلاً من ذلك. ستقوم أجهزة الكمبيوتر هذه فقط بتمهيد برامج تحميل التشغيل المعتمدة والموقعة من قبل تلك المنظمة المحددة.
يمكن لأي شخص أيضًا القيام بذلك: يمكنك التوقيع على مُحمل إقلاع Linux الخاص بك والتأكد من أن جهاز الكمبيوتر الخاص بك يمكنه فقط تشغيل برامج تحميل التمهيد التي قمت بتجميعها وتوقيعها شخصيًا. هذا هو نوع التحكم والقوة اللذين يوفرهما Secure Boot.
ما تتطلبه Microsoft من الشركات المصنعة لأجهزة الكمبيوتر
لا تطلب Microsoft من بائعي أجهزة الكمبيوتر فقط تمكين التمهيد الآمن إذا كانوا يريدون ملصق شهادة “Windows 10” أو “Windows 8” الجميل على أجهزة الكمبيوتر الخاصة بهم. تطلب Microsoft من مصنعي أجهزة الكمبيوتر تنفيذها بطريقة معينة.
بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام Windows 8 ، كان على الشركات المصنعة أن تقدم لك طريقة لتعطيل Secure Boot. طلبت Microsoft من مصنعي أجهزة الكمبيوتر وضع مفتاح التبديل التلقائي للتمهيد الآمن في أيدي المستخدمين.
بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام Windows 10 ، لم يعد هذا مطلوبًا. يمكن لمصنعي أجهزة الكمبيوتر اختيار تمكين التمهيد الآمن وعدم منح المستخدمين طريقة لإيقاف تشغيله. ومع ذلك ، لسنا على علم بأي شركة مصنعة لأجهزة الكمبيوتر تقوم بذلك.
وبالمثل ، بينما يتعين على الشركات المصنعة لأجهزة الكمبيوتر تضمين المفتاح الأساسي “Microsoft Windows Production PCA” لنظام التشغيل Windows ، فإنها لا تحتاج إلى تضمين مفتاح “Microsoft Corporation UEFI CA”. يوصى بهذا المفتاح الثاني فقط. إنه المفتاح الاختياري الثاني الذي تستخدمه Microsoft للتوقيع على برامج تحميل تمهيد Linux. تشرح وثائق Ubuntu هذا.
بمعنى آخر ، لن تقوم جميع أجهزة الكمبيوتر بالضرورة بتمهيد توزيعات Linux الموقعة مع تمكين التمهيد الآمن. مرة أخرى ، من الناحية العملية ، لم نر أي جهاز كمبيوتر قام بذلك. ربما لا يريد أي مصنع للكمبيوتر الشخصي أن يصنع السطر الوحيد من أجهزة الكمبيوتر المحمولة التي لا يمكنك تثبيت Linux عليها.
في الوقت الحالي ، على الأقل ، يجب أن تسمح لك أجهزة الكمبيوتر العادية التي تعمل بنظام Windows بتعطيل التمهيد الآمن إذا كنت ترغب في ذلك ، ويجب عليها تشغيل توزيعات Linux التي تم توقيعها بواسطة Microsoft حتى إذا لم تقم بتعطيل Secure Boot.
تعذر تعطيل التمهيد الآمن في Windows RT ، لكن Windows RT مات
كل ما سبق ينطبق على أنظمة التشغيل القياسية Windows 8 و 10 على أجهزة Intel x86 القياسية. الأمر مختلف عن ARM.
في Windows RT ، إصدار Windows 8 لأجهزة ARM ، والذي تم شحنه على Surface RT و Surface 2 من Microsoft ، من بين أجهزة أخرى ، لا يمكن تعطيل Secure Boot. اليوم، بداية آمنة لا يزال لا يمكن تعطيل في هذا الجهاز ويندوز موبايل 10 ، وبعبارة أخرى، الهواتف بنظام التشغيل Windows 10.
ذلك لأن Microsoft أرادت أن تفكر في أنظمة Windows RT المستندة إلى ARM على أنها “أجهزة” ، وليس أجهزة كمبيوتر. كما أخبرت Microsoft Mozilla ، فإن Windows RT “لم يعد Windows.”
ومع ذلك ، فإن Windows RT قد مات الآن. لا يوجد إصدار من نظام تشغيل سطح مكتب Windows 10 لأجهزة ARM ، لذلك لم يعد عليك القلق بشأن هذا الأمر. ولكن ، إذا أعادت Microsoft أجهزة Windows RT 10 ، فمن المحتمل ألا تتمكن من تعطيل Secure Boot عليه.
