Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de bootbeveiliging die in Windows 10 geen verplichte ‘uit-knop’ meer heeft. Pc-makers mogen van Microsoft kiezen of ze Secure Boot verplichten.
Microsoft verstevigt de beveiliging van het pc-bootproces voor de deze zomer komende Windows-versie. Waar Secure Boot in Windows 8 nog een verplichte uitschakeloptie had voor computerfabrikanten, is die ‘uit-knop’ in Windows 10 geheel optioneel voor de oem’s (original equipment manufacturers). De voorschriften voor Secure Boot zijn onderdeel van de regels voor pc- en tabletproducenten om het logo ‘Ontworpen voor Windows 8’ te mogen voeren op hun producten.
Voor Windows 10 mogen oem’s zelf bepalen of ze wel of geen uitschakeloptie bieden in de uefi-firmware voor hun desktops, laptops en tablets. Microsoft heeft dit bekend gemaakt op zijn oem-conferentie Winhec in China. Het gaat hier wel om voorlopige hardwarevereisten, dus de verandering voor Secure Boot kan zelf nog veranderen, merkt Ars Technica op.
Secure Boot voorkomt het starten van software die door bijvoorbeeld malware is gewijzigd. Daarvoor controleert de bootbeveiliging het besturingssysteem aan de hand van een digitale handtekening en bijbehorend certificaat. Alternatieve besturingssystemen zoals Linux en BSD moeten voor Secure Boot een eigen handtekening en certificaat aanvragen bij VeriSign. Deze hardwarebeveiliging van Microsoft is dus niet onomstreden en wordt nu gezien als bewuste buitensluiting van Windows-alternatieven. Secure Boot zorgt uiteindelijk wel voor meer veiligheid. Wat vind jij?
Oem’s zoals Acer mogen met Windows 10 zelf bepalen of ze hun klanten een uitschakeloptie voor Secure Boot geven.
Gewoon een dubbele agenda.
MicroSoft is zo machtig dat zij in staat is computer fabrikanten ertoe te dwingen voorzieningen te treffen om haar inherent onveilige systeem door te drukken.
Het lost het probleem gewoon niet op. Immers het probleem is dat gebruikers applicaties kenlijk in staat zijn de stabiliteit van het systeem te ondermijnen (voor zover dat niet al door het systeem zelf dan wel door onkunde van de beheerders gebeurd)
De noodzaak om een besturings systeem te certificeren ondermijnt de mogelijkheid om alternatieve systemen te gebruiken of zelfs maar een eigen kernel te instaleren.
Voor het gewone klootjes volk dat RedHat of SuSe Linux wil draaien niet zo’n punt, maar zodra je wat anders wilt omdat je bv een eigen kerneldriver hebt gebakken begin je toch in de problemen te geraken.
Nu ja je kan dat SecureBoot systeem uitzetten.
Windows zal er iig niet veiliger van worden.
Mischien is het een slimmer idee MicroSoft applicaties te laten signeren en Windows zo aanpassen dat het enkel nog gesigneerde programma’s kan uitvoeren/instaleren.
Maar ja.. daar heeft MicroSoft commercieel gezien natuurlijk enkel nadeel van.
Ten eerste is “secure boot” niet zo secure als men wil laten geloven.
Ten tweede kun je er omheen / mee leven.
http://www.linuxfoundation.org/publications/making-uefi-secure-boot-work-with-open-platforms
http://www.howtogeek.com/175641/how-to-boot-and-install-linux-on-a-uefi-pc-with-secure-boot/
http://www.linuxjournal.com/content/growing-role-uefi-secure-boot-linux-distributions
http://www.zdnet.com/article/torvalds-clarifies-linuxs-windows-8-secure-boot-position/
http://www.zdnet.com/article/linux-mint-17-hands-on-with-uefi-secure-boot/
http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
Uit zetten is toch beter, bios/uefi is nog niet echt volwassen geworden helaas, “secure boot” is nog steeds een lapmiddel.
Microsoft doet weer eens aan concurrentie vervalsing.
Boycotten die hap.
De preview versies van Windows 10 krijg je vanaf versie 10130 niet meer geïnstalleerd op systemen waar de BIOS geen optie heeft voor Secure Boot. De installatie loopt na de eerste boot gewoon vast. Helaas kun je hierna geen enkel besturingssysteem meer opstarten omdat ook je Master Boot Records (MBR’s) zijn verwijderd.