3

Предположим, у меня есть ПК с BIOS с общедоступными опциями или с UEFI. Есть ли способ изменить настройки, чтобы система Windows NT больше не загружалась (даже Windows PE, включая установочные DVD-диски Windows). Это должно быть достигнуто без воздействия на живые компакт-диски GNU/Linux или установленные системы GNU/Linux.

Спасибо за ваши ответы.

PS: Это своего рода идеалистический вопрос, и я надеюсь, что это не тема.

PPS: Я не хочу этого делать, это просто вопрос концепции.

2 ответа2

6

Я задал этот вопрос, чтобы люди могли повеселиться с последующим обсуждением.

Поскольку я публикую этот текст в качестве ответа, вот три возможных способа добиться этого:

  1. Использование UEFI Secure Boot, удаление ключа Microsoft и добавление ключей, используемых загрузчиками GNU/Linux (по словам Фрэнка Томаса)
  2. Использование другой процессорной архитектуры, отличной от x86 или совместимой с Windows 8 ARM, которая поддерживается ядром linux (ответ от winfreak).
  3. Использование настраиваемой coreboot (http://www.coreboot.org), которая запрещает загрузку Windows.
3

Чтобы подробно остановиться на варианте № 1 от FSMaxB, я написал здесь страницу (в основном) с пошаговыми инструкциями по замене ключей безопасной загрузки . Однако обратите внимание, что некоторые детали того, что выбрать в собственном пользовательском интерфейсе прошивки, будут зависеть от системы. Есть и другие способы достижения этой цели. Добавление новых ключей (как описано в ближайшее время) потребует действий, которые не описаны на этой странице.

Этот подход работает, чтобы ограничить возможности загрузки компьютера, но он заходит слишком далеко с точки зрения требований FSMaxB. В частности, он не только предотвращает загрузку Windows, но также предотвращает загрузку большинства живых компакт-дисков Linux. Я могу придумать несколько способов минимизировать эту проблему, но некоторые из них неудобны, и большинство из них работают только с дистрибутивами, поддерживающими безопасную загрузку:

  • Добавьте открытые ключи дистрибутивов к ключам Secure Boot на компьютере и настройте их процессы загрузки таким образом, чтобы обходить shim и загружать GRUB или другой загрузчик напрямую. Однако это требует изменения файлов на живых компакт-дисках, что является утомительной задачей для технически неопытных конечных пользователей.
  • Поместите копию rEFInd на жесткий диск. Это должно позволить перенаправить процесс загрузки в GRUB на live CD, минуя его копию shim. Теоретически это должно работать для всего, что использует shim, при условии, что ключ дистрибутива находится в списке ключей безопасной загрузки, который вы создали.
  • Поместите копию rEFInd на жесткий диск, запущенный с помощью PreBootloader Linux Foundation . Это позволит пользователям добавлять хэши для любого загрузчика в прошивку, позволяя им запускать любую версию Linux, даже если ее загрузчик и ядра не подписаны. Возможно, это также позволит им загружать Windows, но, по крайней мере, им придется явно одобрить это действие.
  • Поместите копию rEFInd на жесткий диск, запущенный через shim. Это не имеет никаких преимуществ по сравнению с базовой настройкой, за исключением того, что пользователям проще добавлять ключи (через список MOK shim). Вполне возможно, что наличие shim поможет с некоторыми загрузчиками.
  • Включите в набор ключей, которые вы добавляете в список безопасной загрузки, открытый ключ в паре с ключом, который Microsoft использует для подписи сторонних двоичных файлов. Поскольку Microsoft подписывает свои собственные продукты с другим ключом, это позволит встроенному программному обеспечению запускать сторонние инструменты, такие как Ubuntu 12.10 или Fedora 18, но не запускать собственную версию Microsoft Windows. Однако сторонние продукты на базе Windows могут быть подписаны сторонним ключом Microsoft и поэтому будут запущены. Обратите внимание, что на некоторых платах есть прошивка, подписанная этим ключом, поэтому для использования прошивки таких плат может потребоваться это действие.

Что касается предположения, что это плохая идея, я не согласен, при условии, что это то, чего действительно хочет владелец машины. Во времена DOS компьютеры часто заражались при случайной загрузке с дискеты, содержащей вирус загрузочного сектора. В принципе, то же самое может произойти сегодня через флешку или CD-R. Стоит отключить этот путь атаки, даже если он сегодня не распространен. Тем не менее, я бы не рекомендовал дарить или продавать такой компьютер, не объясняя получателю, что с ним было сделано, и не предоставляя инструкции о том, как отменить изменения, если это необходимо.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .