上周,我提醒了读者如何去做微软要求oem默认实现UEFI安全引导安装在新的Windows 8机器上。Linux社区几个月来一直担心安全引导会将Linux锁在PC硬件上,当微软宣布所有新的Windows 8硬件都需要安全引导时,危险信号出现了。上周晚些时候,微软回应他在一篇博客文章中对这些问题发表了看法,声明引导系统提供了多少安全保障,并表示如何最好地实现引导取决于原始设备制造商。
在我看来,情况仍处于观望模式。OEM将被赋予自由来使安全引导成为选项 - 并仍然有资格获得Windows 8徽标吗?在积极的一面,新闻报道创建的Firestorm导致微软才能公开宣布更柔软的位置。Microsoft指出,Samsung Windows 8开发人员平板电脑放弃了Buid Senderees,包括一个选择安全启动的选项。当然,在专门制作的平板电脑中为开发人员提供此选项,旨在鼓励他们为Windows 8开发出来的意义。当他们开发Windows 8软件时,您不希望开发人员锁定在平板电脑上的加载驱动程序。如果他们无法关闭安全启动,那么键必须以某种方式分布和管理,经典的PKI系统困境。
但问题从来不在于原始设备制造商不具备关闭安全启动的技术能力。问题在于,微软在其BUILD会议上告诉oem,如果他们的系统设计不默认使用安全引导,这些系统就没有资格使用Windows 8标识程序及其提供的所有好处。
不清楚——现在也不清楚——微软这句话是什么意思。目前还不清楚,oem是否会向用户分发必要的密钥,这样用户就可以使用安全引导,并且仍然可以在Windows 8硬件上加载他们自己选择的驱动程序和/或操作系统。目前还不清楚,有多少原始设备制造商不会提供一种简单的方法来禁用安全引导,并只包含微软的密钥,从而完全禁止在机器上加载Windows以外的操作系统。
上周,微软暗示答案是否定的:符合windows 8标识的原始设备制造商可以添加一个关闭开关,以确保安全启动而无需罚款。但是公司从来没有直接说出来。这篇由史蒂文·辛诺夫斯基(Steven Sinofsky)撰写的帖子写道:
"At the end of the day, the customer is in control of their PC. Microsoft’s philosophy is to provide customers with the best experience first, and allow them to make decisions themselves. We work with our OEM ecosystem to provide customers with this flexibility. The security that UEFI has to offer with secure boot means that most customers will have their systems protected against boot loader attacks. For the enthusiast who wants to run older operating systems, the option is there to allow you to make that decision. .... However, doing so comes at your own risk. OEMs are free to choose how to enable this support and can further customize the parameters as described above in an effort to deliver unique value propositions to their customers."
与此同时……目前没有Linux发行版支持安全引导,但是红帽公司的马修·加勒特说这还不是一个问题,因为1)没有硬件支持它,2)添加它只需要一周的工作。
加勒特坚称,第一轮Windows 8个人电脑将是“买家当心”。他指出,虽然微软要求启用安全引导,但它并不要求oem厂商提供禁用安全引导的方法。他说,红帽公司已经从一些原始设备制造商那里听说,他们的Windows 8电脑上没有禁用选项。
如果用户购买的系统没有办法关闭安全引导,并且只安装了微软的密钥,那么他们将无法加载Linux或任何其他非微软操作系统。如果用户购买的系统允许安全引导被禁用,但只安装了微软的密钥,那么如果他们想运行未签名的操作系统或驱动程序,就必须放弃安全引导提供的rootkit保护。
同样,企业IT专业人员应该让他们的原始设备制造商知道,他们希望决定权掌握在自己手中,而不是操作系统供应商手中。你不应该为了拥有对自己的电脑舰队的权限而放弃安全启动的好处。