Linux opstarten en installeren op een UEFI pc met Secure Boot
Nieuwe Windows-pc's worden geleverd met UEFI-firmware en Secure Boot ingeschakeld. Secure Boot voorkomt dat besturingssystemen worden opgestart, tenzij ze worden ondertekend door een in UEFI geladen sleutel - out-of-the-box, alleen software die door Microsoft is ondertekend, kan worden opgestart.
Microsoft schrijft voor dat pc-leveranciers toestaan dat gebruikers Secure Boot uitschakelen, zodat u Secure Boot kunt uitschakelen of uw eigen aangepaste sleutel kunt toevoegen om deze beperking te omzeilen. Secure Boot kan niet worden uitgeschakeld op ARM-apparaten met Windows RT.
Hoe Secure Boot Works werkt
Pc's met Windows 8 en Windows 8.1 bevatten UEFI-firmware in plaats van het traditionele BIOS. Standaard start de UEFI-firmware van de machine alleen bootloaders die zijn ondertekend door een sleutel die is ingesloten in de UEFI-firmware. Deze functie staat bekend als "Secure Boot" of "Trusted Boot." Op traditionele pc's zonder deze beveiligingsfunctie kan een rootkit zichzelf installeren en de bootloader worden. Het BIOS van de computer laadt vervolgens de rootkit tijdens het opstarten, waardoor Windows wordt opgestart en geladen, zich verbergt voor het besturingssysteem en zichzelf op een diep niveau nestelt.
Secure Boot blokkeert dit - de computer zal alleen vertrouwde software opstarten, zodat kwaadwillende bootloaders het systeem niet kunnen infecteren.
Op een Intel x86 pc (geen ARM-pc's) hebt u controle over Secure Boot. U kunt ervoor kiezen om het uit te schakelen of zelfs uw eigen handtekeningsleutel toe te voegen. Organisaties kunnen hun eigen sleutels gebruiken om ervoor te zorgen dat alleen goedgekeurde Linux-besturingssystemen kunnen opstarten, bijvoorbeeld.
Opties voor het installeren van Linux
Je hebt verschillende opties om Linux te installeren op een pc met Secure Boot:
- Kies een Linux-distributie die Secure Boot ondersteunt: Moderne versies van Ubuntu - beginnend met Ubuntu 12.04.2 LTS en 12.10 - zullen normaal opstarten en installeren op de meeste pc's met Secure Boot ingeschakeld. Dit komt omdat Ubuntu's eerste EFI-opstartlader is ondertekend door Microsoft. Een Ubuntu-ontwikkelaar merkt echter op dat de opstartlader van Ubuntu niet is ondertekend met een sleutel die vereist is door het certificeringsproces van Microsoft, maar dat Microsoft alleen maar 'aanbevolen' zegt. Dit betekent dat Ubuntu mogelijk niet op alle UEFI-pc's opstart. Gebruikers moeten Secure Boot uitschakelen om Ubuntu op sommige pc's te gebruiken.
- Schakel Secure Boot uit: Secure Boot kan worden uitgeschakeld, wat zijn beveiligingsvoordelen zal inruilen voor de mogelijkheid om uw pc op te starten, net zoals oudere pc's met de traditionele BIOS dat doen. Dit is ook nodig als u een oudere versie van Windows wilt installeren die niet met Secure Boot is ontwikkeld, zoals Windows 7.
- Voeg een handtekeningsleutel toe aan de UEFI Firmware: Sommige Linux-distributies ondertekenen hun opstartladers met hun eigen sleutel, die u kunt toevoegen aan uw UEFI-firmware. Dit lijkt op dit moment niet gebruikelijk.
Je moet controleren om te zien welk proces je Linux-distributie naar keuze aanbeveelt. Als je een oudere Linux-distributie wilt opstarten die hier geen informatie over geeft, hoef je Secure Boot alleen maar uit te schakelen.
Je zou in staat moeten zijn om de meest recente versies van Ubuntu - de LTS-release of de nieuwste release - zonder problemen op de meeste nieuwe pc's te installeren. Zie de laatste sectie voor instructies over het opstarten vanaf een verwisselbaar apparaat.
Hoe Secure Boot uit te schakelen
U kunt Secure Boot besturen via het scherm UEFI Firmware-instellingen. Om toegang tot dit scherm te krijgen, moet je het Windows-menu met opstartopties openen. Open hiervoor de charm Instellingen - druk op Windows-toets + I om deze te openen - klik op de aan / uit-knop en houd de Shift-toets ingedrukt terwijl je je klikt op Opnieuw opstarten.
Uw computer zal opnieuw opstarten naar het geavanceerde opstartoptiescherm. Selecteer de optie Problemen oplossen, selecteer Geavanceerde opties en selecteer vervolgens UEFI-instellingen. (Mogelijk ziet u de UEFI-instellingenoptie niet op enkele Windows 8-pc's, zelfs als deze met UEFI worden geleverd - raadpleeg de documentatie van uw fabrikant voor informatie over hoe u in dit geval naar het UEFI-instellingsscherm kunt gaan.)
U wordt naar het UEFI-instellingenscherm geleid, waar u kunt kiezen om Secure Boot uit te schakelen of uw eigen sleutel toe te voegen.
Opstarten van verwijderbare media
Je kunt opstarten vanaf verwisselbare media door op dezelfde manier naar het menu met opstartopties te gaan - houd Shift ingedrukt terwijl je op de optie Opnieuw opstarten klikt. Voer uw gewenste opstartapparaat in, selecteer Een apparaat gebruiken en selecteer het apparaat waarvan u wilt opstarten.
Na het booten vanaf het verwijderbare apparaat, kunt u Linux installeren zoals u dat normaal zou doen of gewoon de live omgeving van het verwijderbare apparaat gebruiken zonder het te installeren.
Houd er rekening mee dat Secure Boot een nuttige beveiligingsfunctie is. U moet dit ingeschakeld laten tenzij u besturingssystemen moet gebruiken die niet kunnen opstarten met Secure Boot ingeschakeld.