Infelizmente, isso também impede que você instale algumas distribuições Linux, o que pode ser um pouco trabalhoso.
Como a inicialização segura protege o processo de inicialização do seu PC
O Secure Boot não é projetado apenas para tornar o Linux em execução mais difícil. Há vantagens reais de segurança para ativar o Secure Boot e até mesmo os usuários do Linux podem se beneficiar deles.
Um BIOS tradicional irá inicializar qualquer software. Quando você inicializa seu computador, ele verifica os dispositivos de hardware de acordo com a ordem de inicialização que você configurou e tenta inicializar a partir deles. Os PCs típicos normalmente encontrarão e inicializarão o gerenciador de inicialização do Windows, que continua inicializando o sistema operacional Windows completo. Se você usar o Linux, o BIOS encontrará e inicializará o carregador de inicialização GRUB, que a maioria das distribuições Linux usa.
No entanto, é possível que um malware, como um rootkit, substitua seu gerenciador de inicialização. O rootkit pode carregar seu sistema operacional normal sem nenhuma indicação de que algo esteja errado, permanecendo completamente invisível e indetectável em seu sistema. O BIOS não sabe a diferença entre malware e um gerenciador de inicialização confiável - ele apenas inicializa o que encontrar.
Inicialização segura é projetada para parar isso. Os PCs com Windows 8 e 10 são fornecidos com o certificado da Microsoft armazenado no UEFI. A UEFI verificará o carregador de boot antes de iniciá-lo e garantir que ele seja assinado pela Microsoft. Se um rootkit ou outro malware substituir o carregador de boot ou adulterá-lo, o UEFI não permitirá que ele seja inicializado. Isso evita que o malware seqüestre seu processo de inicialização e se esconda do seu sistema operacional.
Como a Microsoft permite que as distribuições Linux sejam inicializadas com inicialização segura
Distribuições Linux geralmente têm um “shim” assinado. O shim é um pequeno gerenciador de inicialização que simplesmente inicializa o gerenciador de inicialização GRUB principal das distribuições Linux. O shim assinado pela Microsoft verifica se ele está inicializando um gerenciador de inicialização assinado pela distribuição do Linux e, em seguida, a distribuição do Linux inicializa normalmente.
O Ubuntu, o Fedora, o Red Hat Enterprise Linux e o openSUSE atualmente suportam o Secure Boot e funcionarão sem nenhum ajuste no hardware moderno. Pode haver outros, mas esses são os que estamos cientes. Algumas distribuições Linux são filosoficamente contrárias à solicitação de assinatura pela Microsoft.
Como você pode desativar ou controlar a inicialização segura
Existem duas maneiras de controlar a inicialização segura. O método mais fácil é ir ao firmware UEFI e desativá-lo completamente. O firmware da UEFI não será verificado para garantir que você está executando um gerenciador de inicialização assinado e tudo será inicializado. Você pode inicializar qualquer distribuição do Linux ou até instalar o Windows 7, que não suporta inicialização segura. O Windows 8 e o 10 funcionarão bem, você perderá as vantagens de segurança de ter o Secure Boot protegido seu processo de inicialização.
Você também pode personalizar ainda mais a inicialização segura. Você pode controlar quais certificados de assinatura o Secure Boot oferece. Você é livre para instalar novos certificados e remover certificados existentes. Uma organização que executava o Linux em seus PCs, por exemplo, poderia optar por remover os certificados da Microsoft e instalar o próprio certificado da organização em seu lugar. Esses PCs, então, apenas inicializariam os carregadores de boot aprovados e assinados por essa organização específica.
Um indivíduo pode fazer isso também - você pode assinar seu próprio gerenciador de inicialização do Linux e garantir que o seu PC possa apenas inicializar carregadores de inicialização que você pessoalmente compilou e assinou. Esse é o tipo de controle e poder que o Secure Boot oferece.
O que a Microsoft exige dos fabricantes de PCs
A Microsoft não exige apenas que os fornecedores de PC ativem o Secure Boot, se quiserem um adesivo de certificação legal "Windows 10" ou "Windows 8" em seus computadores. A Microsoft exige que os fabricantes de PCs a implementem de maneira específica.
Para PCs com Windows 8, os fabricantes precisavam fornecer uma maneira de desativar o Secure Boot. A Microsoft exigiu que os fabricantes de PCs colocassem um interruptor de segurança na mão dos usuários.
Para PCs com Windows 10, isso não é mais obrigatório. Os fabricantes de PCs podem optar por habilitar o Secure Boot e não dar aos usuários uma maneira de desativá-lo. No entanto, não estamos cientes de nenhum fabricante de PC que faz isso.
Da mesma forma, enquanto os fabricantes de PC precisam incluir a chave principal "Microsoft PC Production Production" da Microsoft para que o Windows possa inicializar, eles não precisam incluir a chave "Microsoft Corporation UEFI CA". Esta segunda chave é apenas recomendada. É a segunda chave opcional que a Microsoft usa para assinar carregadores de inicialização do Linux. A documentação do Ubuntu explica isso.
Em outras palavras, nem todos os PCs necessariamente inicializarão as distribuições assinadas do Linux com o Secure Boot ativado. Mais uma vez, na prática, não vimos nenhum computador que fez isso. Talvez nenhum fabricante de PCs deseje criar a única linha de laptops na qual você não pode instalar o Linux.
Por enquanto, pelo menos, os PCs com Windows tradicionais devem permitir que você desative o Boot Seguro, se preferir, e eles devem inicializar as distribuições do Linux que foram assinadas pela Microsoft, mesmo que você não desabilite o Secure Boot.
A inicialização segura não pode ser desativada no Windows RT, mas o Windows RT está inoperante
No Windows RT - a versão do Windows 8 para hardware ARM, fornecida com o Surface RT e Surface 2 da Microsoft, entre outros dispositivos, a inicialização segura não pôde ser desativada. Hoje, o Secure Boot ainda não pode ser desativado no hardware do Windows 10 Mobile. Em outras palavras, os telefones que executam o Windows 10.
Isso porque a Microsoft queria que você pensasse em sistemas Windows RT baseados em ARM como "dispositivos" e não como PCs. Como a Microsoft disse à Mozilla, o Windows RT "não é mais o Windows".
No entanto, o Windows RT está morto. Não há uma versão do sistema operacional de área de trabalho do Windows 10 para hardware ARM, portanto, isso não é algo com o qual você precise se preocupar mais. Mas, se a Microsoft trouxer o hardware do Windows RT 10, você provavelmente não conseguirá desativar o Secure Boot nele.