Para elaborar a opção # 1 do FSMaxB, escrevi uma página com (na maior parte) instruções passo a passo para substituir as chaves de inicialização segura aqui. Observe, no entanto, que alguns dos detalhes do que selecionar na própria interface do usuário do firmware serão específicos do sistema. Existem também outras maneiras de atingir esse objetivo. Adicionar novas chaves (conforme descrito em breve) exigirá etapas não documentadas nessa página.
Essa abordagem funciona para limitar o que o computador pode inicializar, mas vai um pouco longe demais, em termos dos requisitos do FSMaxB. Especificamente, isso não apenas impede o Windows de inicializar, mas também impede que a maioria dos CDs ao vivo do Linux seja inicializada. Posso pensar em várias maneiras de minimizar esse problema, mas algumas delas são difíceis e a maioria delas funciona apenas em distribuições habilitadas para Inicialização segura:
- Adicione as chaves públicas das distribuições às chaves de Inicialização Segura no computador e ajuste seus processos de inicialização para contornar a correção e inicializar o GRUB ou algum outro carregador de inicialização diretamente. Isso requer a alteração de arquivos nos live CDs, o que é uma tarefa tediosa para usuários finais tecnicamente não seguros.
- Coloque uma cópia de rEFInd no disco rígido. Isso deve permitir redirecionar o processo de inicialização para o GRUB em um live CD, ignorando sua cópia do shim. Em teoria, isso deve funcionar para qualquer coisa que use shim, desde que a chave da distribuição esteja na lista de chaves de inicialização segura que você criou.
- Coloque uma cópia do rEFInd no disco rígido, lançado por meio do PreBootloader da Linux Foundation <. / a> Isso permitirá que os usuários adicionem hashes para qualquer carregador de boot ao firmware, permitindo que eles iniciem qualquer versão do Linux, mesmo se o carregador de inicialização e os kernels não estiverem assinados. Isso provavelmente também permitiria a inicialização do Windows também, mas pelo menos eles teriam que aprovar explicitamente essa ação.
- Coloque uma cópia do rEFInd no disco rígido, iniciada por meio de shim. Isso não tem nenhuma vantagem sobre a configuração básica, exceto que torna mais fácil para os usuários adicionar chaves (via lista MOK do shim). É concebível que a presença de shim ajudaria com alguns carregadores de inicialização, no entanto.
- Inclua no conjunto de chaves que você adiciona à lista Inicialização segura a chave pública que está emparelhada com a que a Microsoft usa para assinar binários de terceiros. Como a Microsoft assina seus próprios produtos com uma chave diferente, isso permitirá que o firmware inicie ferramentas de terceiros, como o Ubuntu 12.10 ou o Fedora 18, mas não abra a própria versão do Windows da Microsoft. Os produtos baseados em Windows de terceiros, no entanto, podem ser assinados com a chave de terceiros da Microsoft e, portanto, seriam iniciados. Observe que algumas placas de plug-in têm firmware que é assinado com essa chave também, portanto, essa ação pode ser necessária para usar o firmware dessas placas.
Quanto à sugestão de que esta é uma má idéia, eu discordo, desde que seja o que o dono da máquina realmente quer. Nos dias do DOS, era comum os computadores serem infectados ao inicializar acidentalmente um disquete que continha um vírus do setor de inicialização. Em princípio, a mesma coisa pode acontecer hoje através de uma unidade flash USB ou CD-R. Desligar essa avenida de ataque, mesmo que não seja comum hoje em dia, vale a pena. Dito isso, eu não recomendaria presentear ou vender um computador desse tipo sem deixar claro ao destinatário o que foi feito e fornecer instruções sobre como desfazer as alterações, se desejar.