La maggior parte dei moderni sistemi basati su Windows 8.1 o Windows 10 utilizzano la funzionalità chiamata Secure Boot che risulta abilitata di default.
Secure Boot è parte integrante di UEFI, successore del tradizionale BIOS e si occupa di “monitorare” la fase di avvio del sistema autorizzando esclusivamente l’esecuzione di software approvato dal produttore dell’hardware.
Secure Boot, se abilitato, controlla la presenza di una firma digitale conosciuta all’interno del software che si sta avviando o installando all’accensione della macchina e blocca tutti gli elementi sprovvisti di firma o dotati di firma sconosciuta.
Sebbene le principali distribuzioni Linux abbiano provveduto a gestire il problema implementando una firma digitale “apprezzata” da Secure Boot, sono moltissimi gli strumenti di diagnostica che ad oggi non usano alcuna firma digitale e il cui caricamento, all’avvio, viene puntualmente bloccato.
Come sapere se Secure Boot è attivo
Nell’articolo abbiamo visto, nel dettaglio, che cos’è Secure Boot e come disabilitarlo in caso di necessità.
Ma come fare per verificare se Secure Boot è abilitato sul sistema in uso?
Senza riavviare la macchina e accedere a UEFI, è possibile sapere se Secure Boot è in uso senza abbandonare l’ambiente Windows.
La procedura è molto semplice e prevede l’impiego, in alternativa, dell’utilità di sistema System Information oppure di PowerShell.
Per procedere, è sufficiente premere la combinazione di tasti Windows+R
quindi digitare msinfo32
e premere Invio.
Nella sezione Risorse di sistema, si troverà la voce Stato avvio protetto: se la voce reca l’indicazione Non supportato significa che il sistema in uso non supporta Secure Boot e che quindi, verosimilmente, usa un BIOS legacy (non UEFI).
Le indicazioni On e Off, invece, rivelano che la funzionalità Secure Boot è – rispettivamente – abilitata o disabilitata.
La stessa verifica può essere effettuata aprendo il prompt dei comandi con i diritti di amministratore (Windows+X
sulle più recenti versioni di Windows, Prompt dei comandi (amministratore); digitare cmd
nella casella di ricerca di Windows 7, cliccare con il tasto destro su cmd e scegliere Esegui come amministratore).
Dopo aver digitato, al prompt, il comando powershell
, si dovrà scrivere quanto segue e premere Invio:
Nel caso in cui si ottenesse il messaggio d’errore Confirm-SecureBootUEFI: Cmdlet non supportato in questa piattaforma, significa che Secure Boot non è supportato.
Viceversa, si otterrà il messaggio Vero quando la funzionalità risulta abilitata; Falso quando appare disattivata.
Sui sistemi che supportano Secure Boot, per attivare o disattivare la funzionalità basta riavviare la macchina, accedere al BIOS UEFI, portarsi nelle opzioni di boot, individuare l’impostazione Secure, Secure Boot o Secure Boot Mode ed effettuare la variazione desiderata.
Qualche mese fa ha destato scalpore la notizia della pubblicazione della cosiddetta golden key del Secure Boot: La golden key del Secure Boot è stata pubblicata online.