Требования к подписи драйверов в Windows 11: функция безопасности, которая ограничивает свободу пользователя и ухудшает его взаимодействие с системой

Техника
By Мерван Редха

Несомненно, Windows 11, самая распространённая в мире настольная операционная система, имеет свои проблемы. Однако, несмотря на эти проблемы, это самая совершенная версия операционной системы компании, несмотря на нежелательные дополнения, которые побудили многих пользователей либо… Оставайтесь на Windows 10 как можно дольше или даже Вместо этого перейдите на LinuxОднако есть один аспект Windows, который всегда меня беспокоил. Это давняя политика Microsoft, требующая наличия цифровой подписи у драйверов перед их загрузкой операционной системой.

Среда восстановления Windows 11

Проще говоря, драйвер — это низкоуровневый код (часто работающий в ядре операционной системы), позволяющий оборудованию или программному обеспечению взаимодействовать с Windows. Подписанный драйвер включает в себя криптографическую подпись доверенного центра (например, сертификат Microsoft или, в прошлом, одобренный Microsoft центр сертификации), подлинность и целостность которой Windows проверяет перед запуском. Эта реализация подписи драйверов развивалась на протяжении десятилетий, став обязательным посредником в этом процессе, и имеет двойственную природу.

С одной стороны, это, несомненно, повышает безопасность, предотвращая работу вредоносного ПО на столь глубоком уровне (во всяком случае, без надлежащего сертификата, который можно украсть), но с другой стороны, ограничивает контроль пользователя и требует соблюдения правил Microsoft. Это противоречит свободе пользователя, но также имеет очевидные преимущества. Это одна из лучших функций безопасности в Windows, но само её существование по своей сути направлено против потребителей.

Что такое подписи водителей?

Подписи драйверов — это цифровые сертификаты, выдаваемые Microsoft или другим доверенным органом для драйверов устройств. Эти подписи подтверждают подлинность драйвера и отсутствие в нём изменений после публикации производителем устройства. Это своего рода цифровая печать одобрения, гарантирующая целостность и надёжность драйвера.

Другими словами, это способ проверить подлинность издателя драйвера и убедиться, что программное обеспечение не было изменено. Это чрезвычайно важно, поскольку драйверы работают глубоко в операционной системе, и если драйвер вредоносный или нестабильный, он может вызвать серьёзные проблемы, такие как сбои системы или даже уязвимости безопасности.

При установке подписанного драйвера Windows проверяет подпись, прежде чем разрешить установку. Если подпись действительна, это означает, что драйвер протестирован и сертифицирован Microsoft или другой доверенной стороной и безопасен для установки. Если подпись недействительна или отсутствует, Windows предупредит вас, что драйвер может быть небезопасен или несовместим с вашей системой.

Почему подписи водителей важны?

  1. Безопасность: Предотвращает установку вредоносных или модифицированных драйверов, которые могут подвергнуть риску вашу систему.
  2. Стабильность: Гарантирует, что драйверы совместимы с Windows и не вызовут проблем в системе.
  3. надежность: Указывает, что драйвер протестирован и сертифицирован корпорацией Microsoft или другой доверенной стороной.

В целом, подписи драйверов — важный механизм безопасности, который помогает защитить вашу систему от вредоносных программ и обеспечивает её стабильность и надёжность. Поэтому всегда лучше устанавливать только подписанные драйверы.

Долгая история защиты

Проверьте результаты драйвера в LatencyMon

Подписание драйвера является ключевой частью функции обеспечения целостности кода Microsoft, который был впервые представлен в эпоху Windows Vista Это стало обязательным с Windows 10, версия 1607. Концепция проста и понятна: любой код, работающий в ядре, должен нести Windows (известный как «Ring 0») Действительная цифровая подпись от доверенного центра. Согласно документации Microsoft Официально целостность кода «повышает безопасность операционной системы, проверяя целостность драйвера или системного файла каждый раз при его загрузке в память», а в версиях Windows 64-битные версии «драйверы режима ядра должны иметь цифровую подпись». На практике это означает, что Windows Любому водителю, не имеющему признанного сертификата, будет отказано в загрузке.

Как и в других операционных системах, ядро ​​(ntoskernel.exe, или ядро Windows NT) — это ядро ​​операционной системы с наивысшими привилегиями, поэтому предотвращение запуска несанкционированного кода в этой области критически важно. Цифровые подписи гарантируют, что драйвер был опубликован конкретным разработчиком и с тех пор не подвергался изменениям. Проще говоря, неподписанные или вредоносно изменённые драйверы не будут установлены в рамках политики по умолчанию, и с точки зрения безопасности это полезно, поскольку защищает как потребителей, так и компании.

На практике это означает, что законные поставщики и разработчики оборудования проходят процедуру подписания своих драйверов, а в Windows В современном мире это часто подразумевает получение расширенного сертификата проверки и отправку водителя в Microsoft Одобрить его. Если код попытается выполниться в ядре без этого одобрения, вы увидите ошибку, похожую на «Невозможно Windows Проверьте цифровую подпись драйверов, необходимых для этого устройства». Это предотвращает целый класс атак, при которых вредоносное ПО может установить руткит или вредоносный драйвер, чтобы получить полный контроль над системой. Windows В 64-битной системе загрузка драйвера устройства — это, по сути, единственный поддерживаемый способ выполнения произвольного кода в ядре, и это полностью невозможно для неподписанных исполняемых файлов.

А как насчёт администратора? Даже учётные записи с таким уровнем привилегий не являются исключением. Независимо от вашей личности, вы не можете загрузить неподписанный драйвер на Windows 64-битная. Единственный способ отключить её — использовать параметр загрузки «Отключить обязательную проверку подписи драйверов», который будет сброшен при следующей загрузке, или использовать Bcdedit Полностью отключить проверку. Это подстраховка, которую я установил. Microsoft Даже владелец компьютера не должен обходить его стороной.

За последние годы Microsoft ужесточила требования.

На протяжении многих лет Microsoft постепенно ужесточала требования к операционной системе Windows, стремясь обеспечить более плавный и безопасный пользовательский опыт. Эти изменения отражают непрерывный технологический прогресс, потребность в повышении производительности и усилении защиты от растущих угроз безопасности. С каждой новой версией Windows Microsoft повышает минимальные требования, необходимые для эффективной работы системы, уделяя особое внимание процессору, оперативной памяти (ОЗУ) и объёму хранилища, а также поддержке новейших технологий, таких как доверенный платформенный модуль (TPM).

Это ужесточение требований напрямую влияет на пользователей, поскольку некоторые из них могут обнаружить, что их старые устройства не поддерживают последние версии Windows. Однако этот шаг позволяет Microsoft внедрять новые и улучшенные функции, повышать общую производительность системы и обеспечивать более высокий уровень безопасности. Например, для некоторых расширенных функций Windows 11 требуются современные процессоры с поддержкой определённых инструкций, а также наличие модуля TPM 2.0 для повышения безопасности и защиты данных.

Кроме того, ужесточение требований позволяет Microsoft сосредоточиться на поддержке современных устройств и улучшении совместимости с новейшими технологиями, что в целом улучшает пользовательский опыт. Хотя это может создавать некоторые неудобства для пользователей старых устройств, это гарантирует, что пользователи, обновляющие свои устройства или приобретающие новые, получат максимальную производительность и безопасность операционной системы Windows.

Все началось с простого инструмента для проверки драйверов устройств.

Графический пользовательский интерфейс для проверки драйверов в Windows 2000

Путь Microsoft к обязательной цифровой подписи драйверов устройств начался в середине 2000-х годов на фоне растущей обеспокоенности по поводу шпионского ПО, руткитов и нестабильности операционной системы. Начиная с Windows XNUMX, Driver Verifier представлял собой программу командной строки, которая могла использоваться для проверки драйверов устройств на наличие недопустимых функций и обнаружения ошибок. Обновление с графическим интерфейсом совпало с выходом Windows XP. В то время подписывание драйверов существовало, но не было строго обязательным, хотя можно было настроить параметр групповой политики, чтобы полностью запретить установку, предупреждать пользователя, но разрешить установку, или просто установить драйвер в фоновом режиме.

Ситуация изменилась с появлением 64-разрядных версий Windows. Начиная с Windows Vista (и вплоть до Windows XP x64 Edition в ограниченной версии), Хотя вы можете самостоятельно подписать сертификат,), 64-разрядные системы Windows требовали подписи определений режима ядра в рамках более широкой инициативы безопасности, которая также включала защиту от исправлений ядра (Kernel Patch Protection), неофициально называемую PatchGuard. Введение обязательной подписи в Vista x64 вызвало споры в то время, но заявленной целью Microsoft было устранение Целые классы вредоносных программ и, согласно некоторым сообщениям того времени, защита от цифровых прав (DRM).

Не секрет, что требование подписи драйверов устройств отвечает интересам многих представителей отрасли. Это также означало, что в то время Microsoft фактически могла заставить компании платить за лицензию на распространение своих драйверов. В противном случае эти драйверы просто не были бы установлены на большинстве устройств. С тех пор требования стали более строгими, и, как мы уже упоминали, Windows 10 версии 1607 потребовала, чтобы драйверы были… جميع Определения подписаны сертификатом Microsoft.

Windows 11, для которой требуется Безопасная загрузка UEFI Модуль TPM, по умолчанию используемый в новых системах, удваивает гарантию надёжности загрузки и аутентификации драйверов. Другими словами, в современной Windows есть центральный орган (Microsoft), который определяет, какой низкоуровневый код разрешён к запуску. В результате злоумышленникам становится гораздо сложнее проникнуть в систему, поскольку Microsoft (и несколько поставщиков сертификатов) удобно позиционированы как контролёры платформы Windows.

Microsoft стремится защитить ядро ​​любой ценой.

Microsoft постоянно работает над повышением безопасности операционной системы Windows, и защита ядра является одним из главных приоритетов. Ядро — это сердце операционной системы, и любое его нарушение означает полный контроль над устройством. Поэтому Microsoft вкладывает значительные средства в технологии и программное обеспечение, направленные на предотвращение несанкционированного доступа к ядру посредством многоуровневой защиты.

Эти усилия включают использование таких технологий, как Kernel Patch Protection, предотвращающая несанкционированное внесение изменений в ядро, и Virtualization-Based Security, изолирующая конфиденциальные процессы в безопасной виртуальной среде. Microsoft также разрабатывает передовые инструменты анализа для обнаружения любых попыток взлома ядра в режиме реального времени.

Безопасность ядра — постоянная проблема, особенно в связи с развитием методов кибератак. Поэтому Microsoft стремится постоянно обновлять и развивать свои механизмы безопасности, чтобы гарантировать безопасность и надёжность Windows. Это обязательство отражает признание корпорацией Microsoft важности ядра для сохранения целостности данных и устройств пользователей.

Даже если это означает, что обычные разработчики тоже не смогут его использовать.

Показывает папку пользователя Windows в Windows 11

Для ясности: существуют веские аргументы в пользу того, что принудительное подписывание драйверов значительно повысило безопасность операционной системы Windows. Блокировка неподписанных драйверов блокирует все типы цифровых атак, такие как руткиты и вредоносное ПО уровня ядра, которые в противном случае могли бы быть скрыты от антивирусных программ. В прошлом многие из самых продвинутых вредоносных программ пытались маскироваться под драйверы, чтобы получить доступ к памяти или изменить систему на глубоком уровне. Сегодня, если у вредоносной программы нет украденного или скомпрометированного цифрового сертификата, она просто не сможет загрузить драйвер в полностью пропатченной 64-разрядной системе Windows — это гораздо более высокий барьер, чем во времена Windows XP. Если неподписанный драйвер будет обнаружен при загрузке, система просто не запустится.

Современные античит-системы для онлайн-игр также получили значительную выгоду от требований к подписи драйверов Windows. Во многих соревновательных играх многие из самых продвинутых разработчиков читов пытаются запускать свои читы в режиме ядра, чтобы избежать обнаружения пользовательскими античит-средствами. Именно поэтому Easy-AntiCheat, Faceit и Бунт Авангард Многие другие античит-решения устанавливают собственные драйверы ядра в рамках своего античит-пакета. Эти античит-программы работают с уровнем привилегий, даже более высоким, чем у администратора (помните, что даже администратор не может установить неподписанный драйвер?), чтобы отслеживать читерство в системе, блокировать доступ к игровой памяти и гарантировать, что код игры не был подменен. Подпись драйверов — важнейшая часть этой защитной линии, которую разработчики выстраивают вокруг своих игр. Поскольку Windows отклоняет любой драйвер без надлежащей подписи, разработчики читов не могут просто создать собственный драйвер ядра и загружать его случайным образом, чтобы обойти античит, так как операционная система этого не допустит.

Классификация моделей на экране с помощью ИИ в Valorant

В ответ на это поставщики читов и разработчики вредоносного ПО начали искать уязвимости, демонстрирующие эффективность подбора драйверов. Один из распространённых методов известен как BYOVD (Bring Your Own Vulnerable Driver), когда злоумышленники находят подписанный драйвер с известными уязвимостями. Легитимный драйвер загружается, принимается Windows, а затем уязвимости эксплуатируются для выполнения кода в ядре. Один из таких примеров: Неправильное использование драйвера Lenovo Mapper, развертывает неподписанный чит-драйвер и отключает проверку Riot Vanguard TPM.

Это также относится к атакам с прямым доступом к памяти (DMA) и читерству. DMA позволяет устройствам получать прямой доступ к системной памяти, минуя центральный процессор, что потенциально позволяет вспомогательному компьютеру читать данные из памяти игры или записывать в неё. Однако в Windows есть защита DMA ядра, которая использует IOMMU для предотвращения несанкционированного доступа устройств PCIe к памяти. Только устройства с Драйверы, совместимые с DMA Remapping Он способен на это, и, опять же, эта функция драйвера защищена в рамках политики подписи Microsoft. Добавьте к этому функцию безопасной загрузки, которая предотвращает внедрение вредоносных программ или чит-загрузчиков во время загрузки до запуска Windows, а также проверку загрузки на основе TPM, и вы получите высокозащищённую среду, учитывая, что это компьютер, управляемый пользователем.

Этот метод применим не только к читерству в играх. Существует множество примеров программ-вымогателей, которые используют драйверы для отключения функций безопасности системы и загрузки вредоносного кода в ядро, фактически перенося поверхность атаки с операционной системы на низкоуровневый код, проверенный и подписанный Microsoft. Разработчикам вредоносных программ необходимо воспользоваться существующим драйвером, уже установленным на устройстве пользователя, что означает либо найти уязвимость в популярном драйвере, либо обманным путём заставить пользователя установить программное обеспечение с этой уязвимостью.

Контроль подписи драйверов — лишь один из механизмов комплексной архитектуры безопасности, и сам по себе он не может предотвратить всё. Однако в сочетании с другими методами, которые также использует Microsoft, он, несомненно, значительно повышает планку. Украденный сертификат будет действовать ограниченное время, прежде чем будет обнаружен и отозван, а аппаратные обходные пути зачастую также оказываются недолговечными.

Почему подписание водителем документов считается антипотребительским действием?

Проверка подписи драйверов — это мера безопасности, которой следуют операционные системы, такие как Windows, чтобы гарантировать, что установленные в системе драйверы являются надежными и не были подделаны.

Но почему некоторые считают этот шаг «антипотребительским»?

Ответ кроется в нескольких пунктах:

  • Ограничение свободы выбора: Контроль подписи может помешать пользователям устанавливать определённые драйверы, даже если они им доверяют, поскольку они не имеют цифровой подписи Microsoft или другой признанной стороны. Это ограничивает свободу пользователя в выборе оборудования и программного обеспечения.
  • Сложность поддержки старых устройств: Производители часто перестают обновлять драйверы для старых устройств. Если драйвер для старого устройства не подписан, пользователи могут не иметь возможности использовать его в новых операционных системах, которые требуют обязательной подписи драйверов. Это вынуждает пользователей приобретать новое оборудование, даже если их старые устройства всё ещё работают нормально.
  • Стоимость получения подписи: Получение цифровой подписи может быть дорогостоящим, особенно для независимых разработчиков и малого бизнеса. Это может препятствовать инновациям и разработке новых драйверов для специализированных или редких устройств.
  • Проблемы совместимости: Иногда подписанные драйверы могут вызывать проблемы совместимости с другим оборудованием или программным обеспечением. Пользователям может быть сложно выявить и устранить эти проблемы, особенно если они не являются IT-специалистами.
  • Монополия крупных компаний: Считается, что требование подписи драйверов даёт крупным компаниям несправедливое преимущество перед малым бизнесом и независимыми разработчиками. Крупные компании обладают ресурсами для лёгкого получения цифровых подписей, в то время как независимым разработчикам это может быть сложно.

Короче говоря, хотя обязательное подписание драйверов призвано повысить безопасность, оно может иметь негативные последствия для потребителей, ограничивая свободу выбора, затрудняя поддержку старых устройств, увеличивая расходы, вызывая проблемы совместимости и усиливая монополию крупных компаний.

Таким образом, преимущества обеспечения безопасности от обязательного подписания водителями документов должны быть соотнесены с его негативным влиянием на потребителей и инновации.

Речь идет о том, что можно и что нельзя запускать на вашем конкретном устройстве.

стол-со-множеством-компьютерных-и-электронных-компонентов

Если подписание драйверов так полезно для безопасности, почему оно нежелательно для потребителей? Критика связана с тем, что этот механизм безопасности серьёзно ограничивает свободу пользователя и его контроль над собственной системой. Существует неявный компромисс между безопасностью и открытостью, и Microsoft делает ставку на первое, а не на второе. Компания выбрала модель, в которой операционная система доверяет только низкоуровневому коду, проверенному Microsoft, фактически централизуя управление таким образом, что это также соответствует интересам отрасли и приносит доход от сертификации.

Возвращаясь к отключению проверки подписи драйверов, разработка собственного драйвера для личного использования, будь то для вашего оборудования или для вашего устройства, — это хлопотно. Вам придётся либо загрузиться с опцией «Отключить обязательную проверку подписи драйверов», полностью отключив проверку целостности, либо включить режим проверки подписи Windows. Ни один из этих вариантов не очень удобен. Вам не нужно… تمتلك Ваш компьютер в том же смысле, в каком обычно подразумевается «владение»: на уровне ядра Microsoft сохраняет контроль.

Кроме того, только крупные компании или разработчики с хорошими ресурсами могут легко выполнить требования по подписи драйверов. Чтобы получить должным образом подписанный драйвер для последней версии Windows, разработчику необходимо получить сертификат EV-подписи кода, который требует строгой проверки личности и кода оборудования и стоит несколько сотен долларов в год. Популярным примером является Notepad++. Это касается проблемы подписи кода, которая затрагивает программное обеспечение пользовательского уровня из-за отказа платить Microsoft ежегодный взнос за сертификацию. То же самое относится и к драйверам.

Скриншот параметров запуска, на котором показаны различные варианты изменения способа загрузки Windows.

Однако это требование также может помешать обычным пользователям использовать старые устройства, драйверы которых никогда не были подписаны. Допустим, у вас есть старое периферийное устройство, которое вы хотите подключить к компьютеру с Windows 11; если его драйвер относится к эпохе Windows XP и не имеет цифровой подписи, он будет полностью заблокирован. Вы можете отключить обязательную проверку подписи (со всеми вытекающими проблемами) или отказаться от устройства. Хотя раньше можно было модифицировать драйвер, в наши дни самостоятельные решения практически не встречаются из-за связанных с этим затрат и сложности.

На самом деле, даже когда члены сообщества берут ситуацию под контроль, это может быстро дать обратный эффект. Существует два известных драйвера, которые разработчики могут использовать для управления вентиляторами в своих приложениях: InpOut32 и WinRing0. Первый конфликтует с Riot Vanguard, поэтому многие выбрали второй, который стал основой таких инструментов, как Fan Control. Однако это было обнаружено в 2020 году. WinRing0 имел серьезную уязвимость безопасности. Спустя несколько лет об этой уязвимости стало известно, и Защитник Windows заблокировал ее, из-за чего приложения, которые от нее зависели, оказались вне игры.

Эта проблема усугубляется стоимостью разработки и поддержки корректного драйвера, одобренного Microsoft. Вот отрывок из статьи в Грань Что иллюстрирует проблему:

Тимоти Сан, основатель SignalRGB, объясняет, что риски безопасности более сложные. «Поскольку WinRing0 устанавливается на всю систему, мы поняли, что зависим от первой версии, установленной в системе пользователя. Это крайне затрудняло проверку наличия потенциально уязвимых версий, установленных другими приложениями, что подвергало наших пользователей риску, несмотря на все наши усилия», — говорит он.
Именно поэтому его компания инвестировала в собственный RGB-интерфейс, отказавшись от WinRing0 в 2023 году в пользу проприетарного драйвера SMBus. Однако разработчики, с которыми я общался, включая Sun, согласны, что это дорогостоящее решение.
«Не буду приукрашивать — процесс разработки был сложным и требовал значительных инженерных ресурсов», — говорит Сан. «У небольших проектов с открытым исходным кодом нет ни финансовых возможностей пойти по этому пути, ни специализированного опыта в разработке ядра Microsoft», — говорит Адам Хонси из OpenRGB.

Разработчик WingRing0, OpenLibSys, похоже, в настоящее время неактивен, и маловероятно, что тот же драйвер, если он будет обновлён, будет одобрен Microsoft для подписания в соответствии с более строгими правилами компании. Microsoft также знала, сколько приложений от него зависят (Razer Synapse, SteelSeries Engine и многие другие тоже его используют), что давало ему ещё несколько лет жизни до прекращения поддержки в 2025 году.

А как насчет Linux?

Хотя Linux не так популярен, как Windows и macOS, он остаётся мощным и надёжным выбором, особенно для разработчиков и IT-специалистов. Linux отличается высокой гибкостью и возможностью настройки, что делает его идеальным решением для пользователей, стремящихся к полному контролю над своей операционной системой. Кроме того, Linux считается безопасной и стабильной операционной системой, которая зачастую менее подвержена вредоносным программам и вирусам, чем другие операционные системы.

Если вы рассматриваете использование Linux, важно понимать, что существует множество различных дистрибутивов, таких как Ubuntu, Fedora и Debian. Каждый дистрибутив обладает уникальным набором функций и инструментов, поэтому важно выбрать тот, который наилучшим образом соответствует вашим потребностям и требованиям. Например, Ubuntu популярен среди новичков благодаря простоте использования и широкой доступности, а Fedora — хороший выбор для пользователей, желающих опробовать новейшие технологии.

В целом, Linux — отличная операционная система, обладающая множеством преимуществ по сравнению с другими операционными системами. Однако поначалу освоение её может быть довольно сложным, особенно если вы привыкли к Windows или macOS. Если вы готовы приложить некоторые усилия, Linux покажется вам мощной и надёжной операционной системой, которая удовлетворит ваши потребности.

Совершенно другой дух

Обновление ядра Linux

В отличие от Windows, Linux — операционная система с открытым исходным кодом: нет единого центрального органа, определяющего, что можно запускать в ядре. Дистрибутивы Linux могут принудительно подписывать модули (особенно если включена функция Secure Boot; некоторые дистрибутивы требуют подписи модулей ядра ключом), но в конечном итоге пользователь может перекомпилировать ядро ​​или отключить эти проверки. Это одна из многих причин, по которым античит-программы нельзя развернуть в Linux так же, как в Windows.

В Linux читер с правами root считается всемогущим. Он может перекомпилировать ядро, чтобы удалить античит-хуки, или загрузить собственный модуль ядра без централизованной подписи, которая могла бы остановить его. Учитывая, что многие читеры просто запускают свои читы от имени root в каталоге /root, чтобы избежать обнаружения, становится понятно, почему разработчики игр не слишком спешат портировать своё античит-ПО на Linux. Даже если игра требует прав root (что было бы хуже, чем просто аналог античита в Windows), вы можете запустить её в среде «fakeroot», чтобы игра считала, что у неё есть права root, хотя на самом деле их нет.

Всё это означает, что открытость Linux подразумевает, что любая защитная мера может быть парирована атакой с равными привилегиями, и эта реальность отражается в текущем состоянии игрового мира Linux. Хотя многие популярные игры доступны для игры на Linux (зачастую даже лучше, чем на Windows), многие соревновательные игры в результате вообще отказываются запускаться на Linux. Те же принципы применимы и к вредоносному ПО, хотя ситуация с вредоносным ПО в Linux совершенно иная.

Экран Valorant «Обнаружен читер, матч завершён»

Система обязательной подписи драйверов Microsoft привлекательна для бизнеса. Блокируя ядро, Windows обеспечивает уровень безопасности и контроля (для защиты от читов, вредоносных программ и т.д.), который был бы просто невозможен в более открытой системе без этих ограничений. Для многих геймеров и компаний этот компромисс часто оправдан, даже если он вызывает раздражение у части пользователей. Пользователи Linux обладают беспрецедентным контролем, но именно эта свобода означает, что любой клиентский механизм защиты от читов обычно бесполезен. Чтобы получить преимущества безопасности, которыми обладает Windows в этой области, на машине с Linux, пришлось бы воссоздать те же ограничения, которые изначально заставили вас отказаться от Windows.

Что касается того, почему пользователи Linux остаются в безопасности, несмотря на отсутствие центрального центра сертификации, то ответ кроется во множестве причин. Учитывая развитую систему прав доступа пользователей Linux, сообщество разработчиков ПО с открытым исходным кодом, которое быстро устраняет уязвимости безопасности по мере их появления (даже в случае утечки некоторых серьёзных эксплойтов, таких как xz-utils), низкую долю рынка, делающую его менее привлекательной целью, и пакеты программного обеспечения, которые в основном устанавливаются через проверенные репозитории, этот вариант не так привлекателен, как выбор пользователя Windows.

Свобода и безопасность: уравнение, которого всегда трудно достичь

Часто возникает вопрос: можно ли достичь баланса между свободой и безопасностью? Ответ непрост. Реальность заставляет нас признать, что достижение максимальной свободы иногда может противоречить обеспечению максимальной безопасности, и наоборот.

Понятие свободы охватывает множество аспектов, включая свободу выражения мнений, свободу передвижения и свободу убеждений. Однако эти свободы, если их не ограничивать, могут быть использованы отдельными лицами или группами для создания угрозы безопасности и стабильности общества. Например, свобода выражения мнений, будучи основополагающим правом, может быть превращена в средство распространения ненависти и насилия или распространения дезинформации, подрывающей доверие к государственным институтам.

С другой стороны, усиленные меры безопасности, такие как широкое наблюдение, ограничения на передвижение и доступ к информации, могут ущемлять личные свободы и подрывать основы демократического общества. Излишний акцент на безопасности может создать атмосферу страха и самоцензуры, в которой люди не желают выражать своё мнение или пользоваться своими правами из-за страха преследования.

Итак, как найти оптимальный баланс между свободой и безопасностью? Решение заключается в установлении чётких мер контроля и стандартов, определяющих объём свобод и гарантирующих, что они не будут использоваться для создания угрозы безопасности. Эти меры контроля должны быть соразмерны масштабу угрозы и периодически пересматриваться, чтобы не превышать необходимых пределов.

Кроме того, должны быть обеспечены прозрачность и подотчётность при реализации мер безопасности. Граждане должны знать свои права и иметь право оспаривать любые меры, которые, по их мнению, нарушают их свободы. Также должны существовать независимые механизмы надзора, гарантирующие отсутствие злоупотребления властью во имя безопасности.

Короче говоря, отношения между свободой и безопасностью сложны и динамичны. Ни одно из них не может быть полностью достигнуто за счёт другого. Достижение баланса между ними требует постоянного диалога и общественного консенсуса относительно ценностей и принципов, которыми мы руководствуемся. Мы всегда должны помнить, что свобода и безопасность — это не противоречащие друг другу цели, а важнейшие составляющие процветающего и стабильного общества.

Фундаментальные различия между Linux и Windows

Два ноутбука с Windows 11: на одном отображается список экспортированных приложений в «Блокноте», а на другом используется Winget для импорта этих приложений.

Несомненно, политика Microsoft в отношении подписи драйверов чрезвычайно эффективна с точки зрения безопасности. Требуя подписи и проверки всех драйверов ядра, Microsoft создала одну из самых надёжных потребительских операционных систем, защищённую от низкоуровневых вредоносных программ и мошеннических инструментов. Как платформа, Windows обладает уникальной способностью поддерживать надёжную операционную систему, которой могут доверять пользователи и программы. Именно поэтому она является одной из лучших функций безопасности, поскольку работает эффективно. очень хорошо Это имело огромное значение для защиты систем.

Однако эта безопасность дорого обходится потребителям. Она лишает центральный орган управления контроля, а невозможность полностью контролировать действия операционной системы не привлекает многих, кто ценит открытые вычисления. В некотором смысле, Windows 11 рассматривает пользователя как ненадёжную сущность, когда речь идёт о коде ядра, предполагая, что любой (включая вас) может совершить вредоносное действие, если его не контролировать.

С точки зрения безопасности эта функция — отличный пример снижения рисков. Она значительно блокирует один из самых опасных путей атаки, но с точки зрения прав потребителей может показаться, что мы просто… Мы нанимаем рабочих для использования собственного оборудования.Потому что мы подчиняемся правилам Microsoft, что разрешено, а что нет. Что, если бы это понятие было расширено и включало «защиту» операционной системы? Что, если бы инструменты и программы для дезинтеграции вносили изменения, которые Microsoft не одобрила бы, поскольку они изменяют систему?

Для обычного пользователя обязательное использование подписей драйверов — важный шаг. В этом нет никаких сомнений. Однако разработчикам ПО с открытым исходным кодом невыгодно быть исключенными из платформы из-за расходов, связанных с разработкой собственного ПО и его распространением, и неприятно чувствовать, что оно мне не принадлежит. Да неужели Мои устройства, пока Windows остается основным способом взаимодействия с ними.

Мерван Редха 2632 сообщений комментарии 0
Вас также может заинтересовать Больше от автора

Комментарии закрыты.