112044 Letture

Secure Boot e Windows: a cosa serve e come si disattiva

Nei giorni scorsi ha destato più di qualche preoccupazione la notizia circa l'assenza di un'opzione per disabilitare Secure Boot sui sistemi basati su Windows 10.
Ma cos'è Secure Boot, a cosa serve e le cose stanno veramente così?

Iniziamo col dire che Secure Boot è una caratteristica di UEFI (Unified Extensible Firmware Interface; si pronuncia uify), successore del tradizionale BIOS ossia di quell'insieme di routine (contenute in una memoria non volatile presente sulla scheda madre) che forniscono funzionalità di base per l'avvio del computer.

Fino "all'altro ieri", i computer utilizzavano l'arcaica accoppiata BIOS+MBR per avviare il sistema.
Negli articoli Che cos'è UEFI e quello che c'è da sapere sul nuovo BIOS e Accedere a UEFI, sostituto del BIOS sui nuovi pc abbiamo messo in luce le principali differenze tra BIOS tradizionale e UEFI.

Basti ricordare che BIOS e MBR rappresentavano fino a poco tempo fa gli unici strumenti per "sovrintenere" la procedura di avvio (bootstrap).
Mentre il BIOS fornisce una serie di routine per l'accesso all'hardware del computer, alle periferiche integrate nella scheda madre da parte di sistema operativo e programmi, MBR (Master Boot Record) contiene le informazioni sulla struttura del disco e delle partizioni in esso presenti.
Il MBR è la prima area del disco cui viene fatto accesso all'avvio del sistema (vedere Differenze tra MBR e GPT. Ecco come vengono gestite partizioni ed avviato il sistema).

Secure Boot e Windows: a cosa serve e come si disattiva

Nel corso del tempo, il MBR è stato utilizzato da molti malware (di recente, in particolare, da diversi rootkit) per garantirsi il caricamento ad ogni avvio del sistema.
Questo problema, in aggiunta con una serie di limitazioni che contraddistinguono la coppia BIOS+MBR, ha spinto alla messa a punto di nuove specifiche che hanno portato alla nascita di UEFI.

UEFI, spazza via in un sol colpo il vecchio BIOS e MBR, sostituendo quest'ultimo con GPT.

Secure Boot e Windows: a cosa serve e come si disattiva

Parte di UEFI è Secure Boot, una funzionalità che – in breve – permette di eseguire sul computer solo ed esclusivamente software autorizzato dal produttore del sistema.
In altre parole, Secure Boot consente il caricamento – all'avvio del computer – di quei soli moduli software dotati di una firma digitale autorizzata e riconosciuta (presente cioè nel database delle firme conservate nel firmware della scheda madre).


Con il rilascio di Windows 8.x, Microsoft ha raccomandato ai produttori di personal computer di implementare in UEFI un'opzione che permetta la completa disattivazione della funzionalità Secure Boot.
Concepita per bloccare il caricamento di componenti malware e software non autorizzati, Secure Boot di fatto può complicare la vita a coloro che desiderino installare certe distribuzioni Linux od effettuare il boot di alcuni programmi da un'unità di memorizzazione esterna.

Secure Boot e Windows 10

In queste settimane si è fatto un gran parlare dei requisiti hardware minimi richiesti per l'installazione di Windows 10. Iniziamo subito con l'evidenziare che Windows 10 è tranquillamente installabile ed avviabile anche sui sistemi sprovvisti di UEFI o con la funzionalità Secure Boot disabilitata.

Per ottenere la certificazione Windows 10, Microsoft ha semplicemente stabilito che i produttori di personal computer devono attivare di default Secure Boot ma non ha esplicitamente richiesto che la possibilità di disattivare Secure Boot da UEFI venga rimossa (vedere Requisiti hardware Windows 10 svelati da Microsoft e questo documento ufficiale a pagina 8).

Piuttosto, i produttori di computer potrebbero però non essere obbligati a prevedere la possibilità di disattivare Secure Boot da UEFI. Questo sarebbe l'aspetto più problematico ma ci auguriamo che questa possibilità non venga negata agli utenti.

L'eventuale rimozione dell'opzione per la disabilitazione di Secure Boot impedirà agli utenti di installare le varie distribuzioni Linux o di eseguire software popolari ed apprezzati al boot del sistema? Nient'affatto.

Convivere con Secure Boot?

Va detto, innanzi tutto, la maggior parte delle più famose ed apprezzate distribuzioni Linux supporta Secure Boot. È quindi possibile avviare la versione "live" delle distribuzioni Linux o installarle sul sistema senza disattivare Secure Boot in UEFI.

Red Hat e Fedora, ad esempio, hanno acquistato per la modica somma di 99 dollari la chiave Microsoft che di fatto dà il via libera per il caricamento delle loro distribuzioni al boot del sistema.
Canonical, con Ubuntu (tutte le versioni a partire dalla 12.04.2), già da tempo utilizza una propria chiave compatibile con Secure Boot e Linux Mint (a partire dalla versione 16 compresa) è altrettanto avviabile con Secure Boot abilitato.


Altri sviluppatori, comprese molte distribuzioni Linux minori, stanno utilizzando il pre-bootloader messo a punto dalla Linux Foundation che, poggiando a sua volta sulla chiave Microsoft, consente di ottenere il "lasciapassare" da parte di Secure Boot (Linux Foundation fa la pace con UEFI e Windows 8).

Cosa fare in caso di problemi con Secure Boot

In caso di problemi (i.e. impossibilità di avviare un particolare software al boot), suggeriamo in primis di accedere al BIOS e disattivare le seguenti funzionalità:

- Quickboot/Fastboot
- Intel Smart Response Technology (ISRT)
- FastStartUp


Qualora quest'intervento non sortisse l'effetto sperato, si potrà riavviare la macchina Windows 8, Windows 8.1 o Windows 10 ed accedere a UEFI.
In Windows 8.x basta far apparire la charm bar, cliccare sull'icona Impostazioni in basso ed infine tenere premuto il tasto MAIUSC mentre si fa clic su Riavvia il sistema.

In Windows 10 basta cliccare sul nuovo menu Start, dall'interfaccia desktop, fare clic sull'icona per lo spegnimento del sistema (in alto a destra) quindi tenere sempre premuto il tasto MAIUSC mentre si fa clic sulla voce Riavvia il sistema.

Secure Boot e Windows: a cosa serve e come si disattiva

In alternativa, sui sistemi Windows 8 o Windows 8.1, si può fare clic su Impostazioni nella charm bar quindi su Modifica impostazioni PC:

Secure Boot e Windows: a cosa serve e come si disattiva

Dal menù di sinistra bisognerà selezionare Aggiorna e ripristina (Generale in Windows 8), Ripristino e Riavvia ora in corrispondenza di Avvio avanzato.


Alla comparsa del menù di scelta seguente, bisognerà selezionare Risoluzione dei problemi quindi Opzioni avanzate.
La schermata successiva contiene l'opzione per accedere alle impostazioni UEFI.

Dalla schermata di UEFI, si potrà procedere con la disattivazione della funzionalità Secure Boot.

Vale la pena evidenziare che, come spiegato nell'articolo Che cos'è UEFI e quello che c'è da sapere sul nuovo BIOS, alcuni firmware UEFI consentono di attivare la cosiddetta modalità legacy (EFI).
Talvolta presentata come Compatibility Support Module, la modalità legacy consente di ripristinare – anche temporaneamente – l'utilizzo di un BIOS "old-style" sprovvisto di funzionalità Secure Boot. Attivando questa modalità non si dovrebbero avere problemi nel caricamento di qualunque software al boot del computer.


  1. Avatar
    fritzprimo
    14/07/2016 07:58:01
    Salve. Nel setup non ho l’opzione per disattivare: - Quickboot/Fastboot - Intel Smart Response Technology (ISRT) - FastStartUp Ci sono i comandi per farlo da DOS o EFIshell? Grazie
  2. Avatar
    Svanz
    08/06/2016 22:46:30
    Salve a tutti ! Vi scrivo dal mio notebook asus F555L ... Ultimamente sto avendo diversi problemi con questo pc e quindi ho provato windows 10 ma, siccome pieno di bug, ho deciso di rimettere windows 8.1. Ovviamente avendo solo 4 Gb di ram ogni tanto tende ad avere dei cali di prestazioni e allora ho deciso di installare ubuntu dato che impiega meno ram e non ha bisogno di anti virus grazie al rigido sistema di permessi! Purtroppo però quando entro nel UEFI non mi da la possibilità di disabilitare il secure boot ( non me lo fa neanche selezionare) e quindi neanche di cambiare sistema operativo. Per piacere qualcuno mi dia una mano perchè io non so proprio come fare. Per piacere se sapete come fare un downgrade del uefi e passare a bios ditemelo ! :approvato: :approvato:
  3. Avatar
    Lecter
    30/07/2015 17:33:39
    Secondo te Secure Boot è stato inventato da Microsoft? Lei si è solo adeguata, prima di scrivere informatevi
  4. Avatar
    miki64
    12/04/2015 02:36:31
    Concordo in pieno con Neos: alla larga da Secure Boot / UEFI!
  5. Avatar
    Neos
    10/04/2015 10:39:32
    Secure Boot / UEFI: l'ennesima porcata di Microsoft! Tanto chi scrive malware troverà anche il modo di scavalcare anche questa inutile complicazione (ricordate che brutta fine hanno fatto le chiavi hardware legate agli "inclonabili" programmi tipo AutoCAD?). Vedrete, basterà poco. Solo che noi utenti Linux abbiamo la vita davvero resa più complicata da questa accoppiata, l'articolo fa sembrare una passeggiata la coabitazione di uan distro Linux assieme a Windows 8 e successivi, ma vi assicuro che non lo è più.
Secure Boot e Windows: a cosa serve e come si disattiva - IlSoftware.it