手机制造商总是锁定他们的设备引导加载程序 - 也就是说,他们阻止您获得设备的 root 访问权限,或卸载默认操作系统并安装其他系统。有多种方法可以解锁引导加载程序,但您必须全力以赴才能完成(难度因品牌而异,甚至不可能)。
与此同时,PC 的引导加载程序始终处于解锁状态。您可以将 USB 记忆棒插入全新设备(无需额外步骤)并安装您想要的任何内容。我没有 Mac 设备,所以我可能是错的,但我听说 Mac 引导加载程序也没有锁定;这就是 Asahi Linux 成为可能的原因。
对于 PC 制造商(以及 Mac,如果我是对的?)来说,像手机制造商一样锁定引导加载程序是完全有意义的。他们为什么不呢?如果许多 PC 品牌也生产手机,但他们的 PC 在手机锁定时解锁了引导加载程序,那就更没有意义了。为什么会出现这种差距呢?
他们确实这么做了。
PC 制造商本身对将系统锁定在这个级别没有兴趣,因为他们不是向您出售该软件的人。软件供应商希望他们的软件能够在所有计算机上运行,而微软则推动硬件供应商实现 UEFI 安全启动,如果他们想要获得“Windows 认证”,并以仅接受微软第一方签名的模式进行部署默认。
(事实上,微软明确要求基于 ARM 的计算机执行此操作,并且勉强允许 x86 PC 进行第三方签名,但默认情况下,这些 PC 需要启用安全启动验证。)
通常,您可以安装“任何您想要的东西,无需额外步骤”的唯一原因是因为无论是Ubuntu 或 Fedora 等主要发行版,它们都经过 Microsoft 的第三方 UEFI 签名(用于“Shim”预引导加载程序) 。一旦您尝试启动 NetBSD 或 FreeDOS,您就可以通过固件设置手动禁用安全启动。
苹果公司并没有显着的不同;默认情况下,所有最新的 Mac 都被锁定 – 不仅锁定 macOS,还锁定固件在安装过程中在线验证的最新版本的 macOS – 正如 Asahi Linux 常见问题解答所述,“安装程序需要将您的新操作系统置于“许可安全”状态Linux 安装过程中“启动第三方操作系统内核”。更不用说 Mac 上现在也存在 iCloud 激活锁了……
制造商也这样做。例如,虽然华硕并没有为 PC 制造实际的操作系统(与通常从一开始就提供自己的操作系统的手机制造商不同),但他们确实提供了系统固件(大致相当于手机上的“引导加载程序”,尽管术语是这是它自己的主题),而且它们确实锁定了固件。
例如,在许多新的 PC 平台上,您无法构建和安装自己版本的 UEFI 固件;它必须是由主板制造商签名的软件包,CPU 将根据硬件本身内置的签名密钥进行验证。(参见例如英特尔的“Boot Guard”。)
(手机称其为“引导加载程序”,因为它确实是一个旨在启动操作系统的引导加载程序,并且几乎不执行其他操作。在 PC 上,“固件”的作用更多一些,同时保留操作系统初始化的通用性;实际的引导加载程序来自与操作系统。)
除此之外,家用电脑从早期开始就一直是一个开放且刻意通用的平台——无论是在软件还是硬件方面——这导致任何关闭它的尝试都遭到强烈反对。
与此同时,智能手机诞生于一个完全不同的市场。它们最初是电子设备(电话),最终发展成为具有 CPU 的东西,甚至后来成为“固件”,再后来成为“操作系统”。当Android诞生的时候,系统被锁定已经是很平常的事情了。(如果说有什么不同的话,那就是 Android 开源的想法,并且
fastboot oem unlock实际上让定制手机比以前更容易了……)锁定系统是有正当理由的——这样所有者就可以确定其他人没有篡改它——而且这些对于可能无人看管的便携式设备来说更有意义(尽管台式机也不能完全豁免) ),所以我猜这就是人们更广泛地接受手机或平板电脑上的此类功能作为一种防盗措施的原因之一。
(在 PC 上,您还会看到 Windows BitLocker 使用可用的“选择加入”锁定功能,与其说是为了防止另一个操作系统直接启动,不如说是为了防止所述操作系统能够访问加密数据。)
当使用需要通过安全标准认证的设备时,由于所处理的数据的敏感性,有关于如何应用设备安全性(也称为锁定设备)的指导文档。除了其他答案中的安全启动之外,您可能还需要考虑 TPM 和 DMA 保护。例如英国 NCSC设备安全指南 - 选择设备包括:
由于某些设备锁定取决于操作系统,例如为了支持 静态数据加密, Bitlocker 用于 Windows。UKS/dm-crypt 用于 Ubuntu 的磁盘加密,可以理解为什么 PC 制造商提供未锁定的设备。