パソコンの友達

セキュアブートが有効なUEFI PCにLinuxを起動してインストールする方法

新しいWindows PCには、UEFIファームウェアとセキュアブートが有効になっています。セキュアブートは、UEFIにロードされたキーによって署名されていない限り、オペレーティングシステムが起動するのを防ぎます。標準では、Microsoftによって署名されたソフトウェアのみを起動できます。

MicrosoftはPCベンダーに対し、ユーザーがセキュアブートを無効にすることを義務付けているため、この制限を回避するためにセキュアブートを無効にしたり、独自のキーを追加したりすることができます。

セキュアブートの仕組み

Windows 10またはWindows 11を搭載したPCには、従来のBIOSではなくUEFIファームウェアが搭載されています。デフォルトでは、マシンのUEFIファームウェアはUEFIファームウェアに組み込まれたキーによって署名されたブートローダーのみを起動します。この機能は「セキュアブート」または「トラステッドブート」と呼ばれます。このセキュリティ機能のない従来のPCでは、ルートキットがそれ自体をインストールしてブートローダーになる可能性があります。その後、コンピューターのBIOSは起動時にルートキットをロードし、Windowsを起動してロードし、オペレーティングシステムから隠し、深いレベルに埋め込みます。

セキュアブートはこれをブロックします。コンピューターは信頼できるソフトウェアのみを起動するため、悪意のあるブートローダーはシステムに感染できません。

Intel x86 PC(ARM PCではない)では、セキュアブートを制御できます。無効にするか、独自の署名キーを追加するかを選択できます。たとえば、組織は独自のキーを使用して、承認されたLinuxオペレーティングシステムのみを起動できるようにすることができます。

Linuxをインストールするためのオプション

セキュアブートが有効なPCにLinuxをインストールするためのオプションはいくつかあります。

  • セキュアブートをサポートするLinuxディストリビューションを選択する: Ubuntuの最新バージョン(Ubuntu 12.04.2 LTSおよび12.10以降)は、セキュアブートが有効なほとんどのPCで正常に起動してインストールされます。これは、Ubuntuの最初のステージのEFIブートローダーがMicrosoftによって署名されているためです。ただし、Ubuntuの開発者は、UbuntuのブートローダーはMicrosoftの認定プロセスで必要とされるキーではなく、単にMicrosoftが「推奨」するキーで署名されていると述べています。これは、UbuntuがすべてのUEFI PCで起動するとは限らないことを意味します。一部のPCでは、ユーザーはUbuntuを使用するためにセキュアブートを無効にする必要がある場合があります。
  • セキュアブートを無効にする: セキュアブートを無効にすることができます。これにより、セキュリティ上の利点は失われますが、従来のBIOSを搭載した古いPCと同様に、PCで何でも起動できるようになります。これは、Windows 7のように、セキュアブートを念頭に置いて開発されなかった古いバージョンのWindowsをインストールしたい場合にも必要です。
  • UEFIファームウェアに署名キーを追加する: 一部のLinuxディストリビューションは、独自のキーでブートローダーに署名している可能性があり、UEFIファームウェアに追加できます。これは現時点では一般的なことではないようです。

選択したLinuxディストリビューションが推奨するプロセスを確認する必要があります。これに関する情報が提供されていない古いLinuxディストリビューションを起動する必要がある場合は、セキュアブートを無効にする必要があります。

ほとんどの新しいPCでは、最新のUbuntu(LTSリリースまたは最新のリリース)を問題なくインストールできるはずです。リムーバブルデバイスから起動する手順については、最後のセクションを参照してください。

セキュアブートを無効にする方法

UEFIファームウェア設定画面からセキュアブートを制御できます。この画面にアクセスするには、Windows 10またはWindows 11の起動オプションメニューにアクセスする必要があります。これを行うには、スタートメニューの電源ボタンをクリックし、[再起動]をクリックしながらShiftキーを押したままにします。Windows 11では、見た目が少し異なりますが、操作は同じです。

コンピューターは詳細ブートオプション画面で再起動します。ここで[トラブルシューティング]オプションをクリックします。

次に、次の画面で「詳細オプション」をクリックします。

そして最後に、詳細オプション画面が表示されます。これは前の画面に表示されていてもおかしくありませんが、どうであれ。ここで[UEFIファームウェア設定]ボタンをクリックします。(UEFIが搭載されている場合でも、一部のWindows PCではUEFI設定オプションが表示されない場合があります。この場合、UEFI設定画面に移動する方法については、製造元のドキュメントを参照してください。)

UEFI設定画面に移動すると、セキュアブートを無効にするか、独自のキーを追加するかを選択できます。これはコンピューターごとに異なり、実際のコンピューターではそれほどぼやけていない可能性があります。

リムーバブルメディアから起動する

再起動オプションをクリックしながらShiftキーを押したままにして、同じ方法で起動オプションメニューにアクセスすることで、リムーバブルメディアから起動できます。目的の起動デバイスを挿入し、[デバイスを使用]を選択して、起動するデバイスを選択します。

リムーバブルデバイスから起動したら、通常どおりにLinuxをインストールするか、インストールせずにリムーバブルデバイスからライブ環境を使用します。

セキュアブートは便利なセキュリティ機能であることに注意してください。セキュアブートを有効にして起動しないオペレーティングシステムを実行する必要がある場合を除き、有効にしておく必要があります。

関連: 開発者と愛好家向けの最高のLinuxラップトップ

2024-01-25 20:45 Linuxショートカットインストール

コメントする