Kam zmizel licenční štítek Windows 8

Kam zmizel licenční štítek Windows 8

U všech předchozích verzí operačního systému Windows bylo běžné, že počítače s předinstalovaným systémem na sobě měly nalepený licenční štítek (tzv. COA – “certifikát pravosti”). Ten ovšem na počítačích (hlavně noteboocích) s OEM verzí systému Windows 8 předinstalovanou v továrně dnes už většinou nenajdeme. Proč? A jak potom nainstalovat Windows


Změna má hned tři důvody. Ve zkratce jsou to tyto: tím prvním je pokrok v technologiích a masivní rozmach nového typu firmware (namísto BIOSu přichází mnohem pokročilejší a schopnější UEFI). Druhým, poměrně rozumným důvodem, je usnadnění pro uživatele, kteří díky tomuto kroku sériové číslo zadávat již při instalaci nemusí (řekneme si proč). No a tím posledním je zase přirozená snaha Microsoftu a výrobců o maximální zamezení pirátství a vynucení striktního dodržování OEM licenčních podmínek.

Důvod 1: Příchod UEFI jako standardu

Firmware počítačů vždy tvořil tzv. BIOS. Jedná se o základní stavební kámen celé architektury komunikace hardware mezi sebou. Je pevně uložený na nepřepisovatelné paměti na základní desce (v malm “švábu”), ve většině případů je jeho nastavení přístupné pouze před startem počítače (během tzv. POSTu, čili jakési kontrolní fáze spouštění počítače) speciální klávesou či klávesovou zkratkou (F1, F2, F9, Enter, Delete apod.). Na pohled se zpravidla jedná o modrou obrazovku s bílým textem a rámováním, na které dokážeme měnit niterní nastavení hardware (zavádění systému, správu portů, režimy SATA řadiče, RAID nastavení, vlastností procesoru, u stolních počítačů třeba také ovládání ventilátorů a napájení).

Obrazovka nastavení BIOS na IdeaPadu

Obrazovka nastavení BIOS na IdeaPadu

Vzhledem k tomu, že BIOS s námi byl velmi, velmi dlouho, už na něm byla nějakou dobu znát omezení spojená s jeho stářím, a tak se před dvěma lety začal významněji prosazovat nový, modernější standard UEFI, který loni nastoupil jako běžná výbava počítačů a dnes se používá prakticky výhradně, ačkoliv běžně obsahuje kvůli starším operačním systémům, které s UEFI pracovat neumí (např. Windows XP) “kompatibilní” režim, kdy se UEFI chová jako BIOS. Moderní operační systémy však podporu pro UEFI mají (ačkoliv např. u Windows 7 není instalace úplně bez problémů) – Windows Vista od SP1, Windows 7 a samozřejmě nové Windows 8 podporují a využívají UEFI v maximální míře.

Logo UEFI

Logo UEFI

Co UEFI vlastně přináší? Z těch méně podstatných funkcí je to např. možnost použití grafického prostředí (kterého zatím výrobci stále obvykle nevyužívají, a tak UEFI je na pohled k nerozeznání od BIOSu, to může být ale spíše z důvodu zachování známého prostředí v době přechodu). Z těch zajímavějších výhod to je např. spolupráce s diskovou správou GPT, UEFI nevyžaduje “bootovací sektor” a rychlejší startovací procesy (ve výsledku tak startuje počítač rychleji, což se nám potvrdilo i na dnes již starém ThinkPadu T420s ještě s první generací UEFI, který s UEFI a GPT startoval o 17 % rychleji). GPT navíc umožňuje (na rozdíl od klasického MBR pod BIOSem) neomezený počet diskových oddílů s obří velikostí (273 bajtů – 8 ZiB; pro představu: 1 TB je 1012 bajtu). UEFI poskytuje také plnou podporu pro 64bitové procesory a procesory ARM.

Další výhodou UEFI je také fakt, že sám o sobě slouží jako jednoduchý operační systém, skrze který je možné spouštět příkazy a malé “aplikace” včetně podpory grafického rozhraní či polohování myší (viz. např. ThinkCentery s dotykovým ovládáním BIOSu/UEFI). Skrze samotné UEFI je tak teoreticky možné např. zálohovat data, prohlížet internet a podobně – je pouze třeba dodat do UEFI potřebné “aplikace”. Někteří výrobci v UEFI se zavedením grafického rozhraní také přišli s mnohem pokročilejšími možnostmi správy a sledování výkonu včetně ukazatelů, “budíků”, grafů.

Důvod 1+2+3: Secure Boot

Novinkou v nové generaci UEFI je tzv. Secure Boot. Velmi zjednodušeně řečeno podporuje UEFI uložení licenčního certifikátu platného pro konkrétní jeden počítač do firmware, resp. jeho součásti Secure Boot. Ten potom vyžaduje bootování “podepsaného” a odpovídajícího systému a zároveň systému předává klíč a potřebné ověřovací informace, a tak nepotřebuje sériové číslo.

Něco podobného fungovalo už v době BIOSu: licence Windows byla vázaná na určitý řetězec v BIOSu, který si do něj umisťovali výrobci v “předaktivovaných” instalacích, do kterých pak již nebylo nutné zadávat licenční číslo ani systém aktivovat. To ovšem na druhou stranu otevíralo cestu k pirátství (spousta nelegálních instalací se tímto aktivovala) a zneužívání licenčních čísel (aktivace předaktivované licence Windows na jiném počítači – dva počítače se stejnou OEM licencí, což by jinak bylo nemožné).

secure-boot-25255B3-25255D

Secure Boot toho spoustu eliminuje a na podobné “jednoduché” fígle už netrpí. Přítomnost této funkce je tak důvodem, proč na nových počítačích od velkých výrobců, kteří samozřejmě neinstalují každý z milionů počítačů v továrně zvlášť, jako to děláte např. vy doma, nenajdeme licenční štítek Windows 8 – “licence” (resp. certifikát) je totiž již uložená v UEFI. To je výhoda už na první pohled nejenom proto, že “šetříme naše lesy”, ale také proto, že – co si budeme povídat – licenční štítky se rády škrábou, odlupují a obecně poškozují, až jsou nečitelné. To v digitální podobě nehrozí.

Microsoft tak dokázal vynutit dodržování licenční politiky, protože nemáte-li licenční klíč, nemůžete Windows nainstalovat na jiný počítač a nemůže docházet k machinacím s licencemi. Zároveň však nepřijdete o možnost načisto instalovat Windows 8, instalace bude navíc jednodušší a rychlejší o to, že nemusíte zadávat licenční klíč: ten se načte automaticky ze Secure Boot v UEFI.

Dodatek na okraj:
Secure Boot v UEFI je navíc velmi dobrým prostředkem pro zvýšení bezpečnosti, kterého zcela jistě budou využívat bezpečnostní řešení, protože na úrovni hardware (firmware) dokáže UEFI zablokovat bootování do nepodepsaných, necertifikovaných prostředí (víte, jak je jednoduché obejít zabezpečení Windows bootováním např. do Live distribuce Linuxu). Čili v počítači certifikujeme pouze např. předinstalovaný operační systém (to je současná používaná varianta) nebo loader šifrování disku, jiný systém se nezavede. To bude jistě zajímavé např. pro firmy, které budou chtít zamezit uživatelům používání vlastních operačních systémů na firemních počítačích, ale nezajímavé to není ani pro domácí uživatele.

To se ale nelíbí příznivcům otevřeného software, protože, ačkoliv Linux podporuje UEFI asi nejdéle ze všech systémů, Secure Boot nikoliv, čili mnozí si stěžují, že je to vedle výše popsaného také prostředek pro boj s Linuxem, resp. pro diskriminaci svobodného software. Při zachování veškeré objektivity toto není možné potvrdit: Secure Boot je možné deaktivovat a instalace jakéhokoliv operačního systému není omezena.

  • Diagon Swarm

    Dvě připomínky:
    1) Grafický mohl být odjakživa i BIOS. První byl AMI někdy z roku 1992. ThinkPady z 90. let měly taky setup BIOSu v grafice. Kdysi někdo napsal, že UEFI přineslo možnost grafického setup a teď to všichni papouškují. Důvod, proč se používají textové setupy je spíše ve vyšší ergonomii. Tak nějak se ukázalo, že ty grafické setupy se ovládají hůř.

    2) Secure Boot je u některých zařízeních vynucený a nejde vypnout. To je ten problém linuxáků.

  • Petr Tvaróg

    Souhlasím, je to prostředek pro zabezpečení toho aby se nekradli windows, nicméně, to je nejmenší cena…
    Na druhou stranu když chci mít na laptopu linux tak proč si ho budu kupovat s windows…. (BTW: jsem už několik let linuxák a zastánce OpenSource OS/SW)
    Jediné co mne na tom vadí je, že nelze dualboot… a také mne vadí, že ty klíče do UEFI nemohu nahrát pro svou distribuci linuxu.

    • Michal Diviš

      Ano, protoze linux nepodporuje scureboot, jinak by to pravdepodobne nejak mozne bylo