PC modern dikirimkan dengan fitur yang disebut "Secure Boot" diaktifkan. Ini adalah fitur platform di UEFA , yang menggantikan BIOS PC tradisional . Jika produsen PC ingin memasang stiker logo "Windows 10" atau "Windows 8" ke PC mereka, Microsoft mengharuskan mereka mengaktifkan Boot Aman dan mengikuti beberapa pedoman.
Sayangnya, ini juga menghalangi Anda untuk menginstal beberapa distribusi Linux, yang bisa sangat merepotkan.
Seberapa Aman Boot Mengamankan Proses Boot PC Anda
Secure Boot tidak hanya dirancang untuk mempersulit pengoperasian Linux. Ada keuntungan keamanan nyata dengan mengaktifkan Secure Boot, dan bahkan pengguna Linux pun dapat memanfaatkannya.
BIOS tradisional akan mem-boot perangkat lunak apa pun. Saat Anda mem-boot PC Anda, ia memeriksa perangkat keras sesuai dengan urutan boot yang Anda konfigurasikan, dan mencoba untuk mem-boot dari mereka. PC biasa biasanya akan menemukan dan mem-boot boot loader Windows, yang melanjutkan untuk mem-boot sistem operasi Windows penuh. Jika Anda menggunakan Linux, BIOS akan mencari dan mem-boot boot loader GRUB, yang digunakan oleh sebagian besar distribusi Linux.
Namun, ada kemungkinan malware, seperti rootkit, menggantikan boot loader Anda. Rootkit dapat memuat sistem operasi normal Anda tanpa indikasi ada yang salah, tetap sama sekali tidak terlihat dan tidak terdeteksi di sistem Anda. BIOS tidak mengetahui perbedaan antara malware dan boot loader tepercaya – BIOS hanya melakukan booting apa pun yang ditemukannya.
Boot Aman dirancang untuk menghentikan ini . Windows 8 dan 10 PC dikirimkan dengan sertifikat Microsoft yang disimpan di UEFI. UEFI akan memeriksa boot loader sebelum meluncurkannya dan memastikannya ditandatangani oleh Microsoft. Jika rootkit atau malware lain menggantikan boot loader Anda atau merusaknya, UEFI tidak akan mengizinkannya untuk boot. Ini mencegah malware membajak proses boot Anda dan menyembunyikan dirinya dari sistem operasi Anda.
Bagaimana Microsoft Mengizinkan Distribusi Linux untuk Boot dengan Boot Aman
Secara teori, fitur ini hanya dirancang untuk melindungi dari malware. Jadi Microsoft menawarkan cara untuk membantu distribusi Linux tetap boot. Itulah mengapa beberapa distribusi Linux modern — seperti Ubuntu dan Fedora — akan "berfungsi" di PC modern, bahkan dengan Boot Aman diaktifkan. Distribusi Linux dapat membayar biaya satu kali sebesar $ 99 untuk mengakses portal Microsoft Sysdev, di mana mereka dapat mengajukan permohonan agar pemuat boot mereka ditandatangani.
Distribusi Linux umumnya memiliki tanda "shim". Shim adalah boot loader kecil yang hanya mem-boot boot loader GRUB utama distribusi Linux. Shim yang bertanda tangan Microsoft memeriksa untuk memastikannya melakukan boot pada boot loader yang ditandatangani oleh distribusi Linux, dan kemudian distribusi Linux melakukan boot secara normal.
Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini mendukung Boot Aman, dan akan berfungsi tanpa perubahan apa pun pada perangkat keras modern. Mungkin ada yang lain, tetapi inilah yang kami sadari. Beberapa distribusi Linux secara filosofis menentang penerapan untuk ditandatangani oleh Microsoft.
Bagaimana Anda Dapat Menonaktifkan atau Mengontrol Boot Aman
Jika hanya itu yang dilakukan oleh Boot Aman, Anda tidak akan dapat menjalankan sistem operasi yang tidak disetujui Microsoft di PC Anda. Tetapi Anda mungkin dapat mengontrol Boot Aman dari firmware UEFI PC Anda, yang seperti BIOS di PC lama.
Ada dua cara untuk mengontrol Boot Aman. Metode termudah adalah menuju ke firmware UEFI dan menonaktifkannya sepenuhnya. Firmware UEFI tidak akan memeriksa untuk memastikan Anda menjalankan boot loader bertanda tangan, dan apa pun akan boot. Anda dapat mem-boot distribusi Linux apa pun atau bahkan menginstal Windows 7, yang tidak mendukung Boot Aman. Windows 8 dan 10 akan berfungsi dengan baik, Anda hanya akan kehilangan keuntungan keamanan karena Boot Aman melindungi proses boot Anda.
Anda juga dapat menyesuaikan Boot Aman lebih lanjut. Anda dapat mengontrol sertifikat penandatanganan mana yang ditawarkan Secure Boot. Anda bebas memasang sertifikat baru dan menghapus sertifikat yang ada. Sebuah organisasi yang menjalankan Linux di PC-nya, misalnya, dapat memilih untuk menghapus sertifikat Microsoft dan memasang sertifikat milik organisasi itu sendiri sebagai gantinya. PC tersebut kemudian hanya akan mem-boot loader yang disetujui dan ditandatangani oleh organisasi tertentu itu.
Seseorang dapat melakukan ini juga – Anda dapat menandatangani boot loader Linux Anda sendiri dan memastikan PC Anda hanya dapat mem-boot loader boot yang Anda kompilasi dan tandatangani sendiri. Itulah jenis kontrol dan daya yang ditawarkan Secure Boot.
Apa yang Dibutuhkan Microsoft dari Produsen PC
Microsoft tidak hanya mengharuskan vendor PC mengaktifkan Secure Boot jika mereka menginginkan stiker sertifikasi “Windows 10” atau “Windows 8” yang bagus di PC mereka. Microsoft mengharuskan produsen PC menerapkannya dengan cara tertentu.
Untuk PC Windows 8, produsen harus memberi Anda cara untuk mematikan Boot Aman. Microsoft mengharuskan produsen PC untuk meletakkan tombol pemutus Boot Aman di tangan pengguna.
Untuk PC Windows 10, ini tidak lagi wajib. Produsen PC dapat memilih untuk mengaktifkan Boot Aman dan tidak memberi pengguna cara untuk mematikannya. Namun, kami sebenarnya tidak mengetahui produsen PC yang melakukan ini.
Demikian pula, meskipun produsen PC harus menyertakan kunci "Microsoft Windows Production PCA" utama Microsoft sehingga Windows dapat melakukan booting, mereka tidak harus menyertakan kunci "Microsoft Corporation UEFI CA". Kunci kedua ini hanya disarankan. Ini adalah kunci opsional kedua yang digunakan Microsoft untuk menandatangani pemuat boot Linux. Dokumentasi Ubuntu menjelaskan ini.
Dengan kata lain, tidak semua PC harus mem-boot distribusi Linux yang ditandatangani dengan Boot Aman dihidupkan. Sekali lagi, dalam praktiknya, kami belum melihat PC yang melakukan ini. Mungkin tidak ada produsen PC yang ingin membuat satu-satunya lini laptop tempat Anda tidak dapat menginstal Linux.
Untuk saat ini, setidaknya, PC Windows arus utama harus memungkinkan Anda menonaktifkan Boot Aman jika Anda mau, dan mereka harus mem-boot distribusi Linux yang telah ditandatangani oleh Microsoft meskipun Anda tidak menonaktifkan Boot Aman.
Boot Aman Tidak Dapat Dinonaktifkan di Windows RT, tetapi Windows RT Mati
TERKAIT: Apa Itu Windows RT, dan Apa Bedanya dengan Windows 8?
Semua hal di atas berlaku untuk sistem operasi Windows 8 dan 10 standar pada perangkat keras Intel x86 standar. Ini berbeda untuk ARM.
Di Windows RT —Versi Windows 8 untuk Perangkat keras ARM , yang dikirimkan di Microsoft Surface RT dan Surface 2, di antara perangkat lainnya — Secure Boot tidak dapat dinonaktifkan. Saat ini, Boot Aman masih belum dapat dinonaktifkan Windows 10 Mobile perangkat keras – dengan kata lain, ponsel yang menjalankan Windows 10.
Itu karena Microsoft ingin Anda menganggap sistem Windows RT berbasis ARM sebagai "perangkat", bukan PC. Sebagai Microsoft told Mozilla , Windows RT "bukan Windows lagi".
Namun, Windows RT sekarang sudah mati. Tidak ada versi sistem operasi desktop Windows 10 untuk perangkat keras ARM, jadi ini bukan sesuatu yang perlu Anda khawatirkan lagi. Namun, jika Microsoft mengembalikan perangkat keras Windows RT 10, Anda kemungkinan besar tidak akan dapat menonaktifkan Boot Aman di dalamnya.
Kredit Gambar: Markas Duta Besar , John Bristowe
