Modern bilgisayarlar, "Güvenli Önyükleme" adı verilen bir özellik ile birlikte gelir. Bu bir platform özelliğidir UEFA , hangi geleneksel PC BIOS'unun yerini alır . Bir bilgisayar üreticisi bilgisayarına “Windows 10” veya “Windows 8” logo etiketi yerleştirmek isterse, Microsoft, Güvenli Önyüklemeyi etkinleştirmesini ve bazı yönergeleri izlemesini ister.
Ne yazık ki, aynı zamanda oldukça güç olabilen bazı Linux dağıtımlarını yüklemenizi de engeller.
Güvenli Önyükleme, Bilgisayarınızın Önyükleme İşlemini Nasıl Korur?
Güvenli Önyükleme, yalnızca Linux'u çalıştırmayı daha zor hale getirmek için tasarlanmamıştır. Güvenli Önyüklemeyi etkinleştirmenin gerçek güvenlik avantajları vardır ve Linux kullanıcıları bile bunlardan yararlanabilir.
Geleneksel bir BIOS, herhangi bir yazılımı başlatır. Bilgisayarınızı başlattığınızda, donanım aygıtlarını yapılandırdığınız önyükleme sırasına göre kontrol eder ve onlardan önyükleme yapmaya çalışır. Tipik PC'ler normalde Windows önyükleme yükleyicisini bulur ve başlatır, bu da tam Windows işletim sistemini başlatmaya devam eder. Linux kullanıyorsanız, BIOS çoğu Linux dağıtımının kullandığı GRUB önyükleyiciyi bulur ve başlatır.
Ancak, rootkit gibi kötü amaçlı yazılımların önyükleyicinizin yerini alması mümkündür. Rootkit, normal işletim sisteminizi herhangi bir şeyin yanlış olduğuna dair hiçbir gösterge olmadan yükleyebilir ve sisteminizde tamamen görünmez ve tespit edilemez halde kalabilir. BIOS, kötü amaçlı yazılım ile güvenilir bir önyükleyici arasındaki farkı bilmez - yalnızca bulduğu şeyi başlatır.
Güvenli Önyükleme bunu durdurmak için tasarlanmıştır . Windows 8 ve 10 bilgisayarlar, UEFI'de depolanan Microsoft sertifikasıyla birlikte gönderilir. UEFI, başlatmadan önce önyükleyiciyi kontrol edecek ve Microsoft tarafından imzalandığından emin olacaktır. Bir rootkit veya başka bir kötü amaçlı yazılım parçası önyükleyicinizin yerini alırsa veya onu kurcalarsa, UEFI önyükleme yapmasına izin vermez. Bu, kötü amaçlı yazılımın önyükleme sürecinizi ele geçirmesini ve kendisini işletim sisteminizden gizlemesini önler.
Microsoft, Linux Dağıtımlarının Güvenli Önyükleme ile Önyükleme Yapmasına Nasıl İzin Verir?
Bu özellik teoride kötü amaçlı yazılımlara karşı koruma sağlamak için tasarlanmıştır. Dolayısıyla Microsoft, Linux dağıtımlarının yine de önyüklenmesine yardımcı olacak bir yol sunuyor. Bu nedenle, Ubuntu ve Fedora gibi bazı modern Linux dağıtımları, Güvenli Önyükleme etkinken bile modern bilgisayarlarda "yalnızca çalışır". Linux dağıtımları, önyükleme yükleyicilerini imzalatmak için başvurabilecekleri Microsoft Sysdev portalına erişmek için tek seferlik 99 ABD doları ödeyebilirler.
Linux dağıtımlarında genellikle bir "shim" imzası vardır. Shim, basitçe Linux dağıtımlarının ana GRUB önyükleyicisini başlatan küçük bir önyükleme yükleyicisidir. Microsoft imzalı shim, Linux dağıtımı tarafından imzalanmış bir önyükleyiciyi başlattığından emin olmak için denetler ve ardından Linux dağıtımı normal şekilde önyüklenir.
Ubuntu, Fedora, Red Hat Enterprise Linux ve openSUSE şu anda Secure Boot'u desteklemektedir ve modern donanım üzerinde herhangi bir değişiklik yapmadan çalışacaktır. Başkaları da olabilir, ancak bunlar bizim farkında olduğumuz şeyler. Bazı Linux dağıtımları felsefi olarak Microsoft tarafından imzalanmak üzere başvurmaya karşıdır.
Güvenli Önyüklemeyi Nasıl Devre Dışı Bırakabilir veya Kontrol Edebilirsiniz?
Güvenli Önyüklemenin hepsi bu kadar olsaydı, bilgisayarınızda Microsoft onaylı olmayan herhangi bir işletim sistemini çalıştıramazdınız. Ancak Güvenli Önyüklemeyi, eski bilgisayarlardaki BIOS gibi, bilgisayarınızın UEFI sabit yazılımından kontrol edebilirsiniz.
Güvenli Önyüklemeyi kontrol etmenin iki yolu vardır. En kolay yöntem, UEFI ürün yazılımına gitmek ve tamamen devre dışı bırakmaktır. UEFI sabit yazılımı, imzalı bir önyükleyici çalıştırdığınızdan emin olmaz ve her şey önyüklenir. Herhangi bir Linux dağıtımını önyükleyebilir veya hatta Güvenli Önyüklemeyi desteklemeyen Windows 7'yi yükleyebilirsiniz. Windows 8 ve 10 sorunsuz çalışacak, Güvenli Önyüklemenin önyükleme sürecinizi korumasının güvenlik avantajlarını kaybedeceksiniz.
Güvenli Önyüklemeyi daha da özelleştirebilirsiniz. Secure Boot'un hangi imzalama sertifikalarını sunduğunu kontrol edebilirsiniz. Hem yeni sertifikalar yüklemekte hem de mevcut sertifikaları kaldırmakta özgürsünüz. Örneğin, bilgisayarlarında Linux çalıştıran bir kuruluş, Microsoft'un sertifikalarını kaldırmayı ve yerine kuruluşun kendi sertifikasını yüklemeyi seçebilir. Bu bilgisayarlar daha sonra yalnızca söz konusu kuruluş tarafından onaylanan ve imzalanan önyükleme yükleyicileri başlatır.
Bunu bir kişi de yapabilir - kendi Linux önyükleyicinizi imzalayabilir ve bilgisayarınızın yalnızca kişisel olarak derleyip imzaladığınız önyükleme yükleyicileri çalıştırmasını sağlayabilirsiniz. Secure Boot'un sunduğu denetim ve güç türü budur.
Microsoft'un Bilgisayar Üreticilerinden Gereksinimleri
Microsoft, bilgisayar üreticilerinin bilgisayarlarında o güzel "Windows 10" veya "Windows 8" sertifika etiketini istiyorlarsa Güvenli Önyükleme'yi etkinleştirmelerini istemez. Microsoft, PC üreticilerinin bunu belirli bir şekilde uygulamasını şart koşmaktadır.
Windows 8 PC'ler için, üreticilerin size Güvenli Önyüklemeyi kapatmanız için bir yol vermesi gerekiyordu. Microsoft, bilgisayar üreticilerinin kullanıcıların ellerine bir Güvenli Önyükleme kapatma anahtarı koymalarını istedi.
Windows 10 PC'ler için bu artık zorunlu değildir. PC üreticileri Güvenli Önyüklemeyi etkinleştirmeyi seçebilir ve kullanıcılara bunu kapatmanın bir yolunu sunmayabilir. Ancak, bunu yapan herhangi bir bilgisayar üreticisinden haberdar değiliz.
Benzer şekilde, PC üreticilerinin Windows'un önyükleme yapabilmesi için Microsoft’un ana “Microsoft Windows Production PCA” anahtarını dahil etmesi gerekirken, “Microsoft Corporation UEFI CA” anahtarını dahil etmeleri gerekmez. Bu ikinci anahtar yalnızca önerilir. Microsoft'un Linux önyükleyicilerini imzalamak için kullandığı ikinci, isteğe bağlı anahtardır. Ubuntu’nun belgeleri bunu açıklıyor.
Diğer bir deyişle, Güvenli Önyükleme açıkken tüm bilgisayarlar imzalı Linux dağıtımlarını önyüklemez. Yine pratikte bunu yapan herhangi bir PC görmedik. Belki de hiçbir bilgisayar üreticisi, Linux'u yükleyemeyeceğiniz tek dizüstü bilgisayar serisini yapmak istemez.
Şimdilik, en azından genel Windows PC'ler, isterseniz Güvenli Önyüklemeyi devre dışı bırakmanıza izin vermeli ve Güvenli Önyüklemeyi devre dışı bırakmasanız bile Microsoft tarafından imzalanmış Linux dağıtımlarını başlatmalıdır.
Güvenli Önyükleme Windows RT'de Devre Dışı Bırakılamadı, ancak Windows RT Bitti
İLİŞKİLİ: Windows RT Nedir ve Windows 8'den Ne Kadar Farklıdır?
Yukarıdakilerin tümü, standart Intel x86 donanımındaki standart Windows 8 ve 10 işletim sistemleri için geçerlidir. ARM için farklıdır.
Açık Windows RT - için Windows 8 sürümü ARM donanımı , diğer cihazların yanı sıra Microsoft'un Surface RT ve Surface 2 ile birlikte gelen - Güvenli Başlatma devre dışı bırakılamaz. Bugün, Güvenli Önyükleme hala devre dışı bırakılamıyor Windows 10 Mobile donanım - başka bir deyişle, Windows 10 çalıştıran telefonlar.
Bunun nedeni, Microsoft'un ARM tabanlı Windows RT sistemlerini PC'ler değil, "cihazlar" olarak düşünmenizi istemesidir. Gibi Microsoft Mozilla'ya söyledi , Windows RT "artık Windows değil."
Ancak, Windows RT artık öldü. ARM donanımı için Windows 10 masaüstü işletim sisteminin bir sürümü yoktur, dolayısıyla bu artık endişelenmeniz gereken bir şey değil. Ancak Microsoft, Windows RT 10 donanımını geri getirirse, muhtemelen Güvenli Önyüklemeyi devre dışı bırakamazsınız.
Resim Kredisi: Büyükelçi Üssü , John Bristowe
