Windows 8 ve 10'da Güvenli Önyükleme Nasıl Çalışır ve Linux İçin Ne İfade Ediyor?
Modern PC'ler “Güvenli Önyükleme” etkin olarak adlandırılan bir özelliğe sahiptir. Bu, geleneksel PC BIOS'unun yerini alan UEFI'deki bir platform özelliğidir. Bir PC üreticisi PC'lerine “Windows 10” veya “Windows 8” logo etiketi yerleştirmek istiyorsa, Microsoft Güvenli Önyüklemeyi etkinleştirmelerini ve bazı yönergeleri izlemelerini gerektirir..
Ne yazık ki, aynı zamanda, oldukça güç olabilen bazı Linux dağıtımları kurmanızı da önler..
Güvenli Önyükleme Bilgisayarınızın Önyükleme Sürecini Nasıl Korur
Güvenli Önyükleme yalnızca Linux çalıştırmayı zorlaştırmak için tasarlanmamıştır. Güvenli Önyükleme özelliğini etkin hale getirmenin gerçek güvenlik avantajları vardır ve Linux kullanıcıları bile onlardan yararlanabilir.
Geleneksel bir BIOS herhangi bir yazılımı önyükler. Bilgisayarınızı başlattığınızda, donanım aygıtlarını yapılandırdığınız önyükleme sırasına göre denetler ve önyüklemeyi dener. Tipik PC'ler normalde tam Windows işletim sistemini önyüklemeye devam eden Windows önyükleme yükleyicisini bulur ve önyükler. Linux kullanıyorsanız, BIOS çoğu Linux dağıtımının kullandığı GRUB açılış yükleyicisini bulur ve başlatır..
Ancak, rootkit gibi kötü amaçlı yazılımların önyükleme yükleyicinizi değiştirmesi mümkündür. Rootkit, normal işletim sisteminize bir şeylerin yanlış olduğunu, sisteminizde tamamen görünmez ve saptanamayan bir durum olduğunu göstermeden yükleyebilir. BIOS, kötü amaçlı yazılım ile güvenilir bir önyükleyici arasındaki farkı bilmiyor; ne bulursa onu başlatıyor.
Güvenli Önyükleme bunu durdurmak için tasarlanmıştır. Windows 8 ve 10 PC'ler Microsoft'un UEFI'de kayıtlı sertifikası ile birlikte gelir. UEFI, önyükleme yükleyicisini başlatmadan önce kontrol edecek ve Microsoft tarafından imzalandığından emin olacaktır. Bir rootkit veya başka bir kötü amaçlı yazılım parçası önyükleme yükleyicinizi değiştirir veya onunla kurcalarsa, UEFI önyüklemeye izin vermez. Bu, kötü amaçlı yazılımların önyükleme işleminizi kaçırmasını ve işletim sisteminizden kendisini gizlemesini önler..
Microsoft, Linux Dağıtımlarının Güvenli Önyükleme ile Önyüklenmesine Nasıl İzin Verir?
Bu özellik teorik olarak sadece kötü amaçlı yazılımlara karşı koruma sağlamak için tasarlanmıştır. Bu nedenle Microsoft, Linux dağıtımlarının önyükleme yapmasına yardımcı olmak için bir yol sunar. Bu yüzden bazı modern Linux dağıtımları gibi Ubuntu ve Fedora gibi, Secure Boot özelliği etkin olsa bile modern PC'lerde “sadece” çalışacaklar. Linux dağıtımları, önyükleme yükleyicilerini imzalatmak için başvurabilecekleri Microsoft Sysdev portalına erişmek için bir kerelik 99 ABD doları ödeyebilir.
Linux dağıtımları genellikle "imzalı" bir imzaya sahiptir. Şim, Linux dağıtımları ana GRUB açılış yükleyicisini basit bir şekilde yükleyen küçük bir önyükleyicidir. Microsoft imzalı shim, Linux dağıtımı tarafından imzalanan bir önyükleyici ile önyükleme yapıldığından emin olmak için denetler ve ardından Linux dağıtımı normal şekilde önyüklenir.
Ubuntu, Fedora, Red Hat Enterprise Linux ve openSUSE şu anda Secure Boot özelliğini desteklemektedir ve modern donanım üzerinde herhangi bir değişiklik yapmadan çalışacaktır. Başkaları da olabilir, ama bunlar bizim farkında olduğumuz şeyler. Bazı Linux dağıtımları Microsoft tarafından imzalanan başvuruya felsefi olarak karşıdır.
Güvenli Önyüklemeyi Nasıl Devre Dışı Bırakabilir veya Kontrol Edebilirsiniz?
Tüm bunlar Güvenli Önyükleme'nin yaptığı olsaydı, Microsoft onaylı olmayan bir işletim sistemini PC'nizde çalıştıramazdınız. Ancak Secure Boot'u büyük olasılıkla PC'nizin eski bilgisayarlarındaki BIOS'a benzeyen UEFI belleniminden kontrol edebilirsiniz..
Güvenli Önyüklemeyi denetlemenin iki yolu vardır. En kolay yöntem UEFI bellenimine gidip tamamen devre dışı bırakmaktır. UEFI sabit yazılımı, imzalı bir önyükleyici yüklediğinizden emin olmak için kontrol etmez ve herhangi bir şey önyüklenir. Herhangi bir Linux dağıtımını başlatabilir ya da Secure Boot'u desteklemeyen Windows 7'yi yükleyebilirsiniz. Windows 8 ve 10 düzgün çalışacak, Güvenli Önyüklemenin önyükleme işleminizi korumasının güvenlik avantajlarını kaybedeceksiniz.
Ayrıca Güvenli Önyükleme'yi daha da özelleştirebilirsiniz. Secure Boot'ın hangi imzalama sertifikalarını sunabileceğini kontrol edebilirsiniz. Hem yeni sertifikalar kurmak hem de mevcut sertifikaları kaldırmakta serbestsiniz. Örneğin, PC'lerinde Linux kullanan bir kuruluş, Microsoft'un sertifikalarını kaldırmayı ve kuruluşun kendi sertifikasını yerine kurmayı seçebilir. Bu bilgisayarlar daha sonra yalnızca belirli bir kuruluş tarafından onaylanan ve imzalanan önyükleyici yükleyicilerini başlatır..
Bir kişi bunu yapabilir, kendi Linux önyükleme yükleyicinizi imzalayabilir ve PC'nizin yalnızca kişisel olarak derleyip imzaladığınız önyükleme yükleyicilerini açmasını sağlayabilirsiniz. Secure Boot'un sunduğu kontrol ve güç türü budur.
Microsoft PC Üreticileri İçin Gerekenler
Microsoft, bilgisayarlarında bu güzel "Windows 10" veya "Windows 8" sertifika etiketini istiyorlarsa, yalnızca bilgisayar satıcılarının Güvenli Önyükleme özelliğini etkinleştirmesini gerektirmez. Microsoft, PC üreticilerinin belirli bir şekilde uygulamasını gerektirir.
Windows 8 PC'ler için üreticilerin Güvenli Önyükleme'yi kapatmanın bir yolunu vermeleri gerekiyordu. Microsoft, PC üreticilerinin kullanıcıların ellerine bir Güvenli Önyükleme kapatma anahtarı koymalarını istedi.
Windows 10 PC'ler için bu artık zorunlu değildir. PC üreticileri Secure Boot özelliğini etkinleştirmeyi seçebilir ve kullanıcılara kapatmaları için bir yol veremez. Ancak, bunu yapan hiçbir bilgisayar üreticisinin farkında değiliz..
Benzer şekilde, bilgisayar üreticilerinin Microsoft'un ana “Microsoft Windows Üretim PCA” anahtarını içermesi gerekir, böylece Windows önyüklenebilir, “Microsoft Corporation UEFI CA” anahtarını dahil etmesi gerekmez. Bu ikinci anahtar sadece tavsiye edilir. Microsoft'un Linux önyükleme yükleyicilerini imzalamak için kullandığı ikinci, isteğe bağlı anahtardır. Ubuntu'nun belgeleri bunu açıklıyor.
Başka bir deyişle, tüm bilgisayarların mutlaka, Güvenli Önyükleme açıkken imzalanan Linux dağıtımlarını başlatması gerekmez. Yine pratikte, bunu yapan herhangi bir bilgisayar görmedim. Belki de hiçbir PC üreticisi Linux'u kuramayacağınız tek bir dizüstü bilgisayar hattı yapmak istemez..
Şimdilik en azından ana Windows PC'leri, isterseniz Güvenli Önyüklemeyi devre dışı bırakmanıza izin vermeli ve Güvenli Önyüklemeyi devre dışı bırakmasanız bile Microsoft tarafından imzalanan Linux dağıtımlarını önyüklemelidir..
RT'de Güvenli Önyükleme Devre Dışı Bırakılamadı, ancak Windows RT Öldü
Yukarıdakilerin tümü, standart Intel x86 donanımındaki standart Windows 8 ve 10 işletim sistemleri için geçerlidir. ARM için farklı.
Windows RT'de, Microsoft'un Yüzey RT'sini ve Yüzey 2'sini diğer aygıtların Güvenli Önyükleme ile birlikte gönderen ARM donanımı için Windows 8 sürümü devre dışı bırakılamadı. Bugün Güvenli Önyükleme hala Windows 10 Mobile donanımında, yani Windows 10 çalıştıran telefonlarda devre dışı bırakılamıyor.
Çünkü Microsoft, sizden ARM tabanlı Windows RT sistemlerini PC değil, “aygıt” olarak düşünmenizi istedi. Microsoft'un Mozilla’ya söylediği gibi, Windows RT “artık Windows değil”.
Ancak, Windows RT artık öldü. ARM-donanımı için Windows 10 masaüstü işletim sisteminin sürümü yok, bu yüzden artık endişelenmeniz gereken bir şey yok. Ancak Microsoft, Windows RT 10 donanımını geri getirirse, üzerindeki Güvenli Önyüklemeyi devre dışı bırakmanız büyük olasılıkla mümkün olmaz.
Image Credit: Büyükelçi Üssü, John Bristowe