9Aug
PC modern dikirimkan dengan fitur yang disebut "Secure Boot" yang diaktifkan. Ini adalah fitur platform di UEFI, yang menggantikan BIOS PC tradisional. Jika pabrikan PC ingin menempatkan stiker logo "Windows 10" atau "Windows 8" ke PC mereka, Microsoft mengharuskan mereka mengaktifkan Secure Boot dan mengikuti beberapa panduan.
Sayangnya, ini juga mencegah Anda menginstal beberapa distribusi Linux, yang bisa sangat merepotkan.
Bagaimana Boot Aman Mengamankan Proses Boot PC Anda
Secure Boot tidak hanya dirancang untuk membuat Linux berjalan lebih sulit. Ada keuntungan keamanan nyata karena Secure Boot diaktifkan, dan bahkan pengguna Linux pun dapat memanfaatkannya.
BIOS tradisional akan mem-boot perangkat lunak apapun. Saat Anda mem-boot PC Anda, komputer akan memeriksa perangkat keras sesuai urutan boot yang telah Anda konfigurasikan, dan mencoba untuk melakukan booting daripadanya. PC tipikal biasanya akan menemukan dan mem-boot boot loader Windows, yang kemudian akan menjalankan sistem operasi Windows penuh. Jika Anda menggunakan Linux, BIOS akan menemukan dan boot loader GRUB, yang sebagian besar distro Linux digunakan.
Namun, mungkin saja perangkat lunak perusak, seperti rootkit, untuk mengganti boot loader Anda. Rootkit bisa memuat sistem operasi normal Anda tanpa indikasi ada yang salah, tetap sama sekali tidak terlihat dan tidak terdeteksi di sistem Anda. BIOS tidak mengetahui perbedaan antara perangkat lunak perusak dan boot loader yang terpercaya - hanya mengupas apa pun yang ditemukannya.
Secure Boot dirancang untuk menghentikan ini. Windows 8 dan 10 PC dikirimkan dengan sertifikat Microsoft yang tersimpan di UEFI.UEFI akan memeriksa boot loader sebelum meluncurkannya dan memastikannya ditandatangani oleh Microsoft. Jika rootkit atau perangkat lunak perusak lainnya menggantikan bootloader Anda atau merusaknya, UEFI tidak mengizinkannya melakukan booting. Ini mencegah perangkat lunak jahat membajak proses boot Anda dan menyembunyikan dirinya dari sistem operasi Anda.
Bagaimana Microsoft Memungkinkan Distribusi Linux untuk Boot dengan Boot Aman
Fitur ini, secara teori, dirancang hanya untuk melindungi dari malware. Jadi Microsoft menawarkan cara untuk membantu distribusi Linux boot saja. Itulah sebabnya beberapa distribusi Linux modern - seperti Ubuntu dan Fedora - akan "bekerja saja" pada PC modern, bahkan dengan Secure Boot diaktifkan. Distribusi Linux dapat membayar biaya satu kali sebesar $ 99 untuk mengakses portal Microsoft Sysdev, di mana mereka dapat mengajukan agar pemasang boot loader mereka masuk. Distribusi
Linux umumnya memiliki "shim" yang ditandatangani. Shim adalah boot loader kecil yang bisa boot loader boot loader utama Linux. Cek shim yang ditandatangani Microsoft untuk memastikan booting boot loader yang ditandatangani oleh distribusi Linux, dan kemudian distribusi Linux biasanya boot.
Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini mendukung Secure Boot, dan akan bekerja tanpa tweak pada perangkat keras modern. Mungkin ada orang lain, tapi inilah yang kita sadari. Beberapa distribusi Linux secara filosofis bertentangan dengan penerapan yang akan ditandatangani oleh Microsoft.
Bagaimana Anda Dapat Menonaktifkan atau Mengontrol Boot Aman
Jika itu benar-benar dilakukan Secure Boot, Anda tidak akan dapat menjalankan sistem operasi yang tidak disetujui Microsoft di PC Anda. Tapi Anda mungkin bisa mengendalikan Secure Boot dari firmware UEFI PC Anda, yang seperti BIOS di PC yang lebih tua.
Ada dua cara untuk mengendalikan Secure Boot. Cara termudah adalah menuju ke firmware UEFI dan nonaktifkan seluruhnya. Firmware UEFI tidak akan memastikan apakah Anda menjalankan boot loader yang terdaftar, dan apapun akan boot. Anda bisa booting distribusi Linux atau bahkan menginstal Windows 7, yang tidak mendukung Secure Boot. Windows 8 dan 10 akan bekerja dengan baik, Anda akan kehilangan keuntungan keamanan karena Secure Boot melindungi proses boot Anda.
Anda juga bisa menyesuaikan Boot Aman dengan lebih baik. Anda dapat mengontrol sertifikat penandatanganan yang menawarkan Secure Boot. Anda bebas untuk memasang sertifikat baru dan menghapus sertifikat yang ada. Sebuah organisasi yang mengelola Linux di PC-nya, misalnya, dapat memilih untuk menghapus sertifikat Microsoft dan menginstal sertifikat organisasi tersebut di tempatnya. PC-PC tersebut kemudian hanya akan mem-boot loader loader yang disetujui dan ditandatangani oleh organisasi tertentu.
Seorang individu juga bisa melakukan hal ini-Anda bisa masuk ke boot loader Linux Anda sendiri dan memastikan PC Anda hanya bisa mem-boot loader boot yang Anda susun dan tanda tangani sendiri. Itulah jenis kontrol dan kekuatan yang ditawarkan Secure Boot.
Apa yang Diperlukan Microsoft dari Produsen PC
Microsoft tidak hanya meminta vendor PC mengaktifkan Secure Boot jika mereka menginginkan stiker sertifikasi Windows 10 "atau Windows 8" yang bagus di PC mereka. Microsoft mewajibkan produsen PC menerapkannya dengan cara yang spesifik.
Untuk PC Windows 8, produsen harus memberi Anda cara untuk mengaktifkan Boot Aman. Microsoft mewajibkan produsen PC untuk memasang tombol Secure Boot kill di tangan pengguna.
Untuk Windows 10 PC, ini tidak lagi wajib. Produsen PC dapat memilih untuk mengaktifkan Secure Boot dan tidak memberi pengguna cara untuk mematikannya. Namun, kami sebenarnya tidak mengetahui adanya produsen PC yang melakukan hal ini.
Demikian pula, sementara pabrikan PC harus menyertakan kunci utama Microsoft Windows Production PCA agar Windows dapat boot, mereka tidak harus menyertakan kunci "Microsoft Corporation UEFI CA".Kunci kedua ini hanya disarankan. Ini adalah kunci opsional kedua yang digunakan Microsoft untuk mendaftarkan pemuat boot Linux. Dokumentasi Ubuntu menjelaskan hal ini.
Dengan kata lain, tidak semua PC akan melakukan booting pada distribusi Linux dengan Secure Boot diaktifkan. Sekali lagi, dalam praktiknya, kita belum pernah melihat PC yang melakukan ini. Mungkin tidak ada produsen PC yang ingin membuat satu-satunya laptop yang tidak bisa Anda pasang di Linux.
Untuk saat ini, paling tidak, PC Windows mainstream harus mengizinkan Anda untuk menonaktifkan Secure Boot jika Anda mau, dan mereka harus booting distribusi Linux yang telah ditandatangani oleh Microsoft meskipun Anda tidak menonaktifkan Secure Boot. Boot Aman
Tidak Dapat Dinonaktifkan pada Windows RT, namun Windows RT Mati
Semua hal di atas berlaku untuk sistem operasi Windows 8 dan 10 standar pada perangkat keras standar Intel x86.Ini berbeda untuk ARM.
Pada Windows RT-versi Windows 8 untuk perangkat keras ARM, yang dikirim di Permukaan RT dan Permukaan 2 Microsoft, di antara perangkat lain-Secure Boot tidak dapat dinonaktifkan. Hari ini, Secure Boot masih belum dapat dinonaktifkan pada perangkat keras Windows 10 Mobile - dengan kata lain, ponsel yang menjalankan Windows 10.
Itu karena Microsoft ingin Anda memikirkan sistem Windows RT berbasis ARM sebagai "perangkat," bukan PC.Seperti yang dikatakan Microsoft kepada Mozilla, Windows RT "bukan Windows lagi."
Namun, Windows RT sekarang sudah mati. Tidak ada versi sistem operasi desktop Windows 10 untuk perangkat keras ARM, jadi ini bukan sesuatu yang perlu Anda khawatirkan lagi. Tapi, jika Microsoft memang membawa kembali perangkat keras Windows RT 10, kemungkinan Anda tidak akan bisa men-disable Secure Boot di dalamnya.
Image Credit: Duta Besar, John Bristowe