9Aug
Modern PC'ler, "Güvenli Önyükleme" etkinliğine sahip bir özellik ile birlikte gönderildi. Bu, geleneksel PC BIOS'ların yerini alan UEFI platform özelliğidir. Bir PC üreticisi, bilgisayarlarına bir "Windows 10" veya "Windows 8" logo etiketi yerleştirmek istiyorsa, Güvenli Önyükleme özelliğini etkinleştirip bazı yönergeleri izlemelerini ister.
Ne yazık ki, bazı Linux dağıtımı yüklemenizi de engelliyor, bu da oldukça güç bir iş olabilir.
Güvenli Önyükleme, Bilgisayarınızın Önyükleme İşlemini Nasıl Güvenli Yiyor
Güvenli Önyükleme, yalnızca Linux'u daha zor çalıştırmak için tasarlanmamıştır. Güvenli Önyükleme özelliğini etkinleştirmek için gerçek güvenlik avantajları vardır ve hatta Linux kullanıcıları onlardan fayda sağlayabilir.
Geleneksel bir BIOS herhangi bir yazılımı önyükleyecektir. PC'nizi önyüklediğinizde, yapılandırdığınız önyükleme düzenine göre donanım aygıtlarını denetler ve onlardan önyükleme yapmaya çalışır. Tipik bilgisayarlar normalde Windows önyükleme yükleyicisini bulup önyükleyecek ve bu önyükleme tam Windows işletim sistemini başlatmaya devam edecektir. Linux kullanıyorsanız, BIOS, çoğu Linux dağıtımı tarafından kullanılan GRUB önyükleme yükleyicisini bulup önyükleyecektir.
Bununla birlikte, bir kök seti gibi kötü amaçlı yazılımların önyükleme yükleyicinizi değiştirmesi mümkündür. Rootkit, sisteminizde görünmez ve algılanamayan bir şey olduğuna dair hiçbir şey yanlış gösterilmeden normal işletim sisteminizi yükleyebilir. BIOS, kötü amaçlı yazılım ve güvenilen bir önyükleme yükleyicisi arasındaki farkı bilmiyor - bulduğu her şeyi çiziyor.
Güvenli Önyükleme bunu durdurmak için tasarlandı.Windows 8 ve 10 bilgisayarlar, UEFI içinde saklanan Microsoft sertifikasıyla birlikte gönderilir. UEFI, önyükleyici yükleyiciyi başlatmadan önce denetleyecek ve Microsoft tarafından imzalanmış olduğundan emin olacaktır. Bir kök kiti veya başka bir kötü amaçlı yazılım önyükleme yükleyicinizi değiştirirse veya kurcalarsa UEFI önyükleme yapmasına izin vermez. Bu, kötü amaçlı yazılımın önyükleme işlemini önlemesini ve kendisini işletim sisteminizden gizlemesini önler.
Microsoft, Linux Dağıtımlarının Güvenli Önyükleme
ile Önyüklemesine Nasıl İzin Verebilir? Bu özellik, teorik olarak sadece kötü amaçlı yazılımlardan korumak için tasarlanmıştır. Dolayısıyla Microsoft, Linux dağıtımlarının zaten önyüklenmesine yardımcı olacak bir yol sunmaktadır. Bu nedenle, Ubuntu ve Fedora gibi bazı modern Linux dağıtımı, Güvenli Önyükleme etkin olsa bile modern bilgisayarlarda "çalışıyor".Linux dağıtımları, önyükleme yükleyicilerinin imzalanması için başvurabilecekleri Microsoft Sysdev portalına erişmek için bir defalık bir ücret ödeyebilir.
Linux dağıtımları genellikle "imz" imzaladı.Shim, basitçe Linux dağıtımlarının ana GRUB önyükleme yükleyicisini açan küçük bir önyükleyici yükleyicidir. Microsoft tarafından imzalanmış shim, Linux dağıtımı tarafından imzalanmış bir önyükleme yükleyicisinin önyüklenmesini sağlamak için denetler ve daha sonra Linux dağıtımı normal şekilde önyüklenir.
Ubuntu, Fedora, Red Hat Enterprise Linux ve openSUSE şu anda Güvenli Önyüklemeyi destekliyor ve modern donanım konusunda herhangi bir değişiklik yapmadan çalışacak. Başkaları da olabilir, ancak bunların farkındayız. Bazı Linux dağıtımı felsefi olarak Microsoft tarafından imzalanacak başvuruya karşıdır.
Güvenli Önyükleme
'yi Nasıl Devre Dışı Bırakabilir veya Denetleyebilirsiniz? Tüm Güvenli Önyükleme işlemi buysa, Microsoft'un onayladığı herhangi bir işletim sistemini bilgisayarınızda çalıştıramazsınız. Ancak, Secure Boot'u büyük PC'lerde BIOS gibi PC'nizin UEFI belleniminden kontrol edebilirsiniz.
Güvenli Önyüklemeyi denetlemek için iki yol vardır. En kolay yöntem, UEFI ürün yazılımına yön vermek ve tamamen devre dışı bırakmaktır. UEFI bellenimi, imzalı bir önyükleme yükleyicisini çalıştırdığınızdan emin olmak için denetlemez ve herhangi bir şey önyüklenebilir. Herhangi bir Linux dağıtımını önyükleyebilir veya Güvenli Önyükleme'yi desteklemeyen Windows 7'yi bile kurabilirsiniz. Windows 8 ve 10 iyi çalışıyor, Secure Boot'un önyükleme işleminizi korumasına neden olan güvenlik avantajlarını kaybedeceksiniz.
Ayrıca Güvenli Önyükleme özelleştirebilirsiniz. Secure Boot'un hangi sertifikaları imzalayabileceğini kontrol edebilirsiniz. Hem yeni sertifikalar yüklemek hem de mevcut sertifikaları kaldırmaktan özgürsünüz.Örneğin, Linux'u PC'lerinde çalıştıran bir organizasyon, Microsoft'un sertifikalarını kaldırmayı ve kuruluşun kendi sertifikasını yerine yerleştirmeyi seçebilir. Bu PC'ler daha sonra yalnızca belirli bir kuruluş tarafından onaylanmış ve imzalanmış olan önyükleme yükleyicilerini açar.
Bunu yapabilecek bir kişi de olabilir - kendi Linux önyükleme yükleyicinizi imzalayabilir ve PC'nizin kişisel olarak derlediğiniz ve imzaladığınız önyükleme yükleyicilerini önerebildiğinden emin olabilirsiniz. Secure Boot'un sunduğu kontrol ve güç türüdür.
Microsoft'un PC Üreticileri İçin Nelere Gerek duyduğu
Microsoft, PC'lerinde güzel "Windows 10" veya "Windows 8" sertifikasyon etiketini istiyorlarsa, PC satıcılarının Güvenli Önyüklemeyi etkinleştirmelerini istemez. Microsoft, PC üreticilerinin onu belirli bir şekilde uygulamasını gerektirir.
Windows 8 PC'leri için, üreticiler Secure Boot'u kapatmanın bir yolunu vermek zorundaydı.Microsoft, PC üreticilerinin kullanıcıların elinde bir Güvenli Önyükleme öldürme anahtarı koymasını istiyor.
Windows 10 PC'ler için artık zorunlu değildir. PC üreticileri, Güvenli Önyüklemeyi etkinleştirmeyi ve kullanıcılara bunu kapatmanın bir yolunu seçmeyi seçebilir. Bununla birlikte, bunu yapan herhangi bir PC üreticisinin farkında değiliz.
Benzer şekilde, PC üreticileri Windows'un önyüklenebilmesi için Microsoft'un ana "Microsoft Windows Üretim PCA" anahtarını içermek zorundalar, "Microsoft Corporation UEFI CA" anahtarını eklemeleri gerekmez. Bu ikinci anahtar tavsiye edilir. Microsoft'un Linux önyükleme yükleyicilerini imzalamak için kullandığı ikinci, isteğe bağlı anahtardır. Ubuntu'nun belgeleri bunu açıklıyor.
Diğer bir deyişle, tüm PC'ler Güvenli Önyükleme açıkken imzalanmış Linux dağıtımlarını zorunlu olarak başlatmaz. Yine, pratikte bunu yapan herhangi bir bilgisayar görmedik. Belki de hiçbir PC üreticisi, Linux'u yükleyemediğiniz tek dizüstü bilgisayar dizisini yapmak istiyor.
Şimdilik, ana Windows PC'leri, Güvenli Önyükleme'yi devre dışı bırakmanıza izin vermeli ve siz Güvenli Önyükleme'yi devre dışı bırakmasanız bile Microsoft tarafından imzalanmış Linux dağıtımlarını açmalısınız.
Güvenli Önyükleme Windows RT'de Devre Dışı Bırakılamadı, ancak Windows RT Öldü
Yukarıdakilerin hepsi standart Intel x86 donanımındaki standart Windows 8 ve 10 işletim sistemleri için geçerlidir. ARM için farklıdır.
Windows RT'de, Microsoft'un Surface RT ve Surface 2'de gönderilen, ARM donanımları için Windows 8'in, diğer aygıtların arasında olduğu Windows 8 sürümü-Güvenli Önyükleme devre dışı bırakılamaz. Bugün Güvenli Önyükleme Windows 10 Mobile donanımında, diğer bir deyişle Windows 10'u çalıştıran telefonlarda devre dışı bırakılamaz.
Microsoft, ARM tabanlı Windows RT sistemlerini PC'ler değil "aygıtlar" olarak düşünmenizi istedi. Microsoft'un Mozilla'ya söylediği gibi Windows RT "artık Windows değil."
Ancak Windows RT artık öldü.ARM donanım için Windows 10 masaüstü işletim sisteminin hiçbir sürümü yok, bu nedenle artık endişelenmeniz gereken bir şey değil. Ancak, Microsoft Windows RT 10 donanımını geri getirirse muhtemelen Güvenli Önyükleme'yi devre dışı bırakamazsınız.
Image Credit: Büyükelçi Bankası, John Bristowe