Güvenli Önyükleme Windows 8 ve 10'da Nasıl Çalışır ve Linux için Ne İfade Ediyor?

Modern bilgisayarlar "Güvenli Önyükleme" adı verilen bir özellik etkinleştirilmiş olarak gönderilir. Bu, geleneksel PC BIOS'unun yerini alan UEFI'deki bir platform özelliğidir. Bir bilgisayar üreticisi bilgisayarına "Windows 10" veya "Windows 8" logo etiketi yerleştirmek isterse, Microsoft, Güvenli Önyüklemeyi etkinleştirmesini ve bazı yönergeleri izlemesini ister.

Ne yazık ki, aynı zamanda oldukça güç olabilen bazı Linux dağıtımlarını yüklemenizi de engeller.

Güvenli Önyükleme, Bilgisayarınızın Önyükleme İşlemini Nasıl Korur?

Güvenli Önyükleme, yalnızca Linux çalıştırmayı daha zor hale getirmek için tasarlanmamıştır. Güvenli Önyüklemeyi etkinleştirmenin gerçek güvenlik avantajları vardır ve Linux kullanıcıları bile bunlardan yararlanabilir.

Geleneksel bir BIOS, herhangi bir yazılımı başlatır. Bilgisayarınızı başlattığınızda, yapılandırdığınız önyükleme sırasına göre donanım aygıtlarını kontrol eder ve onlardan önyükleme yapmaya çalışır. Tipik PC'ler normalde Windows önyükleyiciyi bulur ve önyükleme yapar, bu da tam Windows işletim sistemini başlatmaya devam eder. Linux kullanıyorsanız, BIOS çoğu Linux dağıtımının kullandığı GRUB önyükleyiciyi bulur ve başlatır.

Ancak, rootkit gibi kötü amaçlı yazılımların önyükleyicinizin yerini alması mümkündür. Rootkit, normal işletim sisteminizi herhangi bir şeyin yanlış olduğunu göstermeden yükleyebilir, sisteminizde tamamen görünmez ve algılanamaz halde kalır. BIOS, kötü amaçlı yazılım ile güvenilir bir önyükleyici arasındaki farkı bilmiyor - sadece bulduğu her şeyi başlatıyor.

Güvenli Önyükleme bunu durdurmak için tasarlanmıştır. Windows 8 ve 10 bilgisayarlar, Microsoft'un UEFI'de depolanan sertifikasıyla birlikte gönderilir. UEFI, başlatmadan önce önyükleyiciyi kontrol edecek ve Microsoft tarafından imzalandığından emin olacaktır. Bir rootkit veya başka bir kötü amaçlı yazılım parçası önyükleyicinizi değiştirirse veya kurcalarsa, UEFI önyükleme yapmasına izin vermez. Bu, kötü amaçlı yazılımların önyükleme sürecinizi ele geçirmesini ve kendisini işletim sisteminizden gizlemesini önler.

Microsoft, Linux Dağıtımlarının Güvenli Önyükleme ile Önyükleme Yapmasına Nasıl İzin Verir?

Bu özellik teoride kötü amaçlı yazılımlara karşı koruma sağlamak için tasarlanmıştır. Dolayısıyla Microsoft, Linux dağıtımlarının yine de önyüklenmesine yardımcı olacak bir yol sunuyor. Bu nedenle, Ubuntu ve Fedora gibi bazı modern Linux dağıtımları, Güvenli Önyükleme etkinken bile modern bilgisayarlarda "sadece çalışır". Linux dağıtımları, önyükleme yükleyicilerini imzalatmak için başvurabilecekleri Microsoft Sysdev portalına erişmek için tek seferlik 99 ABD doları ödeyebilir.

Linux dağıtımlarında genellikle bir "shim" imzası vardır. Shim, basitçe Linux dağıtımlarının ana GRUB önyükleyicisini başlatan küçük bir önyükleme yükleyicisidir. Microsoft imzalı shim, Linux dağıtımı tarafından imzalanmış bir önyükleyiciyi önyüklediğinden emin olmak için denetler ve ardından Linux dağıtımı normal şekilde önyüklenir.

Ubuntu, Fedora, Red Hat Enterprise Linux ve openSUSE şu anda Secure Boot'u desteklemektedir ve modern donanım üzerinde herhangi bir değişiklik yapmadan çalışacaktır. Başkaları da olabilir, ama bunlar bizim farkında olduğumuz şeyler. Bazı Linux dağıtımları felsefi olarak Microsoft tarafından imzalanmak üzere başvurmaya karşıdır.

Güvenli Önyüklemeyi Nasıl Devre Dışı Bırakabilir veya Kontrol Edebilirsiniz?

Güvenli Önyüklemenin hepsi bu kadar olsaydı, PC'nizde Microsoft onaylı olmayan herhangi bir işletim sistemini çalıştıramazdınız. Ancak Güvenli Önyüklemeyi, eski bilgisayarlardaki BIOS gibi, bilgisayarınızın UEFI ürün yazılımından kontrol edebilirsiniz.

Güvenli Önyüklemeyi kontrol etmenin iki yolu vardır. En kolay yöntem, UEFI ürün yazılımına gitmek ve tamamen devre dışı bırakmaktır. UEFI ürün yazılımı, imzalı bir önyükleyici çalıştırdığınızdan emin olmak için kontrol etmez ve herhangi bir şey önyüklenir. Herhangi bir Linux dağıtımını önyükleyebilir veya hatta Güvenli Önyüklemeyi desteklemeyen Windows 7'yi yükleyebilirsiniz. Windows 8 ve 10 sorunsuz çalışacak, Güvenli Önyüklemenin önyükleme sürecinizi korumasının güvenlik avantajlarını kaybedeceksiniz.

Güvenli Önyüklemeyi daha da özelleştirebilirsiniz. Secure Boot'un hangi imzalama sertifikalarını sunduğunu kontrol edebilirsiniz. Hem yeni sertifikalar yüklemekte hem de mevcut sertifikaları kaldırmakta özgürsünüz. Örneğin, bilgisayarlarında Linux çalıştıran bir kuruluş, Microsoft'un sertifikalarını kaldırmayı ve yerine kuruluşun kendi sertifikasını yüklemeyi seçebilir. Bu bilgisayarlar daha sonra yalnızca söz konusu kuruluş tarafından onaylanan ve imzalanan önyükleme yükleyicileri başlatır.

Bunu bir kişi de yapabilir - kendi Linux önyükleyicinizi imzalayabilir ve bilgisayarınızın yalnızca kişisel olarak derleyip imzaladığınız önyükleme yükleyicileri çalıştırmasını sağlayabilirsiniz. Secure Boot'un sunduğu denetim ve güç türü budur.

Microsoft'un Bilgisayar Üreticilerinden Gereksinimi

Microsoft, bilgisayar üreticilerinin bilgisayarlarında o güzel "Windows 10" veya "Windows 8" sertifika etiketini istiyorlarsa Güvenli Önyüklemeyi etkinleştirmelerini istemez. Microsoft, PC üreticilerinin bunu belirli bir şekilde uygulamasını şart koşmaktadır.

Windows 8 PC'ler için, üreticilerin size Güvenli Önyüklemeyi kapatmanız için bir yol vermesi gerekiyordu. Microsoft, bilgisayar üreticilerinin kullanıcıların ellerine bir Güvenli Önyükleme durdurma anahtarı koymalarını istedi.

Windows 10 PC'ler için bu artık zorunlu değildir. PC üreticileri Güvenli Önyüklemeyi etkinleştirmeyi seçebilir ve kullanıcılara bunu kapatmanın bir yolunu sunmayabilir. Ancak, bunu yapan herhangi bir PC üreticisinin aslında farkında değiliz.

Benzer şekilde, PC üreticilerinin Windows'un önyükleme yapabilmesi için Microsoft'un ana "Microsoft Windows Production PCA" anahtarını dahil etmesi gerekirken, "Microsoft Corporation UEFI CA" anahtarını dahil etmeleri gerekmez. Bu ikinci anahtar yalnızca önerilir. Bu, Microsoft'un Linux önyükleyicilerini imzalamak için kullandığı ikinci, isteğe bağlı anahtardır. Ubuntu'nun belgeleri bunu açıklıyor.

Diğer bir deyişle, Güvenli Önyükleme açıkken tüm PC'ler imzalı Linux dağıtımlarını önyüklemez. Yine pratikte bunu yapan herhangi bir PC görmedik. Belki de hiçbir bilgisayar üreticisi, Linux'u yükleyemeyeceğiniz tek dizüstü bilgisayar hattını yapmak istemez.

Şimdilik, en azından genel Windows PC'ler, isterseniz Güvenli Önyüklemeyi devre dışı bırakmanıza izin vermeli ve Güvenli Önyüklemeyi devre dışı bırakmasanız bile Microsoft tarafından imzalanmış Linux dağıtımlarını başlatmalıdır.

Güvenli Önyükleme Windows RT'de Devre Dışı Bırakılamadı, ancak Windows RT Bitti

İLGİLİ: Windows RT Nedir ve Windows 8'den Ne Kadar Farklıdır?

Yukarıdakilerin tümü, standart Intel x86 donanımındaki standart Windows 8 ve 10 işletim sistemleri için geçerlidir. ARM için farklı.

Windows RT'de — Microsoft'un Surface RT ve Surface 2'de diğer aygıtların yanı sıra sunulan Windows 8 for ARM donanımı sürümü — Secure Boot devre dışı bırakılamadı. Günümüzde Güvenli Önyükleme, Windows 10 Mobile donanımında, diğer bir deyişle Windows 10 çalıştıran telefonlarda hala devre dışı bırakılamamaktadır.

Bunun nedeni, Microsoft'un ARM tabanlı Windows RT sistemlerini PC'ler değil, "cihazlar" olarak düşünmenizi istemesidir. Microsoft'un Mozilla'ya söylediği gibi, Windows RT "artık Windows değil."

Ancak, Windows RT artık öldü. ARM donanımı için Windows 10 masaüstü işletim sisteminin bir sürümü yok, bu yüzden bu artık endişelenmeniz gereken bir şey değil. Ancak, Microsoft Windows RT 10 donanımını geri getirirse, muhtemelen Güvenli Önyüklemeyi devre dışı bırakamazsınız.

İmaj Kredisi: Büyükelçi Üssü, John Bristowe