Güvenli Önyükleme Windows 8 ve 10'da Nasıl Çalışır ve Linux için Anlamı

Modern bilgisayarlar “Güvenli Önyükleme” etkin bir özelliğe sahiptir. Bu, geleneksel PC BIOS'un yerini alan UEFI'deki bir platform özelliğidir. Bir PC üreticisi bilgisayarlarına “Windows 10” veya “Windows 8” logo çıkartması yerleştirmek istiyorsa, Microsoft, Güvenli Önyükleme'yi etkinleştirmelerini ve bazı yönergeleri izlemelerini gerektirir.

Ne yazık ki, bazı Linux dağıtımlarını yüklemenizi de önler, bu da oldukça zor olabilir.

Güvenli Önyükleme Bilgisayarınızın Önyükleme Sürecini Nasıl Korur?

Güvenli Önyükleme yalnızca Linux çalıştırmayı zorlaştırmak için tasarlanmamıştır. Güvenli Önyükleme'yi etkinleştirmenin gerçek güvenlik avantajları vardır ve Linux kullanıcıları bile bunlardan yararlanabilir.

Geleneksel bir BIOS herhangi bir yazılımı önyükleyecektir. Bilgisayarınızı önyüklediğinizde, donanım aygıtlarını yapılandırdığınız önyükleme sırasına göre denetler ve onlardan önyüklemeye çalışır. Tipik PC'ler normalde tam Windows işletim sistemini önyüklemeye devam eden Windows önyükleme yükleyicisini bulur ve önyükler. Linux kullanıyorsanız, BIOS çoğu Linux dağıtımının kullandığı GRUB önyükleme yükleyicisini bulur ve önyükler.

Ancak, rootkit gibi kötü amaçlı yazılımların önyükleme yükleyicinizi değiştirmesi mümkündür. Rootkit, normal işletim sisteminizi hiçbir şeyin yanlış olduğuna dair hiçbir belirti göstermeden yükleyebilir ve sisteminizde tamamen görünmez ve tespit edilemez kalabilir. BIOS, kötü amaçlı yazılım ve güvenilir bir önyükleme yükleyicisi arasındaki farkı bilmiyor; sadece bulduğu her şeyi önyükliyor.

Güvenli Önyükleme bunu durdurmak için tasarlanmıştır. Windows 8 ve 10 bilgisayarlar Microsoft'un UEFI'de saklanan sertifikası ile birlikte gönderilir. UEFI, başlatmadan önce önyükleme yükleyicisini kontrol eder ve Microsoft tarafından imzalandığından emin olur. Bir rootkit veya başka bir kötü amaçlı yazılım önyükleme yükleyicinizi veya kurcalamayı değiştirirse, UEFI önyüklemesine izin vermez. Bu, kötü amaçlı yazılımların önyükleme işleminizi ele geçirmesini ve işletim sisteminizden kendisini gizlemesini önler.

Microsoft, Linux Dağıtımlarının Güvenli Önyükleme ile Önyüklemesine İzin Verir

Bu özellik, teorik olarak, sadece kötü amaçlı yazılımlara karşı korumak için tasarlanmıştır. Microsoft, Linux dağıtımlarının zaten önyükleme yapmasına yardımcı olacak bir yol sunuyor. İşte bu nedenle Ubuntu ve Fedora gibi bazı modern Linux dağıtımları, Güvenli Önyükleme etkin olsa bile modern bilgisayarlarda “çalışır”. Linux dağıtımları, önyükleme yükleyicilerinin imzalanması için başvurabilecekleri Microsoft Sysdev portalına erişmek için bir kerelik 99 $ ücret ödeyebilir.

Linux dağıtımlarında genellikle “shim” imzası vardır. Şim, Linux dağıtımları ana GRUB önyükleme yükleyicisini basitçe önleyen küçük bir önyükleme yükleyicisidir. Microsoft imzalı şim, Linux dağıtımı tarafından imzalanan bir önyükleme yükleyicisini önyüklediğinden emin olur ve Linux dağıtımı normal şekilde önyüklenir.

Ubuntu, Fedora, Red Hat Enterprise Linux ve openSUSE şu anda Güvenli Önyükleme'yi desteklemektedir ve modern donanımda herhangi bir değişiklik yapmadan çalışacaktır. Başkaları da olabilir, ama bunlar farkındayız. Bazı Linux dağıtımları felsefi olarak Microsoft tarafından imzalanmak üzere başvurmaya karşıdır.

Güvenli Önyüklemeyi Nasıl Devre Dışı Bırakabilir veya Denetleyebilirsiniz

Güvenli Önyüklemenin tamamı buysa, PC'nizde Microsoft tarafından onaylanmamış herhangi bir işletim sistemi çalıştıramazsınız. Ancak, Güvenli Önyüklemeyi muhtemelen daha eski bilgisayarlardaki BIOS gibi PC'nizin UEFI belleniminden kontrol edebilirsiniz.

Güvenli Önyüklemeyi kontrol etmenin iki yolu vardır. En kolay yöntem UEFI ürün yazılımına yönelmek ve tamamen devre dışı bırakmaktır. UEFI ürün yazılımı, imzalı bir önyükleme yükleyicisi çalıştırdığınızı kontrol etmez ve her şey önyüklenir. Herhangi bir Linux dağıtımını önyükleyebilir ya da Güvenli Önyüklemeyi desteklemeyen Windows 7'yi yükleyebilirsiniz. Windows 8 ve 10 iyi çalışır, Güvenli Önyükleme'nin önyükleme işleminizi korumasının güvenlik avantajlarını kaybedersiniz.

Ayrıca, Güvenli Önyüklemeyi daha da özelleştirebilirsiniz. Güvenli Önyükleme'nin hangi imza sertifikalarını sunduğunu kontrol edebilirsiniz. Hem yeni sertifikalar yüklemekte hem de mevcut sertifikaları kaldırmakta özgürsünüz. Örneğin, bilgisayarlarında Linux çalıştıran bir kuruluş, Microsoft’un sertifikalarını kaldırmayı ve kuruluşun kendi sertifikasını onun yerine yüklemeyi seçebilir. Bu bilgisayarlar daha sonra yalnızca ilgili kuruluş tarafından onaylanan ve imzalanan önyükleme yükleyicilerini önyükleyecektir.

Bir kişi de bunu yapabilir; kendi Linux önyükleme yükleyicinizi imzalayabilir ve PC'nizin yalnızca kişisel olarak derlediğiniz ve imzaladığınız önyükleme yükleyicilerini önyükleyebildiğinden emin olabilirsiniz. Güvenli Önyükleme'nin sunduğu bu tür kontrol ve güç.

Microsoft PC Üreticilerinin Gereksinimleri

Microsoft, bilgisayarlarında bu güzel “Windows 10” veya “Windows 8” sertifika etiketini istedikleri takdirde PC satıcılarının Güvenli Önyükleme'yi etkinleştirmesini gerektirmez. Microsoft, PC üreticilerinin belirli bir şekilde uygulamasını gerektirir.

Windows 8 bilgisayarlarda üreticiler size Güvenli Önyüklemeyi kapatmanın bir yolunu vermek zorundaydı. Microsoft, PC üreticilerinin kullanıcıların eline Güvenli Önyükleme öldürme anahtarı koymasını istedi.

Windows 10 bilgisayarlar için bu artık zorunlu değildir. PC üreticileri Güvenli Önyüklemeyi etkinleştirmeyi seçebilir ve kullanıcılara bunu kapatmaları için bir yol veremez. Ancak, bunu yapan hiçbir PC üreticisinin farkında değiliz.

Benzer şekilde, PC üreticilerinin Windows'un önyükleme yapabilmesi için Microsoft’un ana “Microsoft Windows Production PCA” anahtarını içermesi gerekirken, “Microsoft Corporation UEFI CA” anahtarını eklemeleri gerekmez. Bu ikinci anahtar yalnızca önerilir. Microsoft'un Linux önyükleme yükleyicilerini imzalamak için kullandığı ikinci, isteğe bağlı anahtardır. Ubuntu’nun belgeleri bunu açıklıyor.

Başka bir deyişle, tüm bilgisayarlar Güvenli Önyükleme açıkken imzalı Linux dağıtımlarını önyüklemeyebilir. Yine, pratikte, bunu yapan herhangi bir PC görmedik. Belki de hiçbir PC üreticisi Linux kuramadığınız tek dizüstü bilgisayar hattını yapmak istemez.

Şimdilik, en azından ana Windows PC'ler, isterseniz Güvenli Önyükleme'yi devre dışı bırakmanıza izin vermeli ve Güvenli Önyükleme'yi devre dışı bırakmasanız bile Microsoft tarafından imzalanmış Linux dağıtımlarını önyüklemelidir.

Güvenli Önyükleme Windows RT'de Devre Dışı Bırakılamadı, ancak Windows RT Öldü

İLİŞKİLİ: Windows RT Nedir ve Windows 8'den Nasıl Farklıdır?

Yukarıdakilerin tümü, standart Intel x86 donanımındaki standart Windows 8 ve 10 işletim sistemleri için geçerlidir. ARM için farklı.

Windows RT'de – diğer cihazların yanı sıra Microsoft’un Surface RT ve Surface 2’de gönderilen ARM donanımı için Windows 8 sürümü – Güvenli Önyükleme devre dışı bırakılamadı. Bugün, Güvenli Önyükleme Windows 10 Mobile donanımında, yani Windows 10 çalıştıran telefonlarda hala devre dışı bırakılamaz.

Bunun nedeni Microsoft'un ARM tabanlı Windows RT sistemlerini PC değil “aygıt” olarak düşünmenizi istemesidir. Microsoft'un Mozilla'ya söylediği gibi, Windows RT “artık Windows değil”.

Ancak, Windows RT artık öldü. ARM donanımı için Windows 10 masaüstü işletim sisteminin bir sürümü yok, bu yüzden artık endişelenmeniz gereken bir şey değil. Ancak, Microsoft Windows RT 10 donanımını geri getirirse, muhtemelen Güvenli Önyükleme'yi devre dışı bırakamazsınız.

İmaj Kredisi: Büyükelçi Üssü, John Bristowe

LEAVE A REPLY

Please enter your comment!
Please enter your name here