Windows 8 ve 10'da Güvenli Önyükleme Nasıl Çalışır ve Linux için Ne Anlama Gelir?

Modern PC'ler, "Güvenli Önyükleme" etkinleştirilmiş bir özellikle gelir. Bu, geleneksel PC BIOS'unun yerini alan UEFI'deki bir platform özelliğidir. Bir bilgisayar üreticisi, bilgisayarına bir "Windows 10" veya "Windows 8" logo etiketi yerleştirmek isterse, Microsoft, Güvenli Önyüklemeyi etkinleştirmelerini ve bazı yönergeleri izlemelerini ister.

Ne yazık ki, aynı zamanda oldukça zahmetli olabilen bazı Linux dağıtımlarını kurmanızı da engeller.

Güvenli Önyükleme, Bilgisayarınızın Önyükleme İşlemini Nasıl Güvende Tutar?

Güvenli Önyükleme, yalnızca Linux'u çalıştırmayı daha zor hale getirmek için tasarlanmamıştır. Güvenli Önyüklemeyi etkinleştirmenin gerçek güvenlik avantajları vardır ve Linux kullanıcıları bile bunlardan yararlanabilir.

Geleneksel bir BIOS, herhangi bir yazılımı önyükleyecektir. Bilgisayarınızı başlattığınızda, yapılandırdığınız önyükleme sırasına göre donanım aygıtlarını kontrol eder ve bunlardan önyüklemeye çalışır. Tipik PC'ler normalde tam Windows işletim sistemini başlatmak için devam eden Windows önyükleme yükleyicisini bulur ve başlatır. Linux kullanıyorsanız, BIOS çoğu Linux dağıtımının kullandığı GRUB önyükleyicisini bulur ve başlatır.

Ancak, rootkit gibi kötü amaçlı yazılımların önyükleyicinizin yerini alması mümkündür. Rootkit, normal işletim sisteminizi herhangi bir yanlışlık belirtisi olmadan yükleyebilir, sisteminizde tamamen görünmez ve algılanamaz kalır. BIOS, kötü amaçlı yazılım ile güvenilir bir önyükleyici arasındaki farkı bilmez; ne bulursa onu başlatır.

Güvenli Önyükleme bunu durdurmak için tasarlanmıştır. Windows 8 ve 10 bilgisayarlar, Microsoft'un UEFI'de saklanan sertifikasıyla birlikte gönderilir. UEFI, başlatmadan önce önyükleyiciyi kontrol edecek ve Microsoft tarafından imzalandığından emin olacaktır. Bir rootkit veya başka bir kötü amaçlı yazılım parçası, önyükleyicinizi değiştirirse veya kurcalarsa, UEFI önyüklemeye izin vermez. Bu, kötü amaçlı yazılımın önyükleme işleminizi ele geçirmesini ve kendisini işletim sisteminizden gizlemesini önler.

Microsoft, Linux Dağıtımlarının Güvenli Önyükleme ile Önyüklenmesine Nasıl İzin Veriyor?

Bu özellik, teorik olarak, yalnızca kötü amaçlı yazılımlara karşı koruma sağlamak için tasarlanmıştır. Bu nedenle Microsoft, Linux dağıtımlarının yine de önyüklenmesine yardımcı olacak bir yol sunar. Bu nedenle, Ubuntu ve Fedora gibi bazı modern Linux dağıtımları, Güvenli Önyükleme etkinleştirilmiş olsa bile modern bilgisayarlarda “sadece çalışır”. Linux dağıtımları, önyükleyicilerini imzalatmak için başvurabilecekleri Microsoft Sysdev portalına erişmek için bir kerelik 99$'lık bir ücret ödeyebilir.

Linux dağıtımlarında genellikle imzalı bir “şim” bulunur. Şim, Linux dağıtımlarının ana GRUB önyükleyicisini başlatan küçük bir önyükleyicidir. Microsoft imzalı dolgu, Linux dağıtımı tarafından imzalanmış bir önyükleyiciyi başlattığından emin olmak için denetler ve ardından Linux dağıtımı normal şekilde önyüklenir.

Ubuntu, Fedora, Red Hat Enterprise Linux ve openSUSE şu anda Güvenli Önyüklemeyi desteklemektedir ve modern donanım üzerinde herhangi bir ince ayar yapmadan çalışacaktır. Başkaları da olabilir, ama bunlar bizim bildiğimiz şeyler. Bazı Linux dağıtımları, Microsoft tarafından imzalanmak için başvurmaya felsefi olarak karşıdır.

Güvenli Önyüklemeyi Nasıl Devre Dışı Bırakabilir veya Kontrol Edebilirsiniz

Tüm Güvenli Önyükleme buysa, bilgisayarınızda Microsoft tarafından onaylanmayan herhangi bir işletim sistemini çalıştıramazsınız. Ancak, Güvenli Önyüklemeyi, eski bilgisayarlardaki BIOS'a benzer şekilde, bilgisayarınızın UEFI belleniminden kontrol edebilirsiniz.

Güvenli Önyüklemeyi kontrol etmenin iki yolu vardır. En kolay yöntem, UEFI ürün yazılımına gitmek ve onu tamamen devre dışı bırakmaktır. UEFI üretici yazılımı, imzalı bir önyükleyici çalıştırdığınızdan emin olmak için kontrol etmez ve her şey önyüklenir. Herhangi bir Linux dağıtımını önyükleyebilir veya Güvenli Önyüklemeyi desteklemeyen Windows 7'yi yükleyebilirsiniz. Windows 8 ve 10 düzgün çalışacak, Güvenli Önyükleme'nin önyükleme işleminizi korumasının güvenlik avantajlarını kaybedeceksiniz.

Ayrıca Güvenli Önyüklemeyi daha fazla özelleştirebilirsiniz. Secure Boot'un hangi imzalama sertifikalarını sunduğunu kontrol edebilirsiniz. Hem yeni sertifikalar yüklemekte hem de mevcut sertifikaları kaldırmakta özgürsünüz. Örneğin, bilgisayarlarında Linux çalıştıran bir kuruluş, Microsoft'un sertifikalarını kaldırmayı ve yerine kuruluşun kendi sertifikasını yüklemeyi seçebilir. Bu bilgisayarlar daha sonra yalnızca söz konusu kuruluş tarafından onaylanan ve imzalanan önyükleyicileri başlatır.

Bunu bir kişi de yapabilir; kendi Linux önyükleyicinizi imzalayabilir ve bilgisayarınızın yalnızca kişisel olarak derlediğiniz ve imzaladığınız önyükleyicileri önyükleyebilmesini sağlayabilirsiniz. Secure Boot'un sunduğu kontrol ve güç türü budur.

Microsoft, PC Üreticilerinden Ne İstiyor?

Microsoft, bilgisayarlarında bu güzel "Windows 10" veya "Windows 8" sertifika etiketini istiyorlarsa, yalnızca bilgisayar satıcılarının Güvenli Önyüklemeyi etkinleştirmesini gerektirmez. Microsoft, bilgisayar üreticilerinin bunu belirli bir şekilde uygulamasını gerektirir.

Windows 8 PC'ler için üreticilerin size Güvenli Önyüklemeyi kapatmanın bir yolunu vermesi gerekiyordu. Microsoft, bilgisayar üreticilerinin kullanıcıların ellerine bir Güvenli Önyükleme kapatma anahtarı vermesini istedi.

Windows 10 PC'ler için bu artık zorunlu değildir. PC üreticileri, Güvenli Önyüklemeyi etkinleştirmeyi seçebilir ve kullanıcılara bunu kapatmaları için bir yol sunmayabilir. Ancak, bunu yapan herhangi bir PC üreticisinin gerçekten farkında değiliz.

Benzer şekilde, bilgisayar üreticilerinin Windows'un önyüklenebilmesi için Microsoft'un ana “Microsoft Windows Production PCA” anahtarını içermesi gerekirken, “Microsoft Corporation UEFI CA” anahtarını dahil etmeleri gerekmez. Bu ikinci anahtar yalnızca önerilir. Microsoft'un Linux önyükleme yükleyicilerini imzalamak için kullandığı ikinci, isteğe bağlı anahtardır. Ubuntu'nun belgeleri bunu açıklıyor.

Diğer bir deyişle, tüm bilgisayarlar imzalı Linux dağıtımlarını Güvenli Önyükleme açıkken başlatmayabilir. Yine pratikte, bunu yapan herhangi bir PC görmedik. Belki de hiçbir PC üreticisi, Linux kuramayacağınız tek dizüstü bilgisayar serisini yapmak istemez.

Şimdilik, en azından ana akım Windows PC'ler, isterseniz Güvenli Önyüklemeyi devre dışı bırakmanıza izin vermeli ve Güvenli Önyüklemeyi devre dışı bırakmasanız bile Microsoft tarafından imzalanmış Linux dağıtımlarını başlatmalılar.

Windows RT'de Güvenli Önyükleme Devre Dışı Bırakılamadı, ancak Windows RT Öldü

İLGİLİ: Windows RT Nedir ve Windows 8'den Ne Kadar Farklıdır?

Yukarıdakilerin tümü, standart Intel x86 donanımındaki standart Windows 8 ve 10 işletim sistemleri için geçerlidir. ARM için durum farklıdır.

Windows RT'de—diğer cihazların yanı sıra Microsoft'un Surface RT ve Surface 2'sinde sunulan ARM donanımı için Windows 8 sürümü—Güvenli Önyükleme devre dışı bırakılamadı. Bugün, Güvenli Önyükleme, Windows 10 Mobile donanımında, yani Windows 10 çalıştıran telefonlarda hâlâ devre dışı bırakılamıyor.

Bunun nedeni, Microsoft'un ARM tabanlı Windows RT sistemlerini bilgisayarlar olarak değil "aygıtlar" olarak düşünmenizi istemesidir. Microsoft'un Mozilla'ya söylediği gibi, Windows RT “artık Windows değil”.

Ancak, Windows RT artık öldü. ARM donanımı için Windows 10 masaüstü işletim sisteminin bir sürümü yok, bu yüzden artık endişelenmeniz gereken bir şey değil. Ancak Microsoft, Windows RT 10 donanımını geri getirirse, muhtemelen Güvenli Önyüklemeyi devre dışı bırakamazsınız.

Image Credit: Büyükelçi Üssü, John Bristowe