Bagaimana Boot Aman Bekerja pada Windows 8 dan 10, dan Apa Artinya untuk Linux
PC modern dikirimkan dengan fitur yang disebut "Boot Aman" diaktifkan. Ini adalah fitur platform di UEFI, yang menggantikan BIOS PC tradisional. Jika produsen PC ingin menempatkan stiker logo "Windows 10" atau "Windows 8" ke PC mereka, Microsoft mengharuskan mereka mengaktifkan Boot Aman dan mengikuti beberapa pedoman.
Sayangnya, itu juga mencegah Anda menginstal beberapa distribusi Linux, yang bisa sangat merepotkan.
Bagaimana Boot Aman Mengamankan Proses Boot PC Anda
Secure Boot tidak hanya dirancang untuk membuat menjalankan Linux lebih sulit. Ada keuntungan keamanan nyata untuk mengaktifkan Boot Aman, dan bahkan pengguna Linux dapat mengambil manfaat dari itu.
BIOS tradisional akan mem-boot perangkat lunak apa pun. Ketika Anda mem-boot PC Anda, itu memeriksa perangkat perangkat keras sesuai dengan urutan boot yang telah Anda konfigurasi, dan mencoba untuk mem-boot darinya. Biasanya PC akan menemukan dan mem-boot loader boot Windows, yang selanjutnya mem-boot sistem operasi Windows secara penuh. Jika Anda menggunakan Linux, BIOS akan menemukan dan mem-boot loader boot GRUB, yang digunakan oleh sebagian besar distribusi Linux.
Namun, malware mungkin, seperti rootkit, untuk mengganti bootloader Anda. Rootkit dapat memuat sistem operasi normal Anda tanpa ada indikasi ada masalah, tetap tidak terlihat dan tidak terdeteksi di sistem Anda. BIOS tidak tahu perbedaan antara malware dan bootloader tepercaya — BIOS hanya mem-boot apa pun yang ditemukannya.
Boot Aman dirancang untuk menghentikan ini. PC Windows 8 dan 10 dikirimkan bersama sertifikat Microsoft yang disimpan di UEFI. UEFI akan memeriksa boot loader sebelum meluncurkannya dan memastikannya ditandatangani oleh Microsoft. Jika rootkit atau malware lain menggantikan bootloader atau merusaknya, UEFI tidak akan mengizinkannya untuk boot. Ini mencegah malware membajak proses boot Anda dan menyembunyikan diri dari sistem operasi Anda.
Bagaimana Microsoft Memungkinkan Distribusi Linux untuk Boot dengan Secure Boot
Secara teori, fitur ini hanya dirancang untuk melindungi dari malware. Jadi Microsoft menawarkan cara untuk membantu distro Linux tetap boot. Itulah sebabnya beberapa distribusi Linux modern - seperti Ubuntu dan Fedora - akan "bekerja" pada PC modern, bahkan dengan Boot Aman diaktifkan. Distribusi Linux dapat membayar biaya satu kali sebesar $ 99 untuk mengakses portal Microsoft Sysdev, di mana mereka dapat mendaftar agar bootloadernya ditandatangani..
Distribusi Linux pada umumnya memiliki tanda "shim". Shim adalah boot loader kecil yang hanya mem-boot bootload utama distribusi Linux GRUB. Microsoft menandatangani shim untuk memastikan boot boot loader yang ditandatangani oleh distribusi Linux, dan kemudian distribusi Linux berjalan normal.
Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini mendukung Boot Aman, dan akan bekerja tanpa tweak pada perangkat keras modern. Mungkin ada yang lain, tetapi ini adalah yang kami sadari. Beberapa distribusi Linux secara filosofis menentang pendaftaran yang ditandatangani oleh Microsoft.
Bagaimana Anda Dapat Menonaktifkan atau Mengontrol Boot Aman
Jika hanya itu yang dilakukan Secure Boot, Anda tidak akan dapat menjalankan sistem operasi yang tidak disetujui Microsoft pada PC Anda. Tetapi Anda mungkin dapat mengontrol Boot Aman dari firmware UEFI PC Anda, yang seperti BIOS pada PC yang lebih lama.
Ada dua cara untuk mengontrol Boot Aman. Metode termudah adalah menuju ke firmware UEFI dan nonaktifkan sepenuhnya. Firmware UEFI tidak akan memeriksa untuk memastikan Anda menjalankan bootloader yang ditandatangani, dan apa pun akan boot. Anda dapat mem-boot distribusi Linux apa pun atau bahkan menginstal Windows 7, yang tidak mendukung Boot Aman. Windows 8 dan 10 akan berfungsi dengan baik, Anda hanya akan kehilangan keuntungan keamanan karena Boot Aman melindungi proses boot Anda.
Anda juga dapat lebih lanjut dapat menyesuaikan Boot Aman. Anda dapat mengontrol sertifikat penandatanganan yang menawarkan Boot Aman. Anda bebas memasang sertifikat baru dan menghapus sertifikat yang ada. Organisasi yang menjalankan Linux pada PC-nya, misalnya, dapat memilih untuk menghapus sertifikat Microsoft dan memasang sertifikat organisasi sendiri di tempatnya. PC-PC tersebut kemudian hanya akan mem-boot loader yang disetujui dan ditandatangani oleh organisasi tertentu itu.
Seorang individu dapat melakukan ini, Anda juga dapat menandatangani boot loader Linux Anda sendiri dan memastikan PC Anda hanya bisa boot loader boot yang Anda kompilasi dan tandatangani secara pribadi. Itulah jenis kontrol dan daya yang ditawarkan Boot Aman.
Apa yang Dibutuhkan Microsoft dari Produsen PC
Microsoft tidak hanya mengharuskan vendor PC mengaktifkan Boot Aman jika mereka menginginkan stiker sertifikasi "Windows 10" atau "Windows 8" yang bagus itu di PC mereka. Microsoft mengharuskan produsen PC menerapkannya dengan cara tertentu.
Untuk PC Windows 8, produsen harus memberi Anda cara untuk mematikan Boot Aman. Microsoft meminta pabrikan PC untuk meletakkan sakelar Pembunuhan Boot Aman di tangan pengguna.
Untuk PC Windows 10, ini tidak lagi wajib. Produsen PC dapat memilih untuk mengaktifkan Boot Aman dan tidak memberi pengguna cara untuk mematikannya. Namun, kami sebenarnya tidak mengetahui adanya produsen PC yang melakukan ini.
Demikian pula, sementara produsen PC harus memasukkan kunci utama "Microsoft Windows Production PCA" Microsoft sehingga Windows dapat melakukan boot, mereka tidak harus memasukkan kunci "Microsoft Corporation UEFI CA". Kunci kedua ini hanya disarankan. Ini adalah kunci opsional kedua yang digunakan Microsoft untuk menandatangani bootloader Linux. Dokumentasi Ubuntu menjelaskan hal ini.
Dengan kata lain, tidak semua PC harus mem-boot distribusi Linux yang masuk dengan Secure Boot dinyalakan. Sekali lagi, dalam praktiknya, kami belum melihat PC yang melakukan ini. Mungkin tidak ada produsen PC yang ingin membuat satu-satunya lini laptop di mana Anda tidak dapat menginstal Linux.
Untuk saat ini, setidaknya, PC Windows mainstream harus memungkinkan Anda untuk menonaktifkan Boot Aman jika Anda suka, dan mereka harus mem-boot distribusi Linux yang telah ditandatangani oleh Microsoft bahkan jika Anda tidak menonaktifkan Boot Aman.
Boot Aman Tidak Dapat Dinonaktifkan pada Windows RT, tetapi Windows RT Mati
Semua hal di atas berlaku untuk sistem operasi Windows 8 dan 10 standar pada perangkat keras Intel x86 standar. Ini berbeda untuk ARM.
Pada Windows RT-versi Windows 8 untuk perangkat keras ARM, yang dikirim pada Surface RT dan Surface 2 Microsoft, di antara perangkat lain-Secure Boot tidak dapat dinonaktifkan. Saat ini, Boot Aman masih tidak dapat dinonaktifkan pada perangkat keras Windows 10 Mobile-dengan kata lain, ponsel yang menjalankan Windows 10.
Itu karena Microsoft ingin Anda menganggap sistem Windows RT berbasis ARM sebagai "perangkat," bukan PC. Seperti yang dikatakan Microsoft kepada Mozilla, Windows RT “bukan Windows lagi.”
Namun, Windows RT sekarang mati. Tidak ada versi sistem operasi desktop Windows 10 untuk ARM-hardware, jadi ini bukan sesuatu yang harus Anda khawatirkan lagi. Tetapi, jika Microsoft mengembalikan perangkat keras Windows RT 10, Anda kemungkinan tidak akan dapat menonaktifkan Boot Aman di dalamnya.
Kredit Gambar: Pangkalan Duta Besar, John Bristowe