PC cararn dikirimkan dengan fitur yang disebut “Boot Aman” diaktifkan. Ini adalah fitur platform di UEFI, yang menggantikan BIOS PC tradisional. Jika produsen PC ingin memasang stiker logo “Windows 10” atau “Windows 8” ke PC mereka, Microsoft mengharuskan mereka mengaktifkan Boot Aman dan mengikuti beberapa panduan.
Sayangnya, ini juga mencegah Anda menginstal beberapa distribusi Linux, yang bisa sangat merepotkan.
Bagaimana Secure Boot Mengamankan Proses Boot PC Anda
Boot Aman tidak hanya dirancang untuk membuat menjalankan Linux lebih sulit. Ada keuntungan keamanan yang nyata dengan mengaktifkan Boot Aman, dan bahkan pengguna Linux dapat mengambil manfaat darinya.
BIOS tradisional akan mem-boot perangkat lunak apa pun. Ketika Anda mem-boot PC Anda, ia akan memeriksa perangkat keras sesuai dengan urutan boot yang telah Anda konfigurasikan, dan mencoba untuk mem-boot dari mereka. PC biasa biasanya akan menemukan dan mem-boot boot loader Windows, yang melanjutkan untuk mem-boot sistem operasi Windows secara penuh. Jika Anda menggunakan Linux, BIOS akan menemukan dan mem-boot boot loader GRUB, yang digunakan sebagian besar distribusi Linux.
Namun, malware, seperti rootkit, dapat menggantikan boot loader Anda. Rootkit dapat memuat sistem operasi normal Anda tanpa indikasi ada yang salah, tetap benar-benar tidak terlihat dan tidak terdeteksi di sistem Anda. BIOS tidak mengetahui perbedaan antara malware dan pemuat boot tepercaya–itu hanya mem-boot apa pun yang ditemukannya.
Iklan
Secure Boot dirancang untuk menghentikan ini. PC Windows 8 dan 10 dikirimkan dengan sertifikat Microsoft yang disimpan di UEFI. UEFI akan memeriksa boot loader sebelum meluncurkannya dan memastikannya ditandatangani oleh Microsoft. Jika rootkit atau malware lain menggantikan boot loader Anda atau merusaknya, UEFI tidak akan mengizinkannya untuk boot. Ini mencegah malware membajak proses boot Anda dan menyembunyikan dirinya dari sistem operasi Anda.
Bagaimana Microsoft Mengizinkan Distribusi Linux untuk Boot dengan Boot Aman
Fitur ini, secara teori, hanya dirancang untuk melindungi dari malware. Jadi Microsoft menawarkan cara untuk membantu distribusi Linux boot. Itulah mengapa beberapa distribusi Linux cararn – seperti Ubuntu dan Fedora – akan “berfungsi” pada PC cararn, bahkan dengan Boot Aman diaktifkan. Distribusi Linux dapat membayar biaya satu kali sebesar $99 untuk mengakses portal Microsoft Sysdev, di mana mereka dapat mengajukan permohonan agar boot loader mereka ditandatangani.
Distribusi Linux umumnya memiliki tanda “shim”. Shim adalah boot loader kecil yang hanya mem-boot boot loader GRUB utama distribusi Linux. Shim yang ditandatangani Microsoft memeriksa untuk memastikan boot loader yang ditandatangani oleh distribusi Linux, dan kemudian distribusi Linux melakukan booting secara normal.
Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini mendukung Boot Aman, dan akan bekerja tanpa perubahan apa pun pada perangkat keras cararn. Mungkin ada yang lain, tetapi ini adalah yang kita ketahui. Beberapa distribusi Linux secara filosofis menentang penerapan untuk ditandatangani oleh Microsoft.
Bagaimana Anda Dapat Menonaktifkan atau Mengontrol Boot Aman
Jika hanya itu yang dilakukan Boot Aman, Anda tidak akan dapat menjalankan sistem operasi yang tidak disetujui Microsoft di PC Anda. Tetapi Anda mungkin dapat mengontrol Boot Aman dari firmware UEFI PC Anda, yang seperti BIOS di PC lama.
Ada dua cara untuk mengontrol Boot Aman. Metode termudah adalah menuju ke firmware UEFI dan menonaktifkannya sepenuhnya. Firmware UEFI tidak akan memeriksa untuk memastikan Anda menjalankan boot loader yang ditandatangani, dan apa pun akan boot. Anda dapat mem-boot distribusi Linux apa pun atau bahkan menginstal Windows 7, yang tidak mendukung Boot Aman. Windows 8 dan 10 akan bekerja dengan baik, Anda hanya akan kehilangan keuntungan keamanan memiliki Boot Aman melindungi proses boot Anda.
Iklan
Anda juga dapat menyesuaikan lebih lanjut Boot Aman. Anda dapat mengontrol sertifikat penandatanganan mana yang ditawarkan oleh Boot Aman. Anda bebas menginstal sertifikat baru dan menghapus sertifikat yang ada. Sebuah organisasi yang menjalankan Linux pada PC-nya, misalnya, dapat memilih untuk menghapus sertifikat Microsoft dan menginstal sertifikat organisasi itu sendiri sebagai gantinya. PC tersebut kemudian hanya akan mem-boot boot loader yang disetujui dan ditandatangani oleh organisasi tertentu itu.
Seseorang juga dapat melakukan ini – Anda dapat menandatangani boot loader Linux Anda sendiri dan memastikan PC Anda hanya dapat mem-boot boot loader yang Anda kompilasi dan tandatangani secara pribadi. Itulah jenis kontrol dan kekuatan yang ditawarkan oleh Secure Boot.
Apa yang Dibutuhkan Microsoft dari Produsen PC
Microsoft tidak hanya mengharuskan vendor PC mengaktifkan Boot Aman jika mereka menginginkan stiker sertifikasi “Windows 10” atau “Windows 8” yang bagus di PC mereka. Microsoft mengharuskan produsen PC mengimplementasikannya dengan cara tertentu.
Untuk PC Windows 8, produsen harus memberi Anda cara untuk mematikan Boot Aman. Microsoft mengharuskan produsen PC untuk meletakkan sakelar mematikan Boot Aman di tangan pengguna.
Untuk PC Windows 10, ini tidak lagi wajib. Produsen PC dapat memilih untuk mengaktifkan Boot Aman dan tidak memberi pengguna cara untuk mematikannya. Namun, kita sebenarnya tidak mengetahui adanya produsen PC yang melakukan ini.
Demikian pula, sementara produsen PC harus menyertakan kunci utama “Microsoft Windows Production PCA” Microsoft agar Windows dapat melakukan booting, mereka tidak harus menyertakan kunci “Microsoft Corporation UEFI CA”. Kunci kedua ini hanya disarankan. Ini adalah kunci opsional kedua yang digunakan Microsoft untuk menandatangani boot loader Linux. Dokumentasi Ubuntu menjelaskan hal ini.
Iklan
Dengan kata lain, tidak semua PC harus mem-boot distribusi Linux yang ditandatangani dengan Boot Aman dihidupkan. Sekali lagi, dalam praktiknya, kita belum melihat ada PC yang melakukan ini. Mungkin tidak ada produsen PC yang ingin membuat satu-satunya lini laptop tempat Anda tidak dapat menginstal Linux.
Untuk saat ini, setidaknya, PC Windows arus utama harus memungkinkan Anda untuk menonaktifkan Boot Aman jika Anda suka, dan mereka harus mem-boot distribusi Linux yang telah ditandatangani oleh Microsoft bahkan jika Anda tidak menonaktifkan Boot Aman.
Boot Aman Tidak Dapat Dinonaktifkan di Windows RT, tetapi Windows RT Mati
TERKAIT: Apa itu Windows RT, dan Apa Bedanya dengan Windows 8?
Semua hal di atas berlaku untuk sistem operasi Windows 8 dan 10 standar pada perangkat keras Intel x86 standar. Ini berbeda untuk ARM.
Pada Windows RT —versi Windows 8 untuk perangkat keras ARM, yang dikirimkan pada Microsoft Surface RT dan Surface 2, di antara perangkat lain—Boot Aman tidak dapat dinonaktifkan. Saat ini, Secure Boot masih tidak dapat dinonaktifkan pada perangkat keras Windows 10 Mobile – dengan kata lain, ponsel yang menjalankan Windows 10.
Itu karena Microsoft ingin Anda menganggap sistem Windows RT berbasis ARM sebagai “perangkat”, bukan PC. Seperti yang dikatakan Microsoft kepada Mozilla, Windows RT “bukan lagi Windows.”
Namun, Windows RT sekarang sudah mati. Tidak ada
versi sistem operasi desktop Windows 10 untuk perangkat keras ARM, jadi ini bukan sesuatu yang perlu Anda khawatirkan lagi. Tetapi, jika Microsoft mengembalikan perangkat keras Windows RT 10, kemungkinan Anda tidak akan dapat menonaktifkan Boot Aman di dalamnya.
Kredit Gambar: Pangkalan Duta Besar, John Bristowe