Kapal PC modern dengan fitur yang disebut "Boot Aman" diaktifkan. Ini adalah fitur platform di UEFI, yang menggantikan BIOS PC tradisional. Jika pabrikan PC ingin menempatkan stiker logo "Windows 10" atau "Windows 8" ke PC mereka, Microsoft mengharuskan mereka mengaktifkan Boot Aman dan mengikuti beberapa panduan.
Sayangnya, ini juga mencegah Anda menginstal beberapa distribusi Linux, yang bisa jadi cukup merepotkan.
Secure Boot tidak hanya dirancang untuk membuat Linux berjalan lebih sulit. Ada keuntungan keamanan nyata untuk mengaktifkan Secure Boot, dan bahkan pengguna Linux dapat memanfaatkannya.
BIOS tradisional akan mem-boot semua perangkat lunak. Saat Anda mem-boot PC, ia akan memeriksa perangkat keras sesuai dengan urutan boot yang telah Anda konfigurasikan, dan mencoba untuk boot dari mereka. PC biasa biasanya akan menemukan dan mem-boot boot loader Windows, yang kemudian mem-boot sistem operasi Windows penuh. Jika Anda menggunakan Linux, BIOS akan mencari dan mem-boot boot loader GRUB, yang digunakan sebagian besar distro Linux.
Namun, ada kemungkinan untuk malware, seperti rootkit, untuk mengganti boot loader Anda. Rootkit dapat memuat sistem operasi normal Anda tanpa indikasi ada yang salah, tetap tidak terlihat dan tidak terdeteksi pada sistem Anda. BIOS tidak tahu perbedaan antara malware dan boot loader yang dipercaya - hanya mem-boot apa pun yang ditemukannya.
Secure Boot dirancang untuk menghentikan ini. Windows 8 dan 10 PC dikirimkan dengan sertifikat Microsoft yang disimpan di UEFI. UEFI akan memeriksa boot loader sebelum meluncurkannya dan memastikannya ditandatangani oleh Microsoft. Jika rootkit atau malware lain menggantikan boot loader Anda atau merusaknya, UEFI tidak akan mengizinkannya untuk boot. Ini mencegah malware membajak proses boot Anda dan menyembunyikannya dari sistem operasi Anda.
Fitur ini, secara teori, hanya dirancang untuk melindungi terhadap malware. Jadi Microsoft menawarkan cara untuk membantu distribusi Linux tetap boot. Itu sebabnya beberapa distribusi Linux modern seperti Ubuntu dan Fedora-akan "hanya berfungsi" pada PC modern, bahkan dengan Secure Boot diaktifkan. Distribusi Linux dapat membayar biaya satu kali sebesar $ 99 untuk mengakses portal Microsoft Sysdev, di mana mereka dapat mengajukan permohonan agar pemuat boot mereka ditandatangani.
Distribusi Linux umumnya memiliki "shim" yang ditandatangani. Shim adalah boot loader kecil yang hanya mem-boot distribusi Linux boot loader GRUB utama. Shim yang diperiksa oleh Microsoft memeriksa untuk memastikan ia mem-boot sebuah boot loader yang ditandatangani oleh distribusi Linux, dan kemudian distribusi Linux melakukan boot secara normal.
Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini mendukung Secure Boot, dan akan bekerja tanpa tweak pada perangkat keras modern. Mungkin ada yang lain, tetapi ini adalah yang kami sadari. Beberapa distribusi Linux secara filosofis menentang penerapan untuk ditandatangani oleh Microsoft.
Jika itu semua yang dilakukan oleh Secure Boot, Anda tidak akan dapat menjalankan sistem operasi yang tidak disetujui Microsoft pada PC Anda. Tetapi Anda mungkin dapat mengontrol Secure Boot dari firmware UEFI PC Anda, yang seperti BIOS pada PC yang lebih lama.
Ada dua cara untuk mengontrol Boot Aman. Metode termudah adalah menuju ke firmware UEFI dan nonaktifkan sepenuhnya. Firmware UEFI tidak akan memeriksa untuk memastikan Anda menjalankan boot loader yang ditandatangani, dan apa pun akan boot. Anda dapat mem-boot distribusi Linux atau bahkan menginstal Windows 7, yang tidak mendukung Secure Boot. Windows 8 dan 10 akan berfungsi dengan baik, Anda hanya akan kehilangan keuntungan keamanan karena Secure Boot melindungi proses boot Anda.
Anda juga dapat menyesuaikan Boot Aman lebih lanjut. Anda dapat mengontrol sertifikat penandatanganan penawaran Aman Boot. Anda bebas menginstal sertifikat baru dan menghapus sertifikat yang ada. Organisasi yang menjalankan Linux pada PC-nya, misalnya, dapat memilih untuk menghapus sertifikat Microsoft dan memasang sertifikat organisasi sendiri di tempatnya. PC-PC itu kemudian hanya boot boot loader disetujui dan ditandatangani oleh organisasi tertentu.
Seseorang juga dapat melakukan ini, Anda dapat menandatangani boot loader Linux Anda sendiri dan memastikan PC Anda hanya dapat mem-boot loader boot yang Anda susun dan tandatangani secara pribadi. Itulah jenis kontrol dan daya yang ditawarkan oleh Secure Boot.
Microsoft tidak hanya mengharuskan vendor PC mengaktifkan Secure Boot jika mereka menginginkan stiker sertifikasi "Windows 10" atau "Windows 8" yang bagus di PC mereka. Microsoft mengharuskan produsen PC menerapkannya dengan cara tertentu.
Untuk PC Windows 8, produsen harus memberi Anda cara untuk mematikan Boot Aman. Microsoft mewajibkan produsen PC untuk memasang sakelar Boot Aman di tangan pengguna.
Untuk PC Windows 10, ini tidak lagi wajib. Produsen PC dapat memilih untuk mengaktifkan Secure Boot dan tidak memberi pengguna cara untuk mematikannya. Namun, kami sebenarnya tidak mengetahui produsen PC apa pun yang melakukan hal ini.
Demikian pula, sementara produsen PC harus menyertakan kunci Microsoft Windows Production PCA utama sehingga Windows dapat melakukan boot, mereka tidak harus menyertakan kunci "Microsoft Corporation UEFI CA". Kunci kedua ini hanya disarankan. Ini adalah kunci opsional kedua yang digunakan Microsoft untuk menandatangani boot loader Linux. Dokumentasi Ubuntu menjelaskan ini.
Dengan kata lain, tidak semua PC akan memulai booting distro Linux dengan Boot Aman diaktifkan. Sekali lagi, dalam prakteknya, kami belum melihat ada PC yang melakukan ini. Mungkin tidak ada pabrikan PC yang ingin membuat satu-satunya laptop yang tidak dapat Anda instal Linux.
Untuk saat ini, paling tidak, PC Windows utama harus memungkinkan Anda untuk menonaktifkan Secure Boot jika Anda suka, dan mereka harus mem-boot distribusi Linux yang telah ditandatangani oleh Microsoft bahkan jika Anda tidak menonaktifkan Secure Boot.
Semua hal di atas berlaku untuk sistem operasi standar Windows 8 dan 10 pada perangkat keras Intel x86 standar. Ini berbeda untuk ARM.
Pada Windows RT-versi Windows 8 untuk perangkat keras ARM, yang dikirim ke Microsoft Surface RT dan Surface 2, di antara perangkat lainnya-Secure Boot tidak dapat dinonaktifkan. Hari ini, Secure Boot masih tidak dapat dinonaktifkan pada perangkat keras Windows 10 Mobile-dengan kata lain, ponsel yang menjalankan Windows 10.
Itu karena Microsoft ingin Anda memikirkan sistem Windows RT berbasis ARM sebagai "perangkat," bukan PC. Seperti Microsoft mengatakan kepada Mozilla, Windows RT "bukan Windows lagi."
Namun, Windows RT sekarang sudah mati. Tidak ada versi sistem operasi desktop Windows 10 untuk perangkat keras ARM, jadi ini bukan sesuatu yang harus Anda khawatirkan lagi. Tapi, jika Microsoft membawa kembali perangkat keras Windows RT 10, Anda mungkin tidak akan dapat menonaktifkan Boot Aman di atasnya.
Kredit Gambar: Duta Besar, John Bristowe
