Sayangnya, ini juga mencegah Anda menginstal beberapa distribusi Linux, yang bisa jadi cukup merepotkan.
Bagaimana Boot Aman Mengamankan Proses Boot PC Anda
Secure Boot tidak hanya dirancang untuk membuat Linux lebih sulit. Ada keuntungan keamanan nyata untuk mengaktifkan Secure Boot, dan bahkan pengguna Linux dapat memanfaatkannya.
BIOS tradisional akan mem-boot semua perangkat lunak. Saat Anda mem-boot PC, perangkat ini memeriksa perangkat keras sesuai dengan urutan boot yang telah Anda konfigurasikan, dan mencoba untuk mem-boot dari mereka. PC biasa biasanya akan menemukan dan mem-boot boot loader Windows, yang kemudian mem-boot sistem operasi Windows penuh. Jika Anda menggunakan Linux, BIOS akan mencari dan mem-boot boot loader GRUB, yang digunakan sebagian besar distro Linux.
Namun, mungkin untuk malware, seperti rootkit, untuk mengganti boot loader Anda. Rootkit dapat memuat sistem operasi normal Anda tanpa indikasi ada yang salah, tetap tidak terlihat dan tidak terdeteksi pada sistem Anda. BIOS tidak mengetahui perbedaan antara malware dan boot loader tepercaya - hanya mem-boot apa pun yang ditemukannya.
Secure Boot dirancang untuk menghentikan ini. Windows 8 dan 10 PC dikirimkan dengan sertifikat Microsoft yang disimpan di UEFI. UEFI akan memeriksa boot loader sebelum meluncurkannya dan memastikannya ditandatangani oleh Microsoft. Jika rootkit atau malware lain menggantikan boot loader Anda atau merusaknya, UEFI tidak akan mengizinkannya untuk boot. Ini mencegah malware membajak proses boot Anda dan menyembunyikannya dari sistem operasi Anda.
Bagaimana Microsoft Memungkinkan Distribusi Linux untuk Boot dengan Boot Aman
Distribusi Linux umumnya memiliki "shim" yang ditandatangani. Shim adalah boot loader kecil yang hanya mem-boot distribusi Linux boot loader GRUB utama. Pengambilan shim yang ditandatangani Microsoft untuk memastikannya mem-boot sebuah boot loader yang ditandatangani oleh distribusi Linux, dan kemudian distribusi Linux mem-boot secara normal.
Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini mendukung Secure Boot, dan akan bekerja tanpa tweak pada perangkat keras modern. Mungkin ada yang lain, tetapi ini adalah yang kami ketahui. Beberapa distribusi Linux secara filosofis menentang penerapan untuk ditandatangani oleh Microsoft.
Bagaimana Anda Dapat Menonaktifkan atau Mengontrol Boot Aman
Ada dua cara untuk mengontrol Boot Aman. Metode termudah adalah menuju ke firmware UEFI dan nonaktifkan sepenuhnya. Firmware UEFI tidak akan memeriksa untuk memastikan Anda menjalankan boot loader yang ditandatangani, dan apa pun akan boot. Anda dapat mem-boot distribusi Linux apa pun atau bahkan menginstal Windows 7, yang tidak mendukung Secure Boot. Windows 8 dan 10 akan berfungsi dengan baik, Anda hanya akan kehilangan keuntungan keamanan karena Secure Boot melindungi proses boot Anda.
Anda juga dapat menyesuaikan Boot Aman lebih lanjut. Anda dapat mengontrol sertifikat penandatanganan penawaran Aman Boot. Anda bebas menginstal sertifikat baru dan menghapus sertifikat yang ada. Organisasi yang menjalankan Linux pada PC-nya, misalnya, dapat memilih untuk menghapus sertifikat Microsoft dan memasang sertifikat organisasi sendiri di tempatnya. PC-PC itu kemudian hanya boot boot loader disetujui dan ditandatangani oleh organisasi tertentu.
Seseorang juga dapat melakukan hal ini - Anda dapat menandatangani boot loader Linux Anda sendiri dan memastikan PC Anda hanya dapat mem-boot loader boot yang Anda susun dan tandatangani secara pribadi. Itulah jenis kontrol dan daya yang ditawarkan oleh Secure Boot.
Apa yang Dibutuhkan Microsoft terhadap Produsen PC
Microsoft tidak hanya mengharuskan vendor PC mengaktifkan Secure Boot jika mereka menginginkan stiker sertifikasi "Windows 10" atau "Windows 8" yang bagus di PC mereka. Microsoft mengharuskan produsen PC menerapkannya dengan cara tertentu.
Untuk PC Windows 8, produsen harus memberi Anda cara untuk mematikan Boot Aman. Microsoft mewajibkan produsen PC untuk memasang sakelar Boot Aman di tangan pengguna.
Untuk PC Windows 10, ini tidak lagi wajib. Produsen PC dapat memilih untuk mengaktifkan Secure Boot dan tidak memberi pengguna cara untuk mematikannya. Namun, kami sebenarnya tidak mengetahui produsen PC apa pun yang melakukan hal ini.
Demikian pula, ketika pabrikan PC harus memasukkan kunci Microsoft Windows Production PCA utama Microsoft sehingga Windows dapat melakukan boot, mereka tidak perlu memasukkan kunci "Microsoft Corporation UEFI CA". Kunci kedua ini hanya disarankan. Ini adalah kunci opsional kedua yang digunakan Microsoft untuk menandatangani boot loader Linux. Dokumentasi Ubuntu menjelaskan ini.
Dengan kata lain, tidak semua PC akan memulai booting distro Linux dengan Boot Aman diaktifkan. Sekali lagi, dalam praktiknya, kami belum melihat PC apa pun yang melakukan ini. Mungkin tidak ada pabrikan PC yang ingin membuat satu-satunya laptop yang tidak dapat Anda instal Linux.
Untuk saat ini, paling tidak, PC Windows utama harus memungkinkan Anda menonaktifkan Secure Boot jika Anda suka, dan mereka harus mem-boot distribusi Linux yang telah ditandatangani oleh Microsoft bahkan jika Anda tidak menonaktifkan Secure Boot.
Boot Aman Tidak Dapat Dinonaktifkan di Windows RT, tetapi Windows RT Mati
Di Windows RT - versi Windows 8 untuk perangkat keras ARM, yang dikirimkan di Microsoft Surface RT dan Surface 2, di antara perangkat lainnya - Boot Aman tidak dapat dinonaktifkan. Saat ini, Boot Aman masih tidak dapat dinonaktifkan pada perangkat seluler Windows 10 Seluler - dengan kata lain, ponsel yang menjalankan Windows 10.
Itu karena Microsoft ingin Anda memikirkan sistem Windows RT berbasis ARM sebagai "perangkat", bukan PC. Seperti yang dikatakan Microsoft kepada Mozilla, Windows RT "bukan Windows lagi."
Namun, Windows RT sekarang sudah mati. Tidak ada versi sistem operasi desktop Windows 10 untuk perangkat keras ARM, jadi ini bukan sesuatu yang harus Anda khawatirkan lagi. Namun, jika Microsoft mengembalikan perangkat keras Windows RT 10, Anda mungkin tidak akan dapat menonaktifkan Boot Aman di atasnya.