Güvenli Önyükleme (Secure Boot) Nedir? - Windows 8 veya 10 Yüklü Gelen PClerde Başka İşletim Sistemi Yükleyememe Sorunu
https://8.enpedi.com/2013/01/guvenli-onyukleme-secure-boot-nedir.html
Sonda söyleyeceğimi baştan söyleyeyim: Güvenli Önyükleme (Secure Boot) hakında sağdan soldan duyduğunuz tedirginliklerin, suçlamaların pek aslı yok. Güvenli Önyükleme (Secure Boot) son derece güçlü bir sistem koruma silahı ve kişisel bilgilerinizi ve bilgisayarınızı son derece etkin bir şekilde korur.
"Peki neden Microsoft Apple'ın yıllardır benzerini uyguladığı bu güvenlik opsiyonunu bu kadar geç devreye soktu?" sorusu aklınıza gelebilir. Bunun sebebi Güvenli Önyükleme (Secure Boot) opsiyonunun donanımsal gereksinimleri olması ve bildiğimiz klasik BIOS ile çalışmasının mümkün olmaması. Başka bir deyişle Güvenli Önyükleme (Secure Boot) seçeneğini kullanabilmeniz için anakartınızın UEFI BIOS 2.3.1 ve üstü UEFI BIOS'a sahip olması gerekiyor. Daha da açarsak Güvenli Önyükleme aslında bir UEFI özelliği, Windows 8 özelliği değil. Ama Windows 8'de de Güvenli Önyükleme özelliği var ve UEFI'nin Güvenli Önyükleme özelliğini baz alarak çalışıyor.
İşte nispeten eski bilgisayarlara ( 1+ yıl) Windows 8'i yükseltme kurulumu ile yüklemeye çalıştığınızda aldığınız Güvenli Önyükleme kişisel bilgisayarınızla uyumlu değil bilgilendirmesinin bahsettiği Güvenli Önyükleme'de bu yazıda anlatmaya çalışcağım konu;
Windows 8'in en çok tartışma yaratan ve şüpheyle yaklaşılan yeniliklerinden biri Güvenli Önyükleme (Secure Boot) oldu. Bunun sebebi ise Microsoft'un bu özelliği ilk duyurduğunda konunun ve pratikte nasıl çalışacağının tam anlaşılamaması oldu. İlk etapta çoğu kişi Windows 8 yüklü bilgisayarların diğer işletim sistemlerine karşı kilitli geleceğini ve diğer işletim sistemlerini (Özellikle Linux dağıtımlarını) kuramayacaklarını düşündiler. Ama gerçekte bu asılsız bir korku. Neden asılsız olduğunu anlamak için ise "Güvenli Önyükleme (Secure Boot) nedir?" bunu bilmek gerekiyor...
Pratikte yararı 2 türlü:
Bu son derece kolay;
Yine bazı bilgisayarlarda Launch CSM ayarını Enabled yapmak gerekebilir. Bunun için direkt Launch CSM ayarı enabled olarak ayarlanabileceği gibi (4) bazı BIOS modellerinde bu ayarı etkinleştirebilmek için biraz uğraşmak gerekebilir.
Sizde de Launch CSM ayarı etkin değilse yani değiştirilemiyorsa önce Secure Boot (1) ve Fast Boot (2) ayarlarını devre dışı (Disabled) olarak ayarlayıp kaydeerek BIOS'dan çıkın. (3) Ardından tekrar BIOS'a girdiğinizde bu ayarı değiştirebileceğinizi göreceksiniz; (4)
Windows RT'de ise işler tamamen değişiyor. ARM işlemci kullanan cihazlarda yüklü gelen Windows RT'de Güvenli Önyükleme'yi (Secure Boot) devre dışı bırakamıyorsunuz. Ancak piyasadaki diğer oyuncuların cihazlarında da aynı şeyin geçerli olduğunu ve bunun sebeplerinin olduğunu düşündüğümüzde bu üzerinde durulacak bir konu değil.
"Peki neden Microsoft Apple'ın yıllardır benzerini uyguladığı bu güvenlik opsiyonunu bu kadar geç devreye soktu?" sorusu aklınıza gelebilir. Bunun sebebi Güvenli Önyükleme (Secure Boot) opsiyonunun donanımsal gereksinimleri olması ve bildiğimiz klasik BIOS ile çalışmasının mümkün olmaması. Başka bir deyişle Güvenli Önyükleme (Secure Boot) seçeneğini kullanabilmeniz için anakartınızın UEFI BIOS 2.3.1 ve üstü UEFI BIOS'a sahip olması gerekiyor. Daha da açarsak Güvenli Önyükleme aslında bir UEFI özelliği, Windows 8 özelliği değil. Ama Windows 8'de de Güvenli Önyükleme özelliği var ve UEFI'nin Güvenli Önyükleme özelliğini baz alarak çalışıyor.
İşte nispeten eski bilgisayarlara ( 1+ yıl) Windows 8'i yükseltme kurulumu ile yüklemeye çalıştığınızda aldığınız Güvenli Önyükleme kişisel bilgisayarınızla uyumlu değil bilgilendirmesinin bahsettiği Güvenli Önyükleme'de bu yazıda anlatmaya çalışcağım konu;
Sitede Windows kurulumu ve bununla alakalı konuları işleyen
çok fazla makale var. Bu konuda "Kafamız karışıyor hangi makale bana uygun anlamıyorum!" mealinde çok fazla serzenişle karşılaşıyorum. Bu yüzden bütün bu makaleleri kısaca açıkladığım bir ana makale oluşturdum. Siz de kafası karışanlardansanız önce bu makaleyi okuyun: Windows 8 ve 8.1 Kurtarma, Uygulama ve Kurulumları Ana Konu
Güvenli Önyükleme (Secure Boot) Nedir?
Windows 8'in en çok tartışma yaratan ve şüpheyle yaklaşılan yeniliklerinden biri Güvenli Önyükleme (Secure Boot) oldu. Bunun sebebi ise Microsoft'un bu özelliği ilk duyurduğunda konunun ve pratikte nasıl çalışacağının tam anlaşılamaması oldu. İlk etapta çoğu kişi Windows 8 yüklü bilgisayarların diğer işletim sistemlerine karşı kilitli geleceğini ve diğer işletim sistemlerini (Özellikle Linux dağıtımlarını) kuramayacaklarını düşündiler. Ama gerçekte bu asılsız bir korku. Neden asılsız olduğunu anlamak için ise "Güvenli Önyükleme (Secure Boot) nedir?" bunu bilmek gerekiyor...
- Güvenli Önyükleme (Secure Boot) ne yapıyor?
Çok basit olarak Güvenli Önyükleme (Secure Boot) bilgisayarınızı sadece yetkilendirilmiş işletim sistemlerinin başlatabilmesini sağlıyor.
Klasik bir bilgisayarda bilgisayarınızın güç düğmesine basıp bilgisayara güç verdiğinizde ilk olarak BIOS devreye girer ve donanımın sağlam olup olmadığını kontrol eder. Herşeyin sağlam olduğuna kanaat getirirse görevini Önyükleme Yöneticisi'ne (Önyükleme Yöneticisi her işletim sistemi için farklıdır) devreder.
Burada kısaca geçiyorum çünkü tüm süreci burada ayrıntılarıyla anlattım. Meraklı okuyucular linki okuduktan sonra devam edebilirler.
Güvenli Önyükleme (Secure Boot) bu sürece bir güvenlik katmanı ekliyor. Yani Güvenli Önyükleme (Secure Boot), BIOS görevi Önyükleme Yöneticisi'ne (Bootloader) devretmeden önce Önyükleme Yöneticisi'ne gömülmüş bir dijital imzayı kendi içerisinde gömülü bir veri tabanı ile karşılaştırıyor ve eğer imza uyuşmazsa Önyükleme Yöneticisi'nin (Bootloader) bilinmeyen işletim sistemini yüklemesinin önüne geçiyor. Bunun anlamı ise şu: Windows 8 önyüklenmiş olarak alınan bir bilgisayarda (Kasada Windows 8 etiketi bulunur) Windows 8 sorunsuzca yüklenecektir ama Önyükleme Yöneticisi'nin sahip olduğu dijital imza farklı ise (İmzanın farklı olması başka bir işletim sistemi olduğu anlamına geliyor) BIOS görevi Önyükleme Yöneticisi'ne devretmeyecek ve sistemin başlatılmasını engelleyecektir:
Güvenli Önyükleme(Secure Boot) Devre dışı veya yok
Güvenli Önyükleme(Secure Boot) Etkin
Sanırım konunun neden insanları tedirgin ettiğini anladınız. Ancak burada anlaşılması gereken önemli bir nokta daha var:
Güvenli Önyükleme'yi (Secure Boot) kullanmak zorunda değilsiniz. BIOS'tan basitçe devre dışı bırakmanız yeterli.
Ayrıca güncel UEFI BIOS'larda istediğiniz işletim sisteminin imzasını veri tabanına ekleyebileceksiniz. Yani Örneğin, Windows 7, Windows 8 ve Ubuntu'yu beraber kullanmak istediğiniz bir bilgisayarınız varsa UEFI BIOS'a girip bu işletim sistemlerinin Önyükleme yöneticilerinin imzalarını "İzin verilen işletim sistemleri" listesine ekleyebilecek (Ya da silebilecek) ve bunların dışında "birşeyin" bilgisayarınızı başlatabilmesinin önüne geçebileceksiniz -ki bu ileride de görebileceğiniz üzere çok iyi birşey.
Tabii tam tersini yapmanız da mümkün olacak; Örneğin, Windows 8 yüklü gelen bir bilgisayarın Windows 8 sertifikasını silip Ubuntu'yu ekleyebileceksiniz ki bu Windows 8 yüklü gelen bir bilgisayarı Windows 8 yüklenemeyecek ya da Windows 8'den başlatılamayacak şekilde ayarlayabileceğiniz anlamına geliyor. Ancak bu tip gelişmiş UEFI BIOS'ların yaygınlaşması zaman alacaktır.
Güvenli Önyükleme'nin (Secure Boot) pratikte yararı ne?
Pratikte yararı 2 türlü:
- Rootkit'lerden koruma; Rootkitler sisteminizdeki Önyükleme Yöneticisi'ni değiştiren ya da onun yerine geçen zararlı yazılımlardır. Bu tip bir enfeksiyona maruz kaldığınızda Önyükleme Yöneticisi'nin yerine geçen ya da onu değiştiren bir Rootkit işletim sisteminizi hiçbir anormal belirti göstermeden tamamen normal olarak başlatabilir. Bu durumda bu Rootkit tamamen görünmez ve saptanamaz olacaktır. Sonuçta BIOS, yönetimi verdiği şeyin Önyükleme Yöneticisi'mi yoksa zararlı bir kod mu olduğunu bilemez.
Sisteminize yerleşen bir Rootkit daha Windows yüklenmeden istediği gibi kodlarla oynayabileceği için sistem ayarlarınızı değiştirebilir, verilerinizi internet bağlantısı yoluyla dünyanın öbür ucuna gönderebilir veya veri kaybetmenize sebep olabilir. Ve bütün bunları anti-virüs yazılımlarını atlatarak yapabilir. - Yetkisiz işletim sistemlerinin önyüklenmesini önlemek: Daha önce Bilgisayar Mahremiyetinizi Nasıl Korursunuz? adında bir yazı yazmış ve size Windows kullanıcı hesabı parolasının ne kadar kolay aşılabileceğini anlatmıştım.
Bir özet geçmek gerekirse; Bilgisayarınıza erişimi olan herhangi biri -Windows hesabınızı en güçlü parolalar ile korusanız bile- bilgisayarınızı kolayca USB flash sürücüye attığı canlı bir işletim sistemi ile açabilir ve diskinizdeki her byte veriyi kopyalabilir. Gerçi bunun önüne -linkte anlattığım gibi- Güvenli Önyükleme (Secure Boot) olmadan da -başka yöntemlerle- geçilebilir ama sıradan bir ev kullanıcısı için bu korumanın bilgisayarla gelmesi önemli ve gerekli.
Nasıl devre dışı bırakacağız?
Windows 8 yüklü gelen bilgisayarıma Windows 7 yükleyemiyorum!
Bu son derece kolay;
- Bilgisayarı yeniden başlatın. (Windows 8 klasik kapanma komutlarıı kullanmadığı için zaten kapalı olan bir bilgisayarı açtığınızda BIOS'a giriş için kullanılan tuş çalışmayabilir. Bu durumda bilgisayarı başlattıktan sonra yeniden başlatmalısınız)
- BIOS'a girin.
- BIOS'da Secure Boot diye bir ayar arayın. (Bu ayar her marka/modele göre değişebildiği için net bir yol gösteremiyorum) Bulduğunuzda bunu devre dışı bırakın. Eğer bu ayarı bulamazsanız F9 ile BIOS ayarlarını varsayılana geri yüklemeyi (Setup Defaults) deneyin;
Ayrıca bazı marka/modellerde Gelimiş Başlangıç Menüsü'ne üreticinin eklediği UEFI ayarları olabilir ve bunu kullanabilirsiniz;
Bazı BIOS modellerinde ise SecureBoot ayarı olsa bile devre dışı bırakmak yeterli olmayabiliyor. Örneğin altta gördüğünüz bir Asus dizüstü bilgisayara ait BIOS'da hiçbir şekilde görünmeyen Windows 8 kurulum medyası Windows Boot Manager'i devre dışı bıraktıktan sonra görünmeye başlıyor:
Disable seçeneği ile Windows Boot Manager devre dışı bırakılır. |
Windows Boot Manager devre dışı bırakıldığında daha önce görünmeyen yükleme medyası artık görünür olur. |
Daha sonrasında Windows Boot Manager etkinleştirilse bile kullandığımız medya bir kere tanıtıldığı için artık hep görünecektir. (Tabii bilgisayara takılı ise) |
Yine bazı bilgisayarlarda Launch CSM ayarını Enabled yapmak gerekebilir. Bunun için direkt Launch CSM ayarı enabled olarak ayarlanabileceği gibi (4) bazı BIOS modellerinde bu ayarı etkinleştirebilmek için biraz uğraşmak gerekebilir.
Sizde de Launch CSM ayarı etkin değilse yani değiştirilemiyorsa önce Secure Boot (1) ve Fast Boot (2) ayarlarını devre dışı (Disabled) olarak ayarlayıp kaydeerek BIOS'dan çıkın. (3) Ardından tekrar BIOS'a girdiğinizde bu ayarı değiştirebileceğinizi göreceksiniz; (4)
Sistemimin Güvenli Önyükleme'yi destekleyip desteklemediğinii,
destekliyorsa etkin olup olmadığını nasıl bilebilirim?
SecureBoot (Güvenli Önyükleme) Etkin mi, Değil mi?
Peki ya Windows RT?
Windows RT'de ise işler tamamen değişiyor. ARM işlemci kullanan cihazlarda yüklü gelen Windows RT'de Güvenli Önyükleme'yi (Secure Boot) devre dışı bırakamıyorsunuz. Ancak piyasadaki diğer oyuncuların cihazlarında da aynı şeyin geçerli olduğunu ve bunun sebeplerinin olduğunu düşündüğümüzde bu üzerinde durulacak bir konu değil.
İlgili konular;
- Bilgisayarımda Yüklü İşletim Sistemi UEFI'mi Klasik BIOS'mu?
- UEFI Nedir? - Windows 7 ve Windows 8 UEFI Kurulumu Nasıl Yapılır?
- Windows 8 -UEFI Modunda- Temiz Kurulum (Format)
- Windows 7 -UEFI Modunda- Temiz Kurulum (Format)
- Windows 8: UEFI Kurulum için Önyüklenebilir USB Flash Sürücü Hazırlamak
- Windows 7: UEFI Kurulum için Önyüklenebilir USB Flash Sürücü Hazırlamak