THT DUYURU

Bilgisayar Güvenliği Bilgisayar Güvenlik Sistemleri makaleleri, virüs korumasından, güvenlik duvarlarına kadar her şeyin nasıl çalıştığı hakkında bilgilere buradan ulaşabilirsiniz.

chat
Seçenekler

Güvenli Önyükleme (Secure Boot) Nedir? - Windows 8 Yüklü Gelen PClerde Başka İşletim

Köstebek-02 - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
05/2008
Nereden:
Köstebek
Mesajlar:
15.603
Konular:
3883
Teşekkür (Etti):
4721
Teşekkür (Aldı):
9165
Ticaret:
(0) %
12-01-2013 10:31
#1
Güvenli Önyükleme (Secure Boot) Nedir? - Windows 8 Yüklü Gelen PClerde Başka İşletim
Sonda söyleyeceğimi baştan söyleyeyim: Güvenli Önyükleme (Secure Boot) hakında sağdan soldan duyduğunuz tedirginliklerin, suçlamaların pek aslı yok. Güvenli Önyükleme (Secure Boot) son derece güçlü bir sistem koruma silahı ve kişisel bilgilerinizi ve bilgisayarınızı son derece etkin bir şekilde korur.

"Peki neden Microsoft Apple'ın yıllardır benzerini uyguladığı bu güvenlik opsiyonunu bu kadar geç devreye soktu?" sorusu aklınıza gelebilir. Bunun sebebi Güvenli Önyükleme (Secure Boot) opsiyonunun donanımsal gereksinimleri olması ve bildiğimiz klasik BIOS ile çalışmasının mümkün olmaması. Başka bir deyişle Güvenli Önyükleme (Secure Boot) seçeneğini kullanabilmeniz için anakartınızın UEFI BIOS 2.3.1 ve üstü UEFI BIOS'a sahip olması gerekiyor. Daha da açarsak Güvenli Önyükleme aslında bir UEFI özelliği, Windows 8 özelliği değil. Ama Windows 8'de de Güvenli Önyükleme özelliği var ve UEFI'nin Güvenli Önyükleme özelliğini baz alarak çalışıyor.

İşte nispeten eski bilgisayarlara ( 1+ yıl) Windows 8'i yükseltme kurulumu ile yüklemeye çalıştığınızda aldığınız Güvenli Önyükleme kişisel bilgisayarınızla uyumlu değil bilgilendirmesinin bahsettiği Güvenli Önyükleme'de bu yazıda anlatmaya çalışcağım konu;






Güvenli Önyükleme (Secure Boot) Nedir?


Windows 8'in en çok tartışma yaratan ve şüpheyle yaklaşılan yeniliklerinden biri Güvenli Önyükleme (Secure Boot) oldu. Bunun sebebi ise Microsoft'un bu özelliği ilk duyurduğunda konunun ve pratikte nasıl çalışacağının tam anlaşılamaması oldu. İlk etapta çoğu kişi Windows 8 yüklü bilgisayarların diğer işletim sistemlerine karşı kilitli geleceğini ve diğer işletim sistemlerini (Özellikle Linux dağıtımlarını) kuramayacaklarını düşündiler. Ama gerçekte bu asılsız bir korku. Neden asılsız olduğunu anlamak için ise "Güvenli Önyükleme (Secure Boot) nedir?" bunu bilmek gerekiyor...



  • Güvenli Önyükleme (Secure Boot) ne yapıyor?


    Çok basit olarak Güvenli Önyükleme (Secure Boot) bilgisayarınızı sadece yetkilendirilmiş işletim sistemlerinin başlatabilmesini sağlıyor.

    Klasik bir bilgisayarda bilgisayarınızın güç düğmesine basıp bilgisayara güç verdiğinizde ilk olarak BIOS devreye girer ve donanımın sağlam olup olmadığını kontrol eder. Herşeyin sağlam olduğuna kanaat getirirse görevini Önyükleme Yöneticisi'ne (Önyükleme Yöneticisi her işletim sistemi için farklıdır) devreder.


    Burada kısaca geçiyorum çünkü tüm süreci burada ayrıntılarıyla anlattım. Meraklı okuyucular linki okuduktan sonra devam edebilirler.


    Güvenli Önyükleme (Secure Boot) bu sürece bir güvenlik katmanı ekliyor. Yani Güvenli Önyükleme (Secure Boot), BIOS görevi Önyükleme Yöneticisi'ne (Bootloader) devretmeden önce Önyükleme Yöneticisi'ne gömülmüş bir dijital imzayı kendi içerisinde gömülü bir veri tabanı ile karşılaştırıyor ve eğer imza uyuşmazsa Önyükleme Yöneticisi'nin (Bootloader) bilinmeyen işletim sistemini yüklemesinin önüne geçiyor. Bunun anlamı ise şu: Windows 8 önyüklenmiş olarak alınan bir bilgisayarda (Kasada Windows 8 etiketi bulunur) Windows 8 sorunsuzca yüklenecektir ama Önyükleme Yöneticisi'nin sahip olduğu dijital imza farklı ise (İmzanın farklı olması başka bir işletim sistemi olduğu anlamına geliyor) BIOS görevi Önyükleme Yöneticisi'ne devretmeyecek ve sistemin başlatılmasını engelleyecektir:


    Güvenli Önyükleme(Secure Boot) Devre dışı veya yok
    Güvenli Önyükleme(Secure Boot) Etkin

    Sanırım konunun neden insanları tedirgin ettiğini anladınız. Ancak burada anlaşılması gereken önemli bir nokta daha var:
    Güvenli Önyükleme'yi (Secure Boot) kullanmak zorunda değilsiniz. BIOS'tan basitçe devre dışı bırakmanız yeterli.

    Ayrıca güncel UEFI BIOS'larda istediğiniz işletim sisteminin imzasını veri tabanına ekleyebileceksiniz. Yani Örneğin, Windows 7, Windows 8 ve Ubuntu'yu beraber kullanmak istediğiniz bir bilgisayarınız varsa UEFI BIOS'a girip bu işletim sistemlerinin Önyükleme yöneticilerinin imzalarını "İzin verilen işletim sistemleri" listesine ekleyebilecek (Ya da silebilecek) ve bunların dışında "birşeyin" bilgisayarınızı başlatabilmesinin önüne geçebileceksiniz -ki bu ileride de görebileceğiniz üzere çok iyi birşey.

    Tabii tam tersini yapmanız da mümkün olacak; Örneğin, Windows 8 yüklü gelen bir bilgisayarın Windows 8 sertifikasını silip Ubuntu'yu ekleyebileceksiniz ki bu Windows 8 yüklü gelen bir bilgisayarı Windows 8 yüklenemeyecek ya da Windows 8'den başlatılamayacak şekilde ayarlayabileceğiniz anlamına geliyor. Ancak bu tip gelişmiş UEFI BIOS'ların yaygınlaşması zaman alacaktır.


Güvenli Önyükleme'nin (Secure Boot) pratikte yararı ne?



Pratikte yararı 2 türlü:


  1. Rootkit'lerden koruma; Rootkitler sisteminizdeki Önyükleme Yöneticisi'ni değiştiren ya da onun yerine geçen zararlı yazılımlardır. Bu tip bir enfeksiyona maruz kaldığınızda Önyükleme Yöneticisi'nin yerine geçen ya da onu değiştiren bir Rootkit işletim sisteminizi hiçbir anormal belirti göstermeden tamamen normal olarak başlatabilir. Bu durumda bu Rootkit tamamen görünmez ve saptanamaz olacaktır. Sonuçta BIOS, yönetimi verdiği şeyin Önyükleme Yöneticisi'mi yoksa zararlı bir kod mu olduğunu bilemez.

    Sisteminize yerleşen bir Rootkit daha Windows yüklenmeden istediği gibi kodlarla oynayabileceği için sistem ayarlarınızı değiştirebilir, verilerinizi internet bağlantısı yoluyla dünyanın öbür ucuna gönderebilir veya veri kaybetmenize sebep olabilir. Ve bütün bunları anti-virüs yazılımlarını atlatarak yapabilir.
  2. Yetkisiz işletim sistemlerinin önyüklenmesini önlemek: Daha önce Bilgisayar Mahremiyetinizi Nasıl Korursunuz? adında bir yazı yazmış ve size Windows kullanıcı hesabı parolasının ne kadar kolay aşılabileceğini anlatmıştım.

    Bir özet geçmek gerekirse; Bilgisayarınıza erişimi olan herhangi biri -Windows hesabınızı en güçlü parolalar ile korusanız bile- bilgisayarınızı kolayca USB flash sürücüye attığı canlı bir işletim sistemi ile açabilir ve diskinizdeki her byte veriyi kopyalabilir. Gerçi bunun önüne -linkte anlattığım gibi- Güvenli Önyükleme (Secure Boot) olmadan da -başka yöntemlerle- geçilebilir ama sıradan bir ev kullanıcısı için bu korumanın bilgisayarla gelmesi önemli ve gerekli.


Nasıl devre dışı bırakacağız?
Windows 8 yüklü gelen bilgisayarıma Windows 7 yükleyemiyorum!



Bu son derece kolay;


  1. Bilgisayarı yeniden başlatın. (Windows 8 klasik kapanma komutlarıı kullanmadığı için zaten kapalı olan bir bilgisayarı açtığınızda BIOS'a giriş için kullanılan tuş çalışmayabilir. Bu durumda bilgisayarı başlattıktan sonra yeniden başlatmalısınız)
  2. BIOS'a girin.
  3. BIOS'da Secure Boot diye bir ayar arayın. (Bu ayar her marka/modele göre değişebildiği için net bir yol gösteremiyorum) Bulduğunuzda bunu devre dışı bırakın. Eğer bu ayarı bulamazsanız F9 ile BIOS ayarlarını varsayılana geri yüklemeyi (Setup Defaults) deneyin;






    Ayrıca bazı marka/modellerde Gelimiş Başlangıç Menüsü'ne üreticinin eklediği UEFI ayarları olabilir ve bunu kullanabilirsiniz;




Sistemimin Güvenli Önyükleme'yi destekleyip desteklemediğinii,
destekliyorsa etkin olup olmadığını nasıl bilebilirim?



  1. C:\WINDOWS\system32\WindowsPowerShell\v1.0 yolunu izleyin, powershell.exe'ye sağ tıklatın ardından Yönetici olarak çalıştır'a tıklatın.


  2. Açılan PowerShell penceresine şu komutu girin ve Enter'a basın: confirm-SecureBootUEFI



    Eğer sisteminiz Güvenli Önyükleme'yi (Secure Boot) desteklemiyorsa alacağınız cevap buna benzeyecektir;






    Eğer sisteminiz Güvenli Önyükleme'yi (Secure Boot) destekliyor fakat etkin değilse alacağınız cevap False olacaktır;





    Eğer sisteminiz Güvenli Önyükleme'yi (Secure Boot) destekliyor ve etkinse alacağınız cevap True olacaktır;






Peki ya Windows RT?


Windows RT'de ise işler tamamen değişiyor. ARM işlemci kullanan cihazlarda yüklü gelen Windows RT'de Güvenli Önyükleme'yi (Secure Boot) devre dışı bırakamıyorsunuz. Ancak piyasadaki diğer oyuncuların cihazlarında da aynı şeyin geçerli olduğunu ve bunun sebeplerinin olduğunu düşündüğümüzde bu üzerinde durulacak bir konu değil.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler