Các PC hiện đại được kích hoạt với tính năng “Khởi động an toàn”. Đây là một tính năng nền tảng trong UEFA , cái nào thay thế BIOS PC truyền thống . Nếu nhà sản xuất PC muốn đặt nhãn dán logo “Windows 10” hoặc “Windows 8” vào PC của họ, Microsoft yêu cầu họ bật Khởi động an toàn và tuân theo một số nguyên tắc.
Thật không may, nó cũng ngăn bạn cài đặt một số bản phân phối Linux, điều này có thể khá phức tạp.
Cách khởi động an toàn bảo vệ quá trình khởi động máy tính của bạn
Khởi động an toàn không chỉ được thiết kế để làm cho việc chạy Linux trở nên khó khăn hơn. Có những lợi thế bảo mật thực sự khi bật Secure Boot và ngay cả người dùng Linux cũng có thể hưởng lợi từ chúng.
BIOS truyền thống sẽ khởi động bất kỳ phần mềm nào. Khi bạn khởi động PC, nó sẽ kiểm tra các thiết bị phần cứng theo thứ tự khởi động mà bạn đã định cấu hình và cố gắng khởi động từ chúng. Các PC điển hình thường sẽ tìm và khởi động bộ nạp khởi động Windows, bộ nạp khởi động này sẽ khởi động toàn bộ hệ điều hành Windows. Nếu bạn sử dụng Linux, BIOS sẽ tìm và khởi động bộ tải khởi động GRUB, mà hầu hết các bản phân phối Linux đều sử dụng.
Tuy nhiên, có thể phần mềm độc hại, chẳng hạn như rootkit, thay thế bộ tải khởi động của bạn. Rootkit có thể tải hệ điều hành bình thường của bạn mà không có dấu hiệu nào cho thấy có vấn đề, hoàn toàn ẩn và không thể phát hiện trên hệ thống của bạn. BIOS không biết sự khác biệt giữa phần mềm độc hại và một trình tải khởi động đáng tin cậy – nó chỉ khởi động bất cứ thứ gì tìm thấy.
Khởi động an toàn được thiết kế để ngăn chặn điều này . PC chạy Windows 8 và 10 có chứng chỉ của Microsoft được lưu trữ trong UEFI. UEFI sẽ kiểm tra bộ tải khởi động trước khi khởi chạy nó và đảm bảo nó đã được Microsoft ký. Nếu rootkit hoặc một phần mềm độc hại khác thay thế bộ tải khởi động của bạn hoặc giả mạo nó, UEFI sẽ không cho phép nó khởi động. Điều này ngăn phần mềm độc hại chiếm quyền điều khiển quá trình khởi động của bạn và tự che giấu nó khỏi hệ điều hành của bạn.
Cách Microsoft cho phép các bản phân phối Linux khởi động bằng Khởi động an toàn
Về lý thuyết, tính năng này chỉ được thiết kế để bảo vệ khỏi phần mềm độc hại. Vì vậy, Microsoft cung cấp một cách để giúp các bản phân phối Linux khởi động. Đó là lý do tại sao một số bản phân phối Linux hiện đại - như Ubuntu và Fedora - sẽ “chỉ hoạt động” trên các PC hiện đại, ngay cả khi đã bật Khởi động an toàn. Các bản phân phối Linux có thể trả một khoản phí $ 99 một lần để truy cập cổng Microsoft Sysdev, nơi họ có thể đăng ký để ký tên vào bộ tải khởi động.
Các bản phân phối Linux thường có ký hiệu “miếng đệm”. Bộ đệm là một bộ nạp khởi động nhỏ chỉ khởi động bộ nạp khởi động GRUB chính của bản phân phối Linux. Miếng đệm có chữ ký của Microsoft sẽ kiểm tra để đảm bảo nó đang khởi động một bộ tải khởi động được ký bởi bản phân phối Linux và sau đó bản phân phối Linux khởi động bình thường.
Ubuntu, Fedora, Red Hat Enterprise Linux và openSUSE hiện hỗ trợ Khởi động an toàn và sẽ hoạt động mà không cần bất kỳ chỉnh sửa nào trên phần cứng hiện đại. Có thể có những người khác, nhưng đây là những người mà chúng tôi biết. Một số bản phân phối Linux phản đối về mặt triết lý với việc đăng ký để được Microsoft ký.
Cách bạn có thể tắt hoặc kiểm soát khởi động an toàn
Nếu đó là tất cả những gì Khởi động an toàn đã làm, bạn sẽ không thể chạy bất kỳ hệ điều hành nào không được Microsoft phê duyệt trên PC của mình. Nhưng bạn có thể kiểm soát Khởi động an toàn từ chương trình cơ sở UEFI của PC, giống như BIOS trong các PC cũ hơn.
Có hai cách để kiểm soát Khởi động an toàn. Phương pháp đơn giản nhất là truy cập vào phần sụn UEFI và vô hiệu hóa hoàn toàn. Chương trình cơ sở UEFI sẽ không kiểm tra để đảm bảo bạn đang chạy bộ tải khởi động đã ký và mọi thứ sẽ khởi động. Bạn có thể khởi động bất kỳ bản phân phối Linux nào hoặc thậm chí cài đặt Windows 7 không hỗ trợ Khởi động an toàn. Windows 8 và 10 sẽ hoạt động tốt, bạn sẽ chỉ mất lợi thế bảo mật khi có Khởi động an toàn bảo vệ quá trình khởi động của bạn.
Bạn cũng có thể tùy chỉnh thêm Khởi động an toàn. Bạn có thể kiểm soát chứng chỉ ký nào cung cấp Secure Boot. Bạn có thể thoải mái cài đặt chứng chỉ mới và xóa chứng chỉ hiện có. Ví dụ: một tổ chức chạy Linux trên PC của mình có thể chọn xóa chứng chỉ của Microsoft và cài đặt chứng chỉ của chính tổ chức đó vào vị trí của nó. Các PC đó sau đó sẽ chỉ những bộ tải khởi động khởi động được tổ chức cụ thể đó phê duyệt và ký.
Một cá nhân cũng có thể làm điều này – bạn có thể ký bộ tải khởi động Linux của riêng mình và đảm bảo PC của bạn chỉ có thể khởi động bộ tải khởi động do bạn tự biên dịch và ký. Đó là loại điều khiển và sức mạnh Khởi động an toàn cung cấp.
Yêu cầu của Microsoft đối với các nhà sản xuất PC
Microsoft không chỉ yêu cầu các nhà cung cấp PC bật Khởi động an toàn nếu họ muốn nhãn dán chứng nhận “Windows 10” hoặc “Windows 8” tuyệt vời đó trên PC của họ. Microsoft yêu cầu các nhà sản xuất PC thực hiện nó theo một cách cụ thể.
Đối với PC chạy Windows 8, các nhà sản xuất đã phải cung cấp cho bạn một cách để tắt Khởi động an toàn. Microsoft đã yêu cầu các nhà sản xuất PC đưa công tắc diệt Khởi động an toàn vào tay người dùng.
Đối với PC chạy Windows 10, điều này không còn là bắt buộc. Các nhà sản xuất PC có thể chọn bật Khởi động an toàn và không cung cấp cho người dùng cách tắt tính năng này. Tuy nhiên, chúng tôi thực sự không biết về bất kỳ nhà sản xuất PC nào làm điều này.
Tương tự, mặc dù các nhà sản xuất PC phải bao gồm khóa “Microsoft Windows Production PCA” chính của Microsoft để Windows có thể khởi động, họ không phải bao gồm khóa “Microsoft Corporation UEFI CA”. Chìa khóa thứ hai này chỉ được khuyến nghị. Đây là khóa tùy chọn thứ hai mà Microsoft sử dụng để ký các bộ tải khởi động Linux. Tài liệu của Ubuntu giải thích điều này.
Nói cách khác, không phải tất cả các PC đều nhất thiết phải khởi động các bản phân phối Linux đã ký khi bật Khởi động an toàn. Một lần nữa, trong thực tế, chúng tôi chưa thấy bất kỳ PC nào làm được điều này. Có lẽ không nhà sản xuất PC nào muốn tạo ra dòng máy tính xách tay duy nhất mà bạn không thể cài đặt Linux.
Hiện tại, ít nhất, các PC Windows chính thống sẽ cho phép bạn tắt Khởi động an toàn nếu bạn muốn và chúng sẽ khởi động các bản phân phối Linux đã được Microsoft ký kết ngay cả khi bạn không tắt Khởi động an toàn.
Không thể tắt khởi động an toàn trên Windows RT, nhưng Windows RT đã chết
LIÊN QUAN: Windows RT là gì và nó khác với Windows 8 như thế nào?
Tất cả những điều trên đều đúng với hệ điều hành Windows 8 và 10 tiêu chuẩn trên phần cứng Intel x86 tiêu chuẩn. Đối với ARM thì khác.
Trên Windows RT — Phiên bản Windows 8 dành cho Phần cứng ARM , được phát hành trên Surface RT và Surface 2 của Microsoft, trong số các thiết bị khác — Không thể tắt Khởi động an toàn. Ngày nay, vẫn không thể tắt Khởi động an toàn trên Windows 10 Mobile phần cứng – nói cách khác, điện thoại chạy Windows 10.
Đó là bởi vì Microsoft muốn bạn coi hệ thống Windows RT dựa trên ARM là “thiết bị” chứ không phải PC. Như Microsoft nói với Mozilla , Windows RT “không phải là Windows nữa”.
Tuy nhiên, Windows RT hiện đã chết. Không có phiên bản nào của hệ điều hành Windows 10 dành cho máy tính để bàn dành cho phần cứng ARM, vì vậy đây không phải là điều bạn phải lo lắng nữa. Tuy nhiên, nếu Microsoft đưa phần cứng Windows RT 10 trở lại, bạn có thể sẽ không thể tắt Khởi động an toàn trên đó.
Tín dụng hình ảnh: Căn cứ Đại sứ , John Bristowe
