Thật không may, nó cũng ngăn cản bạn cài đặt một số bản phân phối Linux, điều này có thể khá phức tạp.
Cách khởi động an toàn bảo vệ quá trình khởi động của PC
Khởi động an toàn không chỉ được thiết kế để làm cho việc chạy Linux trở nên khó khăn hơn. Có những lợi thế bảo mật thực sự khi bật Khởi động an toàn và thậm chí cả người dùng Linux cũng có thể hưởng lợi từ chúng.
BIOS truyền thống sẽ khởi động bất kỳ phần mềm nào. Khi bạn khởi động máy tính, nó sẽ kiểm tra các thiết bị phần cứng theo thứ tự khởi động mà bạn đã cấu hình và cố gắng khởi động từ chúng. Các máy tính thông thường sẽ tìm và khởi động bộ nạp khởi động Windows, khởi động để khởi động hệ điều hành Windows đầy đủ. Nếu bạn sử dụng Linux, BIOS sẽ tìm và khởi động bộ tải khởi động GRUB, mà hầu hết các bản phân phối Linux sử dụng.
Tuy nhiên, có thể phần mềm độc hại, chẳng hạn như rootkit, để thay thế trình tải khởi động của bạn. Rootkit có thể tải hệ điều hành bình thường của bạn mà không có bất kỳ dấu hiệu nào sai, vẫn ẩn hoàn toàn và không thể phát hiện được trên hệ thống của bạn. BIOS không biết sự khác biệt giữa phần mềm độc hại và trình tải khởi động đáng tin cậy - nó chỉ khởi động bất cứ điều gì nó tìm thấy.
Secure Boot được thiết kế để ngăn chặn điều này. Windows 8 và 10 máy tính được bán kèm theo chứng chỉ của Microsoft được lưu trữ trong UEFI. UEFI sẽ kiểm tra bộ tải khởi động trước khi khởi chạy nó và đảm bảo nó được ký bởi Microsoft. Nếu rootkit hoặc một phần mềm độc hại khác thay thế trình tải khởi động của bạn hoặc giả mạo nó, UEFI sẽ không cho phép nó khởi động. Điều này ngăn chặn phần mềm độc hại xâm nhập vào quá trình khởi động của bạn và che giấu bản thân khỏi hệ điều hành của bạn.
Cách Microsoft cho phép phân phối Linux khởi động với khởi động an toàn
Tính năng này, theo lý thuyết, chỉ được thiết kế để bảo vệ chống phần mềm độc hại. Vì vậy, Microsoft cung cấp một cách để giúp Linux phân phối khởi động anyway. Đó là lý do tại sao một số bản phân phối Linux hiện đại - như Ubuntu và Fedora - sẽ “hoạt động” trên các máy tính hiện đại, ngay cả khi đã bật Khởi động an toàn. Các bản phân phối Linux có thể trả một khoản phí một lần là 99 đô la để truy cập vào cổng Sysdev của Microsoft, nơi chúng có thể áp dụng để các trình nạp khởi động của họ được ký.
Các bản phân phối Linux thường có ký hiệu “shim”. Shim là một bộ tải khởi động nhỏ chỉ đơn giản khởi động bộ tải khởi động GRUB chính của Linux. Kiểm tra shim được Microsoft ký để đảm bảo rằng nó khởi động bộ tải khởi động được ký bởi bản phân phối Linux, và sau đó phân phối Linux khởi động bình thường.
Ubuntu, Fedora, Red Hat Enterprise Linux và openSUSE hiện hỗ trợ Secure Boot, và sẽ hoạt động mà không cần bất kỳ chỉnh sửa nào trên phần cứng hiện đại. Có thể có những người khác, nhưng đây là những người mà chúng tôi biết. Một số bản phân phối Linux phản đối về mặt triết học khi áp dụng để được ký bởi Microsoft.
Cách bạn có thể vô hiệu hóa hoặc kiểm soát khởi động an toàn
Có hai cách để kiểm soát Khởi động an toàn. Phương pháp đơn giản nhất là vào phần vững của UEFI và tắt nó hoàn toàn. Phần mềm UEFI sẽ không kiểm tra để đảm bảo bạn đang chạy trình tải khởi động đã được ký và mọi thứ sẽ khởi động. Bạn có thể khởi động bất kỳ bản phân phối Linux nào hoặc thậm chí cài đặt Windows 7, không hỗ trợ Khởi động an toàn. Windows 8 và 10 sẽ hoạt động tốt, bạn sẽ chỉ mất những ưu điểm bảo mật khi khởi động Secure Boot để bảo vệ quá trình khởi động của bạn.
Bạn cũng có thể tùy chỉnh thêm Khởi động an toàn. Bạn có thể kiểm soát các chứng chỉ ký chứng chỉ Secure Boot cung cấp. Bạn được tự do cài đặt cả hai chứng chỉ mới và xóa chứng chỉ hiện có. Ví dụ: một tổ chức chạy Linux trên máy tính của họ có thể chọn xóa chứng chỉ của Microsoft và cài đặt chứng chỉ của chính tổ chức đó. Những máy tính đó sau đó sẽ chỉ khởi động bộ tải khởi động được chấp thuận và được ký bởi tổ chức cụ thể đó.
Một cá nhân cũng có thể thực hiện điều này - bạn có thể đăng nhập bộ nạp khởi động Linux của riêng mình và đảm bảo PC của bạn chỉ có thể khởi động bộ nạp khởi động mà bạn đã biên dịch và ký tên. Đó là loại kiểm soát và sức mạnh Secure Boot cung cấp.
Những gì Microsoft yêu cầu của nhà sản xuất PC
Microsoft không chỉ yêu cầu các nhà cung cấp PC kích hoạt tính năng Khởi động an toàn nếu họ muốn nhãn dán chứng nhận “Windows 10” hoặc “Windows 8” đẹp trên máy tính của họ. Microsoft yêu cầu các nhà sản xuất PC thực hiện nó theo một cách cụ thể.
Đối với các PC Windows 8, các nhà sản xuất phải cung cấp cho bạn một cách để tắt Khởi động an toàn. Microsoft yêu cầu các nhà sản xuất PC phải đặt một công tắc diệt khởi động an toàn trong tay người dùng.
Đối với Windows 10 PC, điều này không còn bắt buộc nữa. Các nhà sản xuất PC có thể chọn bật Khởi động an toàn và không cung cấp cho người dùng cách tắt nó. Tuy nhiên, chúng tôi không thực sự biết về bất kỳ nhà sản xuất PC nào thực hiện việc này.
Tương tự, trong khi các nhà sản xuất PC phải bao gồm khóa "Microsoft Windows Production PCA" chính của Microsoft để Windows có thể khởi động, họ không phải bao gồm khóa "Microsoft Corporation UEFI CA". Khóa thứ hai này chỉ được khuyến nghị. Đây là khóa tùy chọn thứ hai mà Microsoft sử dụng để ký bộ nạp khởi động Linux. Tài liệu của Ubuntu giải thích điều này.
Nói cách khác, không phải tất cả các PC đều nhất thiết phải khởi động các bản phân phối Linux đã được ký khi khởi động Secure Boot. Một lần nữa, trên thực tế, chúng tôi chưa thấy bất kỳ PC nào thực hiện việc này. Có lẽ không nhà sản xuất PC nào muốn tạo ra dòng máy tính xách tay duy nhất mà bạn không thể cài đặt Linux.
Hiện tại, ít nhất, các PC Windows chính thống sẽ cho phép bạn vô hiệu hóa Secure Boot nếu bạn muốn, và chúng nên khởi động các bản phân phối Linux đã được Microsoft ký ngay cả khi bạn không vô hiệu hóa Secure Boot.
Khởi động an toàn không thể bị vô hiệu hóa trên Windows RT, nhưng Windows RT đã chết
Tất cả những điều trên đều đúng đối với các hệ điều hành Windows 8 và 10 tiêu chuẩn trên phần cứng Intel x86 tiêu chuẩn. Nó khác với ARM.
Trên Windows RT - phiên bản Windows 8 dành cho phần cứng ARM, được cung cấp trên Surface RT và Surface 2 của Microsoft, trong số các thiết bị khác - Không thể vô hiệu hóa tính năng Khởi động an toàn. Hiện tại, khởi động an toàn vẫn không thể tắt trên phần cứng Windows 10 Mobile - nói cách khác, điện thoại chạy Windows 10.
Đó là bởi vì Microsoft muốn bạn nghĩ về các hệ thống Windows RT dựa trên ARM là “thiết bị” chứ không phải máy tính cá nhân. Như Microsoft đã nói với Mozilla, Windows RT “không còn là Windows nữa”.
Tuy nhiên, Windows RT bây giờ đã chết. Không có phiên bản hệ điều hành Windows 10 dành cho máy tính để bàn cho phần cứng ARM, vì vậy đây không phải là điều bạn phải lo lắng nữa. Tuy nhiên, nếu Microsoft mang lại phần cứng Windows RT 10, có thể bạn sẽ không thể tắt Khởi động an toàn trên đó.
