Cách khởi động an toàn hoạt động trên Windows 8 và 10 và ý nghĩa của Linux
Máy tính hiện đại xuất xưởng với tính năng có tên là Secure Secure Boot được kích hoạt. Đây là một tính năng nền tảng trong UEFI, thay thế BIOS PC truyền thống. Nếu nhà sản xuất PC muốn đặt nhãn dán logo của Windows Windows 10 10 hoặc Windows Windows 8 vào PC của họ, Microsoft yêu cầu họ kích hoạt Secure Boot và làm theo một số nguyên tắc.
Thật không may, nó cũng ngăn bạn cài đặt một số bản phân phối Linux, điều này có thể khá rắc rối.
Cách khởi động an toàn đảm bảo quá trình khởi động máy tính của bạn
Secure Boot không chỉ được thiết kế để làm cho việc chạy Linux trở nên khó khăn hơn. Có những lợi thế bảo mật thực sự khi bật Secure Boot và ngay cả người dùng Linux cũng có thể hưởng lợi từ chúng.
Một BIOS truyền thống sẽ khởi động bất kỳ phần mềm nào. Khi bạn khởi động PC, nó sẽ kiểm tra các thiết bị phần cứng theo thứ tự khởi động bạn đã cấu hình và cố gắng khởi động từ chúng. Các PC thông thường sẽ tìm và khởi động bộ tải khởi động Windows, khởi động để khởi động toàn bộ hệ điều hành Windows. Nếu bạn sử dụng Linux, BIOS sẽ tìm và khởi động trình tải khởi động GRUB, phần lớn các bản phân phối Linux sử dụng.
Tuy nhiên, phần mềm độc hại, chẳng hạn như rootkit, có thể thay thế bộ tải khởi động của bạn. Rootkit có thể tải hệ điều hành bình thường của bạn mà không có dấu hiệu gì sai, hoàn toàn vô hình và không thể phát hiện trên hệ thống của bạn. BIOS không biết sự khác biệt giữa phần mềm độc hại và bộ tải khởi động đáng tin cậy - nó chỉ khởi động bất cứ thứ gì nó tìm thấy.
Secure Boot được thiết kế để ngăn chặn điều này. Windows 8 và 10 PC xuất xưởng với chứng chỉ của Microsoft được lưu trữ trong UEFI. UEFI sẽ kiểm tra bộ tải khởi động trước khi khởi chạy nó và đảm bảo nó được ký bởi Microsoft. Nếu một rootkit hoặc một phần mềm độc hại khác thay thế bộ tải khởi động hoặc giả mạo nó, UEFI sẽ không cho phép nó khởi động. Điều này ngăn phần mềm độc hại chiếm quyền điều khiển quá trình khởi động của bạn và che giấu nó khỏi hệ điều hành của bạn.
Cách Microsoft cho phép phân phối Linux khởi động với Secure Boot
Về lý thuyết, tính năng này chỉ được thiết kế để bảo vệ chống lại phần mềm độc hại. Vì vậy, Microsoft cung cấp một cách để giúp phân phối Linux khởi động bằng mọi cách. Đó là lý do tại sao một số bản phân phối Linux hiện đại - như Ubuntu và Fedora - sẽ chỉ hoạt động trên các máy tính hiện đại, ngay cả khi bật Secure Boot. Các bản phân phối Linux có thể trả phí một lần là 99 đô la để truy cập vào cổng thông tin Microsoft Sysdev, nơi họ có thể đăng ký để có bộ tải khởi động được ký.
Các bản phân phối Linux thường có một bản shim trực tuyến đã ký. Shim là một trình tải khởi động nhỏ, chỉ đơn giản là khởi động bộ tải khởi động GRUB chính của Linux. Bộ kiểm tra shim có chữ ký của Microsoft kiểm tra để đảm bảo nó khởi động bộ tải khởi động có chữ ký của bản phân phối Linux và sau đó bản phân phối Linux khởi động bình thường.
Ubuntu, Fedora, Red Hat Enterprise Linux và openSUSE hiện hỗ trợ Secure Boot và sẽ hoạt động mà không cần bất kỳ chỉnh sửa nào trên phần cứng hiện đại. Có thể có những người khác, nhưng đây là những người chúng tôi biết. Một số bản phân phối Linux trái ngược về mặt triết học với việc đăng ký để được ký bởi Microsoft.
Làm thế nào bạn có thể vô hiệu hóa hoặc kiểm soát khởi động an toàn
Nếu đó là tất cả Secure Boot đã làm, bạn sẽ không thể chạy bất kỳ hệ điều hành nào không được Microsoft chấp thuận trên PC của bạn. Nhưng bạn có thể kiểm soát Secure Boot từ phần sụn UEFI của PC, giống như BIOS trong các PC cũ.
Có hai cách để kiểm soát Khởi động an toàn. Phương pháp đơn giản nhất là hướng tới firmware UEFI và vô hiệu hóa nó hoàn toàn. Chương trình cơ sở UEFI sẽ không kiểm tra để đảm bảo bạn đang chạy bộ tải khởi động đã ký và mọi thứ sẽ khởi động. Bạn có thể khởi động bất kỳ bản phân phối Linux nào hoặc thậm chí cài đặt Windows 7, không hỗ trợ Secure Boot. Windows 8 và 10 sẽ hoạt động tốt, bạn sẽ mất đi những lợi thế bảo mật khi có Secure Boot bảo vệ quá trình khởi động của bạn.
Bạn cũng có thể tùy chỉnh thêm Khởi động an toàn. Bạn có thể kiểm soát chứng chỉ ký nào mà Secure Boot cung cấp. Bạn có thể tự do cài đặt chứng chỉ mới và xóa chứng chỉ hiện có. Chẳng hạn, một tổ chức chạy Linux trên PC của họ, có thể chọn xóa chứng chỉ của Microsoft và cài đặt chứng chỉ của chính tổ chức đó. Những PC đó sau đó sẽ chỉ khởi động bộ tải khởi động được phê duyệt và ký bởi tổ chức cụ thể đó.
Một cá nhân cũng có thể làm điều này - bạn có thể ký bộ tải khởi động Linux của riêng bạn và đảm bảo PC của bạn chỉ có thể khởi động bộ tải khởi động do cá nhân bạn biên soạn và ký. Đó là loại kiểm soát và sức mạnh Khởi động an toàn.
Những gì Microsoft yêu cầu của các nhà sản xuất PC
Microsoft không chỉ yêu cầu các nhà cung cấp PC kích hoạt Secure Boot nếu họ muốn nhãn dán chứng nhận Windows 10 10 hay Windows Windows 8 đẹp đó trên PC của họ. Microsoft yêu cầu các nhà sản xuất PC thực hiện nó theo một cách cụ thể.
Đối với PC Windows 8, các nhà sản xuất phải cung cấp cho bạn cách tắt Secure Boot. Microsoft yêu cầu các nhà sản xuất PC phải đặt công tắc tiêu diệt Secure Boot trong tay người dùng.
Đối với PC Windows 10, điều này không còn bắt buộc. Các nhà sản xuất PC có thể chọn bật Secure Boot và không cung cấp cho người dùng cách tắt. Tuy nhiên, chúng tôi không thực sự biết bất kỳ nhà sản xuất PC nào làm điều này.
Tương tự, trong khi các nhà sản xuất PC phải bao gồm khóa chính Microsoft Microsoft Sản xuất Microsoft PC PC Windows để Windows có thể khởi động, họ không phải bao gồm khóa UEFI CA mật của Microsoft Corporation Khóa thứ hai này chỉ được khuyến nghị. Đây là khóa tùy chọn thứ hai mà Microsoft sử dụng để ký các bộ tải khởi động Linux. Tài liệu của Ubuntu giải thích điều này.
Nói cách khác, không phải tất cả các PC sẽ nhất thiết phải khởi động các bản phân phối Linux đã ký khi bật Secure Boot. Một lần nữa, trong thực tế, chúng tôi chưa thấy bất kỳ PC nào làm điều này. Có lẽ không nhà sản xuất PC nào muốn tạo ra dòng máy tính xách tay duy nhất bạn không thể cài đặt Linux.
Hiện tại, ít nhất, các PC Windows chính thống sẽ cho phép bạn tắt Secure Boot nếu bạn muốn và chúng nên khởi động các bản phân phối Linux đã được Microsoft ký ngay cả khi bạn không tắt Secure Boot.
Khởi động an toàn không thể bị vô hiệu hóa trên Windows RT, nhưng Windows RT đã chết
Tất cả những điều trên là đúng với các hệ điều hành Windows 8 và 10 tiêu chuẩn trên phần cứng Intel x86 tiêu chuẩn. Nó khác với ARM.
Trên Windows RT - phiên bản Windows 8 dành cho phần cứng ARM, được bán trên Surface RT và Surface 2 của Microsoft, trong số các thiết bị khác - Secure Boot không thể bị tắt. Ngày nay, Secure Boot vẫn không thể bị vô hiệu hóa trên phần cứng Windows 10 Mobile - nói cách khác, điện thoại chạy Windows 10.
Đó là bởi vì Microsoft muốn bạn nghĩ về các hệ thống Windows RT dựa trên ARM là các thiết bị, chứ không phải PC. Như Microsoft đã nói với Mozilla, Windows RT, Windows không còn là Windows nữa.
Tuy nhiên, Windows RT hiện đã chết. Không có phiên bản hệ điều hành Windows 10 dành cho phần cứng ARM, vì vậy đây không còn là điều bạn phải lo lắng nữa. Nhưng, nếu Microsoft mang phần cứng Windows RT 10 trở lại, có khả năng bạn sẽ không thể tắt Secure Boot trên nó.
Tín dụng hình ảnh: Đại sứ Base, John Bristowe