Trên mỗi chiếc mainboard hiện đại, vô số biện pháp bảo mật được tích hợp sâu vào phần mềm (firmware) để giữ cho toàn bộ máy tính của bạn an toàn khỏi các mối đe dọa. Một trong những tính năng đó là Secure Boot, một công cụ có thể vô cùng giá trị hoặc gây rắc rối tùy thuộc vào thiết bị và cách bạn sử dụng. Đáng tiếc, Secure Boot đôi khi cản trở việc cài đặt một số phần mềm nhất định trên hệ thống và thường can thiệp vào những nơi không mong muốn. Đó là lý do tại sao chúng tôi tại congnghehot.net thường vô hiệu hóa Secure Boot trên các hệ thống thử nghiệm của mình.
Secure Boot là gì? Tính năng bảo mật hai mặt của PC
Bảo vệ mạnh mẽ cho người dùng phổ thông
Secure Boot được thiết kế để bổ sung một lớp bảo vệ khác cho máy tính của bạn, chỉ cho phép phần mềm và các thành phần được ký điện tử và tin cậy khởi chạy thành công sau giai đoạn khởi động (boot stage). Điều này ngăn chặn bất kỳ phần mềm độc hại hoặc không được ủy quyền nào thực hiện thay đổi đối với hệ thống, một điều rất hữu ích khi các máy tính cá nhân đã phải chiến đấu chống lại virus và các phần mềm độc hại khác trong nhiều thập kỷ. Mặc dù hầu hết phần mềm độc hại sẽ lây nhiễm vào hệ điều hành từ các nguồn khác thông qua Internet, nhưng việc PC bị lây nhiễm ở giai đoạn khởi động vẫn có thể xảy ra.
Với Secure Boot được bật, mainboard sẽ kiểm tra một chữ ký được mã hóa trong chương trình EFI khi nó được thực thi. Nếu chữ ký này không tồn tại, không khớp hoặc bị đưa vào danh sách đen, chương trình sẽ không chạy. Trình tải khởi động EFI phải tiếp tục khởi động theo “cách thức an toàn” và hệ điều hành phải an toàn một cách nội tại để toàn bộ quá trình hoàn tất. Tính năng này lần đầu tiên được giới thiệu trên các máy tính chạy Windows 8 vào năm 2012 và đã gây ra nhiều vấn đề với các hệ điều hành khác, đặc biệt là các bản phân phối Linux (Linux distros). Kể từ đó, một số distro đã tích hợp hỗ trợ Secure Boot.
Hiện tại, bạn có thể khởi động, cài đặt và chạy Ubuntu với Secure Boot được bật trong UEFI BIOS, mặc dù các distro khác như Arch Linux vẫn gặp vấn đề ngay cả khi khởi động vào môi trường Live. Ngoài ra, còn có các trình điều khiển (drivers) và phần mềm không có chữ ký khác có thể không chạy khi Secure Boot được bật. Tính năng này rất hữu ích để giúp bảo mật một hệ thống có thể bị lây nhiễm ở cấp độ thấp, gây ra thiệt hại không thể phục hồi. Tuy nhiên, Secure Boot cũng có thể trở thành một rắc rối thực sự khi bạn muốn làm điều gì đó không được ký bởi Microsoft hoặc một trong các đối tác của họ.
Hầu hết các tệp nhị phân (binaries) được Ubuntu tải đều được ký bởi chứng chỉ UEFI của Canonical, vốn được tin cậy một cách ngầm định do được nhúng trong trình tải shim, đã được Microsoft ký. Một tệp nhị phân shim được Microsoft ký và một tệp nhị phân grub được Canonical ký đều được cung cấp trong kho lưu trữ chính của Ubuntu. Nhưng ngay cả khi Secure Boot được bật, bạn vẫn có thể gặp phải các vấn đề với mã độc ở những nơi khác trong hệ điều hành.
Mainboard ASUS ROG Strix B850-F Gaming WiFi nhìn từ góc phía sau với các cổng kết nối I/O.
Lý do congnghehot.net khuyến nghị bạn nên cân nhắc vô hiệu hóa Secure Boot
Khi sự tiện lợi và linh hoạt trở nên quan trọng hơn
congnghehot.net không xem Secure Boot như một nỗ lực xấu xa của Microsoft để duy trì quyền kiểm soát thị trường PC. Thay vào đó, chúng tôi coi đây là một tính năng bảo mật có thể gây rắc rối nhiều hơn là hữu ích, đặc biệt trên một hệ thống mà người dùng có đủ kiến thức công nghệ để cài đặt và chạy một hệ điều hành không phải là phiên bản Windows. Giống như phần mềm chống virus, Secure Boot phù hợp hơn cho những người không thể tin tưởng hoàn toàn vào việc không truy cập các trang web đáng ngờ hoặc tải xuống và cài đặt phần mềm từ các nguồn không đáng tin cậy. Chúng tôi tin rằng Secure Boot là một ý tưởng tuyệt vời, chỉ là việc thực thi chưa được tối ưu.
Chúng tôi thường xuyên chuyển đổi giữa các bản phân phối Linux trên dàn máy chính của mình, và việc bật Secure Boot sẽ khiến quá trình này trở nên phiền toái hơn. Đơn giản vì chúng tôi sẽ phải đảm bảo mọi thứ đều được ký trước khi tiến hành cài đặt. Và ngay cả khi đó, bất kỳ phần mềm nào muốn cài đặt lên trên distro cũng phải được ký. Mặc dù có thể thực hiện thủ công việc này để mọi thứ hoạt động, nhưng nó tốn quá nhiều thời gian và không phải là điều chúng tôi muốn làm. Chúng tôi mong muốn đến một thời điểm mà Secure Boot trở nên hữu ích hơn mà không cản trở mọi thứ.
Màn hình console của Arch Linux hiển thị kết quả kiểm tra trạng thái Secure Boot là 'Disabled' bằng lệnh mokutil
Nên bật hay tắt Secure Boot? Lời khuyên từ chuyên gia
Có nên vô hiệu hóa Secure Boot hay không? Điều đó phụ thuộc vào mục đích bạn sử dụng hệ thống và những gì bạn dự định cài đặt làm hệ điều hành. Nếu bạn đang chạy Windows hoặc hệ điều hành đi kèm với phần cứng của mình, chúng tôi khuyên bạn nên để nó bật. Nếu một bản phân phối Linux bạn định sử dụng hỗ trợ Secure Boot tốt (ví dụ như Ubuntu), hãy để nó bật.
Đối với mọi trường hợp khác, đặc biệt là khi bạn muốn cài đặt các hệ điều hành Linux ít phổ biến hơn, thử nghiệm các phần mềm không có chữ ký số hoặc muốn có sự tự do tối đa trong việc tùy chỉnh PC, việc tắt Secure Boot có thể đáng cân nhắc để mang lại cho bạn nhiều quyền kiểm soát hơn đối với những gì bạn có thể chạy trên máy tính. Tuy nhiên, hãy luôn nhớ rằng Secure Boot vẫn là một bổ sung hữu ích cho kho vũ khí bảo mật của mainboard và có thể bảo vệ các hệ thống cấp thấp hơn của bạn khỏi bị lây nhiễm.
Kết luận
Secure Boot là một tính năng bảo mật quan trọng, giúp bảo vệ hệ thống của bạn khỏi các phần mềm độc hại ở giai đoạn khởi động bằng cách chỉ cho phép các thành phần và phần mềm có chữ ký số đáng tin cậy. Tuy nhiên, đối với những người dùng có kinh nghiệm, đặc biệt là những ai thường xuyên khám phá các hệ điều hành Linux hoặc cài đặt phần mềm không có chữ ký, tính năng này có thể gây ra nhiều rắc rối và hạn chế sự linh hoạt.
Quyết định bật hay vô hiệu hóa Secure Boot cuối cùng nằm ở nhu cầu và kiến thức của người dùng. Nếu bạn là người dùng phổ thông chủ yếu sử dụng Windows mặc định, việc bật Secure Boot sẽ tăng cường bảo mật. Ngược lại, nếu bạn là người dùng am hiểu công nghệ, muốn thử nghiệm nhiều hơn với các hệ điều hành và phần mềm khác nhau, việc tắt Secure Boot có thể mang lại trải nghiệm tiện lợi và linh hoạt hơn. Hãy luôn cân nhắc kỹ lưỡng để đảm bảo an toàn và tối ưu hiệu suất cho chiếc PC của bạn. Bạn có thường xuyên bật/tắt Secure Boot không? Hãy chia sẻ kinh nghiệm của bạn ở phần bình luận!