Trong vô vàn các tính năng bảo mật tích hợp sâu vào phần mềm trên mainboard máy tính, Secure Boot nổi lên như một lá chắn kiên cố, giúp giữ an toàn cho toàn bộ hệ thống. Tuy nhiên, tính năng này đôi khi lại trở thành con dao hai lưỡi: có thể vô cùng giá trị hoặc gây ra không ít phiền toái, tùy thuộc vào cách bạn sử dụng thiết bị. Đối với nhiều người dùng, Secure Boot thường can thiệp vào quá trình cài đặt một số phần mềm hoặc hệ điều hành nhất định, gây ra sự khó chịu không mong muốn. Đó là lý do tại sao nhiều chuyên gia và người dùng có kinh nghiệm, trong đó có tôi, thường quyết định vô hiệu hóa nó trên các hệ thống của mình.
Secure Boot: Lá Chắn Bảo Mật Hay Rào Cản Đáng Ghét?
Tính năng tuyệt vời… cho người dùng ít kinh nghiệm
Secure Boot được thiết kế để bổ sung một lớp bảo vệ nữa cho máy tính của bạn, chỉ cho phép các phần mềm và thành phần được ký số (digitally signed) và đáng tin cậy khởi chạy sau giai đoạn boot. Điều này nhằm ngăn chặn mọi phần mềm độc hại hoặc trái phép thực hiện bất kỳ thay đổi nào đối với hệ thống. Đây là một cơ chế hữu ích khi máy tính cá nhân đã và đang “chiến đấu” chống lại virus và các loại phần mềm độc hại khác trong nhiều thập kỷ. Mặc dù hầu hết phần mềm độc hại lây nhiễm vào hệ điều hành từ các nguồn khác qua Internet, nhưng vẫn có khả năng PC của bạn bị lây nhiễm ngay từ giai đoạn khởi động.
Với Secure Boot được kích hoạt, mainboard sẽ kiểm tra chữ ký được mã hóa trong một chương trình EFI khi nó được thực thi. Nếu chữ ký này không tồn tại, bị sai lệch hoặc nằm trong danh sách đen, chương trình sẽ không chạy. Trình khởi động EFI (EFI bootloader) phải tiếp tục khởi động theo cách “an toàn”, và hệ điều hành cũng phải an toàn trong suốt quá trình để hoàn tất. Tính năng này lần đầu tiên được giới thiệu trên các máy tính chạy Windows 8 vào năm 2012 và đã gây ra nhiều vấn đề với các hệ điều hành khác, đặc biệt là các bản phân phối Linux (Linux distros). Tuy nhiên, kể từ đó, một số bản phân phối Linux đã tích hợp hỗ trợ cho Secure Boot.
Hiện nay, bạn có thể khởi động, cài đặt và chạy Ubuntu với Secure Boot được bật trong UEFI BIOS. Mặc dù vậy, các bản phân phối Linux khác như Arch Linux vẫn gặp khó khăn ngay cả khi khởi động vào môi trường Live. Ngoài ra, một số driver và các phần mềm không được ký số khác cũng có thể không chạy được khi Secure Boot được kích hoạt. Rõ ràng, Secure Boot rất hữu ích trong việc bảo vệ một hệ thống có thể bị lây nhiễm ở cấp độ thấp, điều này có thể gây ra thiệt hại không thể đảo ngược. Thế nhưng, nó cũng có thể trở thành một rắc rối thực sự khi bạn muốn thực hiện những điều không được ký bởi Microsoft hoặc các đối tác của họ.
Shim Loader và Chữ Ký Kỹ Thuật Số: Tại Sao Lại Quan Trọng?
Phần lớn các tệp nhị phân được tải bởi Ubuntu được ký bởi chứng chỉ UEFI của Canonical, vốn được tin cậy một cách ngầm định nhờ được nhúng vào shim loader, sau đó được Microsoft ký. Một tệp nhị phân shim được Microsoft ký và một tệp nhị phân grub được Canonical ký đều có sẵn trong kho lưu trữ chính của Ubuntu. Tuy nhiên, ngay cả khi Secure Boot được bật, bạn vẫn có thể gặp vấn đề với mã độc ở những nơi khác trong hệ điều hành. Điều này cho thấy Secure Boot chỉ là một lớp bảo vệ ban đầu, không phải là giải pháp toàn diện.
Cổng kết nối phía sau của mainboard ASUS ROG Strix B850-F Gaming WiFi, nơi chứa BIOS/UEFI.
Lý Do Tôi (Và Có Thể Cả Bạn) Luôn Tắt Secure Boot
Đơn giản là nó cản trở!
Tôi không xem Secure Boot là một âm mưu của Microsoft nhằm duy trì quyền kiểm soát tối đa đối với thị trường PC. Tôi chỉ coi nó là một tính năng bảo mật mà đôi khi mang lại nhiều vấn đề hơn là lợi ích, đặc biệt trên một hệ thống mà người dùng có đủ kiến thức công nghệ để tự cài đặt và chạy một hệ điều hành không phải là Windows. Giống như phần mềm diệt virus, Secure Boot phù hợp hơn với những người không thể tự tin tránh truy cập các trang web đáng ngờ hoặc tải xuống, cài đặt phần mềm từ các nguồn không đáng tin cậy. Tôi tin rằng Secure Boot là một ý tưởng tuyệt vời, nhưng lại được thực thi chưa thực sự hoàn hảo.
Tôi thường xuyên thay đổi giữa các bản phân phối Linux trên dàn máy tính chính của mình. Nếu bật Secure Boot, quá trình này sẽ trở nên phiền toái hơn rất nhiều, đơn giản vì tôi phải đảm bảo mọi thứ đều được ký số trước khi tiến hành cài đặt. Thậm chí sau đó, bất kỳ phần mềm nào tôi muốn cài đặt thêm vào bản phân phối cũng phải được ký. Tôi có thể tự thực hiện việc này và khiến mọi thứ hoạt động, nhưng nó tốn quá nhiều thời gian và không phải là điều tôi muốn làm. Tôi mong muốn chúng ta sẽ đạt đến một thời điểm mà Secure Boot trở nên hữu ích hơn mà không gây cản trở mọi thứ.
Giao diện dòng lệnh trên Arch Linux với lệnh 'mokutil –sb-state' hiển thị trạng thái Secure Boot đã bị vô hiệu hóa.
Khi nào nên tắt Secure Boot?
Vậy, bạn có nên tắt Secure Boot không? Điều này phụ thuộc vào mục đích bạn sử dụng hệ thống và hệ điều hành bạn dự định cài đặt.
- Nếu bạn đang chạy Windows hoặc hệ điều hành đi kèm với phần cứng của mình: Tôi khuyên bạn nên giữ Secure Boot bật. Nó cung cấp một lớp bảo vệ bổ sung đáng giá.
- Nếu một bản phân phối Linux bạn định sử dụng có hỗ trợ Secure Boot: Hãy giữ nó bật.
- Đối với tất cả các trường hợp khác: Có thể cân nhắc tắt Secure Boot để bạn có nhiều tự do hơn trong việc chạy các phần mềm hoặc hệ điều hành tùy chỉnh trên PC.
Màn hình laptop hiển thị logo Windows khi khởi động, minh họa hệ điều hành Windows mặc định.
Lời khuyên cuối cùng về Secure Boot
Secure Boot là một tính năng bảo mật mạnh mẽ, giúp bảo vệ máy tính của bạn khỏi các mối đe dọa từ giai đoạn khởi động cấp thấp. Tuy nhiên, đối với những người dùng có kinh nghiệm, muốn tùy biến sâu hoặc thường xuyên thử nghiệm các hệ điều hành khác ngoài Windows, việc tắt Secure Boot có thể mang lại sự linh hoạt và tiết kiệm thời gian đáng kể. Hãy luôn nhớ rằng, việc vô hiệu hóa Secure Boot có thể làm giảm một phần khả năng bảo vệ của hệ thống, vì vậy hãy đảm bảo bạn hiểu rõ rủi ro và chỉ cài đặt phần mềm từ các nguồn đáng tin cậy. Bạn có chia sẻ kinh nghiệm sử dụng Secure Boot của mình không? Hãy để lại bình luận bên dưới!
