Trong thế giới công nghệ hiện đại, nơi mà mọi thiết bị đều được trang bị vô số lớp bảo mật, bo mạch chủ của bạn cũng không ngoại lệ. Một trong những tính năng bảo mật tích hợp sâu vào phần mềm BIOS/UEFI là Secure Boot. Đây là một công cụ mạnh mẽ, có thể là “vị cứu tinh” trong việc bảo vệ toàn bộ PC khỏi các mối đe dọa, nhưng đôi khi cũng trở thành rào cản không mong muốn khi bạn muốn cài đặt phần mềm hoặc hệ điều hành đặc thù. Đối với những người dùng có kinh nghiệm và thích tùy chỉnh hệ thống, Secure Boot thường gây ra nhiều phiền toái hơn là lợi ích, đó là lý do tại sao nhiều chuyên gia công nghệ, bao gồm cả tôi, thường chọn cách vô hiệu hóa nó trên các hệ thống của mình. Vậy Secure Boot thực sự là gì và khi nào bạn nên tắt hay giữ nó?
Secure Boot Là Gì? Tính Năng Bảo Mật Cốt Lõi Của Bo Mạch Chủ
Secure Boot được thiết kế để bổ sung thêm một lớp bảo vệ vững chắc cho máy tính của bạn, đảm bảo rằng chỉ có phần mềm và các thành phần được ký số (digitally signed) và đáng tin cậy mới có thể khởi chạy qua giai đoạn boot (khởi động). Mục đích chính của nó là ngăn chặn bất kỳ phần mềm độc hại (malicious software) hoặc không được ủy quyền nào thực hiện thay đổi đối với hệ thống ngay từ cấp độ thấp nhất. Điều này đặc biệt hữu ích khi mà máy tính cá nhân đã phải đối mặt với virus và các loại phần mềm độc hại khác trong nhiều thập kỷ. Mặc dù hầu hết phần mềm độc hại lây nhiễm vào hệ điều hành từ các nguồn khác qua Internet, nhưng việc PC bị nhiễm ở giai đoạn khởi động vẫn là một nguy cơ tiềm ẩn.
Khi Secure Boot được kích hoạt, bo mạch chủ sẽ kiểm tra một chữ ký được mã hóa trong chương trình EFI (Extensible Firmware Interface) khi nó được thực thi. Nếu chữ ký này không tồn tại, không khớp hoặc nằm trong danh sách đen (blacklisted), chương trình sẽ không được phép chạy. Bộ tải khởi động EFI (EFI bootloader) phải tiếp tục khởi động một cách “an toàn”, và hệ điều hành phải được chứng minh là an toàn trong suốt quá trình để hoàn tất. Tính năng này lần đầu tiên được giới thiệu trên các máy tính chạy Windows 8 vào năm 2012 và ngay lập tức gây ra nhiều vấn đề với các hệ điều hành khác, đặc biệt là các bản phân phối Linux (Linux distros). Kể từ đó, một số bản phân phối đã nỗ lực bổ sung hỗ trợ cho Secure Boot.
Hiện tại, bạn đã có thể khởi động, cài đặt và chạy Ubuntu với Secure Boot được kích hoạt trong UEFI BIOS. Tuy nhiên, nhiều bản phân phối Linux khác vẫn sẽ gặp sự cố ngay cả khi cố gắng khởi động vào môi trường Live (Live environment), chẳng hạn như Arch Linux. Ngoài ra, các driver hoặc phần mềm không có chữ ký số (unsigned software) cũng có thể không chạy được khi Secure Boot đang bật. Đây là một tính năng hữu ích để bảo mật một hệ thống có thể bị lây nhiễm ở cấp độ thấp (low level) và gây ra thiệt hại không thể đảo ngược, nhưng Secure Boot cũng có thể trở thành một trở ngại thực sự khi bạn muốn làm điều gì đó không được Microsoft hoặc các đối tác của họ ký số.
Hầu hết các tệp nhị phân được Ubuntu tải đều được ký bởi chứng chỉ UEFI của Canonical, vốn được tin cậy một cách ngầm định do được nhúng vào bộ tải shim (shim loader), và bộ tải shim này lại được Microsoft ký. Một tệp nhị phân shim được Microsoft ký và một tệp nhị phân grub được Canonical ký đều có sẵn trong kho lưu trữ chính của Ubuntu. Tuy nhiên, ngay cả khi Secure Boot được bật, bạn vẫn có thể gặp phải các vấn đề với mã độc ở những nơi khác trong hệ điều hành.
Mặt sau bo mạch chủ Asus ROG Strix B850-F Gaming WiFi, nơi chứa các cổng kết nối và BIOS quản lý Secure Boot
Quan Điểm Cá Nhân: Tại Sao Tôi Luôn Tắt Secure Boot Trên Hệ Thống Của Mình
Tôi không xem Secure Boot là một âm mưu của Microsoft để duy trì quyền kiểm soát tối đa đối với thị trường PC. Thay vào đó, nó giống như một tính năng bảo mật có thể gây rắc rối nhiều hơn là hữu ích, đặc biệt là trên một hệ thống mà người dùng đủ am hiểu công nghệ để tự cài đặt và chạy một hệ điều hành không phải là Windows. Giống như phần mềm chống virus, Secure Boot phù hợp hơn với những người dùng có thể không đáng tin cậy trong việc truy cập các trang web đáng ngờ hoặc tải xuống và cài đặt phần mềm từ các nguồn không đáng tin cậy. Tôi tin rằng Secure Boot là một ý tưởng tuyệt vời, nhưng việc thực thi nó lại chưa thực sự tối ưu.
Tôi thường xuyên chuyển đổi giữa các bản phân phối Linux trên dàn máy tính chính của mình, và việc Secure Boot được bật sẽ khiến quá trình này trở nên phiền toái hơn vì tôi sẽ phải đảm bảo mọi thứ đều được ký trước khi tiến hành cài đặt. Và ngay cả sau đó, bất kỳ phần mềm nào tôi muốn cài đặt trên bản phân phối đó cũng sẽ phải được ký số. Tôi có thể tự mình làm điều này và khiến mọi thứ hoạt động, nhưng nó tốn quá nhiều thời gian và không phải là điều tôi đặc biệt muốn làm. Tôi rất mong chúng ta sẽ đạt đến một thời điểm mà Secure Boot trở nên hữu ích hơn mà không gây cản trở cho mọi thứ.
Kiểm tra trạng thái Secure Boot trên Arch Linux qua dòng lệnh mokutil, hiển thị tính năng đang bị vô hiệu hóa
Khi Nào Nên Tắt Hoặc Giữ Lại Secure Boot? Lời Khuyên Từ Chuyên Gia
Vậy, bạn có nên tắt Secure Boot hay không? Điều đó phụ thuộc vào mục đích bạn sử dụng hệ thống và hệ điều hành bạn dự định cài đặt.
- Nếu bạn đang chạy Windows hoặc hệ điều hành đi kèm với phần cứng của mình, tôi khuyên bạn nên giữ Secure Boot được bật. Nó sẽ cung cấp một lớp bảo mật bổ sung mà không ảnh hưởng đến trải nghiệm của bạn.
- Nếu bạn sử dụng một bản phân phối Linux có hỗ trợ Secure Boot (như Ubuntu), bạn cũng nên giữ nó được bật.
- Đối với tất cả các trường hợp khác, đặc biệt là nếu bạn muốn cài đặt các bản phân phối Linux không tương thích, các hệ điều hành tùy chỉnh hoặc các phần mềm/driver không có chữ ký số, thì việc vô hiệu hóa Secure Boot có thể mang lại cho bạn nhiều tự do hơn trong việc chạy những gì bạn muốn trên PC.
Hãy nhớ rằng, Secure Boot là một bổ sung hữu ích cho kho vũ khí bảo mật của bo mạch chủ và có thể bảo vệ các hệ thống cấp thấp của bạn khỏi bị lây nhiễm. Quyết định tắt hay giữ nó nên dựa trên mức độ am hiểu công nghệ, nhu cầu cá nhân và rủi ro mà bạn sẵn sàng chấp nhận.
Laptop khởi động với logo Windows, minh họa trường hợp khuyến nghị giữ Secure Boot hoạt động
Kết Luận
Secure Boot là một tính năng bảo mật quan trọng, được thiết kế để tăng cường sự an toàn cho hệ thống PC của bạn ngay từ giai đoạn khởi động. Tuy nhiên, nó cũng có thể trở thành một rào cản đối với những người dùng có kinh nghiệm, những người thường xuyên tùy chỉnh, cài đặt nhiều hệ điều hành hoặc sử dụng phần mềm không có chữ ký số. Việc quyết định tắt Secure Boot hay giữ lại Secure Boot phụ thuộc hoàn toàn vào nhu cầu sử dụng và mức độ am hiểu công nghệ của bạn. Hãy cân nhắc kỹ lưỡng giữa yếu tố bảo mật và sự linh hoạt trong việc tùy chỉnh hệ thống để đưa ra lựa chọn phù hợp nhất cho chiếc PC của mình.