Khởi động an toàn với Windows 10

• BIOS lỗi thời, UEFI thế chỗ
• Cấu hình phần cứng nào phù hợp cho Windows 10
• Nâng cao sản xuất với TPM
• Chọn lựa CPU nào cho Desktop

Nhiều người lúc này rất được lợi vì Microsoft cho phép nâng cấp Windows 10 miễn phí ở giới hạn nào đó. Và sắp tới, trong kế hoạch tăng cường khả năng bảo mật cho hệ điều hành Windows cuối cùng này của họ, Microsoft sẽ thêm vào tính năng kiểm tra tính năng bảo mật ngay trên CPU. Còn lúc này, Windows 10 có thể cài đặt trên rất nhiều nền tảng phần cứng khác nhau.

Cụ thể, sắp đến, chỉ có máy tính nào có CPU tích hợp module bảo mật TPM (trusted platform module) phiên bản 2.0 thì mới có thể khởi động được hệ điều hành Windows 10. Đây là cách mà hãng muốn tăng cường yêu cầu phần cứng để chứng thực những thiết bị nào tương thích với Windows 10. Khi kết hợp với quy trình “secure boot” (khởi động an toàn) thì hệ thống sẽ an toàn hơn rất nhiều so với các phiên bản Windows trước đó.

Tuy vậy, mặt trái của giải pháp này là chức năng để tắt kích hoạt secure boot không còn là tính năng bắt buộc phải có nữa, mà chỉ là tùy chọn. Do đó, nếu hệ thống được cài song song nhiều hệ điều hành, trong đó có Windows 10 , thì khi kích hoạt mặc định chế độ secure boot sẽ ảnh hưởng đến những hệ điều hành song song khác, hoặc thậm chí khi người dùng sử dụng USB lưu trữ (hay có người gọi là bút USB) hay đĩa DVD để khởi động.

Nếu quan tâm đến bảo mật máy tính, chúng ta dễ thấy được sự cần thiết và tầm quan trọng của secure boot là như thế nào để giúp hệ thống an toàn hơn. Trong trường hợp của Windows 10 , secure boot cũng áp dụng cho cả máy tính bảng và điện thoại thông minh, chứ không riêng gì máy tính để bàn.

Đến nay, các công cụ tìm và diệt virus như phần mềm quét virus hay tường lửa chỉ hoạt động bên trong hệ điều hành, còn trong quá trình khởi động hệ thống, hầu như không có công cụ nào kiểm soát tính an toàn.

Do đó, nếu hacker sử dụng rootkit để can thiệp vào tiến trình khởi động hệ thống thì họ có thể hoàn toàn điều khiển được Windows. Theo góc nhìn này, hacker cũng có thể giấu phần mềm độc hại tránh khỏi chương trình quét virus cũng như các biện pháp bảo vệ hệ thống khác bên trong hệ điều hành.

Windows 8 đã nâng được mức bảo mật lên khi phiên bản UEFI 2.3.1 có hỗ trợ secure boot. Lợi ích của firmware UEFI là không thể chỉnh sửa được, và chỉ cho phép những chương trình khởi động (bootloader) nào đã được chứng thực thì mới chạy được. Ngay từ đầu, UEFI đã ảnh hưởng đến hệ điều hành Linux nhưng đến nay, đã có những chương trình bootloader được chứng thực cho Linux.

Trong quy trình của secure boot, chỉ những thành phần nào được chứng thực thì mới được thêm vào quy trình khởi động. Còn những thành phần nào không được chứng thực hoặc bị chỉnh sửa gì đó thì sẽ bị chặn ngay trong quá trình khởi động.

Khởi động Windows với chip mã hóa

Secure boot không yêu cầu chip hỗ trợ TPM. Nhưng nếu cần thiết, chip mã hóa cũng có thể bảo mật tiến trình khởi động của Windows 10. Microsoft không gọi là secure boot mà gọi là “measured boot”. Cái tên này nghe có vẻ hợp hơn vì tiến trình khởi động mà Microsoft đưa ra phải qua khá nhiều “giai đoạn kiểm chứng” (measured). Sau khi nhấn nút bật máy tính, hệ thống sẽ tính toán ra một giá trị băm (hash) của firmware UEFI và lưu lại trong một giá trị của cấu hình nền của TPM (có 24 giá trị cố định).

Tính năng này giúp các mảng bộ nhớ hệ thống không bị can thiệp, và chỉ có thể ghi đè lên giá trị này khi hệ thống khởi động lại lần nữa. Theo đặc tả, mảng 24 giá trị cố định này được phân bổ như sau: giá trị từ 0 đến 7 dành riêng cho firmware UEFI, còn từ 8 đến 15 dành cho Windows, như BitLocker. Từ 16 đến 23 dành cho những phần mềm còn lại, như phần mềm quét virus.

Tiến trình secure boot chạy song song và kiểm tra chứng nhận các thành phần có trong quy trình khởi động hệ thống. Trước khi chạy bất kỳ module nào, quy trình khởi động sẽ tính toán ra một giá trị hash và chứa giá trị ấy trong một trong 24 giá trị TPM cố định nêu trên.

TPM 2.0

Như trong hình trên, sau khi hệ thống khởi động với UEFI, hệ thống sẽ tính toán ra các giá trị checksum của module kernel và trình điều khiển. Những checksum này sẽ được lưu lại trong TPM. ELAM (Early Launch Antimalware) là ví dụ cho một trường hợp đặc biệt, Windows sử dụng chức năng này để cho phép một chương trình quét virus chạy ngay từ khi khởi động.

Nhờ có hệ thống ELAM mà các hãng sản xuất phần mềm diệt virus như Kaspersky , Avira hay Symantec có thể chạy ngay khi hệ thống khởi động mà không cần vào đến bên trong hệ điều hành. Tiến trình này sẽ chấm dứt ngay khi màn hình khởi động của Windows xuất hiện và người dùng đăng nhập hệ thống. Sau đó, tiến trình khởi động này sẽ được ghi lại trong file log mã hóa, nội dung chứa một danh sách những thành phần được tải lên trong suốt quá trình khởi động.

Để đọc được file mã hóa này, người dùng cần chạy một module tên là “remote attestation client” và module này có thể gửi file log qua mạng, đến máy chủ test. Máy chủ này sẽ chạy một phân tích để quyết định xem liệu các thành phần khởi động ấy có an toàn hay không. Nếu không, máy chủ sẽ thông báo thành phần nào bị nhiễm malware hay không an toàn, và khuyến nghị người dùng nên loại bỏ nó ra khỏi tiến trình khởi động hệ thống.

Lợi ích của tiến trình khởi động “measured boot” này là cho phép một đơn vị trên mạng kiểm chứng xem các thành phần khởi động của hệ thống có an toàn hay không. Secure boot chưa hỗ trợ giống như measured boot và nó mới chỉ chạy trên máy tính người dùng mà thôi, không so sánh hay kiểm chứng ngược lại trên mạng.

Do đó, tiến trình measured boot xem ra rất quan trọng đối với những doanh nghiệp nào cho phép nhân viên sử dụng máy tính xách tay hay điện thoại thông minh cá nhân cho công việc. Vì với tình huống này, doanh nghiệp cần đảm bảo thiết bị cá nhân không bị nhiễm virus hay phần mềm gián điệp. Tuy vậy, lúc này các công ty phải lập thêm một máy chủ test để kiểm chứng các tiến trình khởi động thiết bị ấy nữa.