Secure Boot
แนวคิดของ Secure Boot คือ UEFI ในฐานะตัวโหลดระบบปฏิบัติการ จะตรวจสอบว่าระบบปฏิบัติการมีอะไรปนเปื้อน เช่น มัลแวร์ หรือไม่ ผ่านการเช็คคีย์ (PKI) ของไฟล์อิมเมจระบบปฏิบัติการ รายละเอียดจริงๆ มีเยอะกว่านั้น
UEFI
UEFI มาจากคำว่า Unified Extensible Firmware Interface เป็นซอฟต์แวร์คำสั่งให้คอมพิวเตอร์ติดต่อกับฮาร์ดแวร์ต่าง ๆ ทำงานในช่วงเริ่มต้นที่เราเริ่มเปิดเครื่อง โดยคร่าว ๆ ก็เป็นเหมือนไบออส (BIOS) แต่ถูกพัฒนามาเพื่อลดปัญหาของระบบไบออสแบบเดิม การลงวินโดว์แบบ UEFI นั้นเฟิร์มแวร์ในชิพจะเชื่อมต่อกับส่วนบูตวินโดว์ในฮาร์ดดิสก์เลย ทำให้ลดเวลาในการตรวจสอบฮาร์ดแวร์ในส่วนของ บูตเรคคอร์ดออกไป ด้วยข้อดีนี้ ในอนาคตอันใกล้ UEFI จะมาแทนที่ระบบการบูตด้วยไบออสแบบดั้งเดิม ซึ่งมีข้อจำกัดต่าง ๆ เช่น ขนาดพื้นที่ในการแบ่งพาร์ทิชันของฮาร์ดดิสก์ และเวลาในการทำงานที่ค่อนข้างมากทำให้การทำงานต้องรอ
ก่อนหน้านี้บูตเรคคอร์ด (Boot Record) ของฮาร์ดดิสก์จะเป็นแบบ MBR (Master Boot Record) จะต้องเซ็ตเมนูไบออสให้บูตเป็น Legacy mode ส่วนระบบบูตแบบ UEFI รองรับระบบปฏิบัติการตั้งแต่วินโดว์ 8 เป็นต้นไป และฮาร์แวร์ก็ต้องรองรับด้วยโดยเฉพาะเมนบอร์ด และฮาร์ดดิสก์แบบโซลิดสเตท (SSD) ในที่นี่จะขอยกตัวอย่างกรณีระบบปฏิบัติการวินโดว์ 10 ก่อนอื่นจะต้องตั้งค่าบูตเรคคอร์ดของฮาร์ดดิสก์ให้เป็นแบบ GPT (GUID Partition Table) จึงต้องสร้างพาร์ทิชันใหม่ทั้งหมด ถึงจะเริ่มติดตั้งวินโดว์ได้
UEFI ทำให้เราใช้งานเครื่องคอมพิวเตอร์ได้อย่างเต็มประสิทธิภาพ โดยจะสังเกตุเห็นได้อย่างชัดเจนตอนที่เริ่มเปิดเครื่อง จะใช้เวลาบูตที่ค่อนข้างเร็วกว่าที่ผ่านมาจากผลการทดสอบใช้เวลาประมาณ 10 วินาที เป็นอย่างน้อย
ดังนั้นการติดตั้ง HDD เป็น Lagacy mode แล้ว Bios ไม่เจอ HDD เพราะไบออสถูกตั้งค่าเป็น Boot UEFI mode สาเหตุเพราะไบออสคืนค่าโรงงานกลับไปเป็น UEFI mode ทำให้ PC ไม่สามารถบูต HDD ที่เป็น Legacy ได้ เราจะต้องเข้าไปแก้ไขใน Bios ปรับค่าเป็น Boot Lagacy mode เพื่อให้ตรงกับ HDD ที่เป็น Lagacy mode นั่นเอง
Secure Boot เป็นฟังก์ชั่นของระบบไบออส UEFI ฟีเจอร์นี้มีไว้ในกรณีที่ระบบปฏิบัติการที่มีรูโหว่แล้วถูกไวรัสเขียนทับไฟล์ระบบที่ใช้บูตเมื่อผู้ใช้รีสตาร์ต ระบบจะหยุดทำงานที่จอดำเพื่อไม่ให้ไวรัสก่อความเสียหายเพิ่มเติมทางเทคนิคแล้วระบบปฏิบัติการสมัยใหม่ที่ทำงานปกติจะต้องป้องกันเขียนการทับไฟล์บูตโดยผู้ใช้ที่ไม่ได้รับอนุญาตอยู่แล้วฟังก์ชั่นนี้จึงเป็นเกราะป้องกันขั้นสุดท้ายที่ปลายเหตุเท่านั้น (เพราะว่าไวรัสเจาะถึงแก่นของระบบแล้ว) จะแก้ไขยากมาก
แต่ในกรณีที่คุณจะใช้ระบบปฏิบัติการทางเลือก เช่น GNU/Linux, FreeBSD, FreeDOS ฯลฯ อาจต้องปิด Secure Boot (หรือไม่ก็ต้องตั้งค่าลายเซ็นดิจิตอลที่ใช้ใน Secure Boot และเซ็นไฟล์ของระบบปฏิบัติการที่เกี่ยวข้องด้วยมือผ่าน Bios) เนื่องระบบปฏิบัติการเหล่านี้ไม่ได้มาจากไมโครซอฟต์ครับ (ถ้าไม่ปิด ระบบจะบูตไม่ขึ้น ไมโครซอฟต์เขียนเงื่อนไขกับผู้ผลิตคอมไว้ว่าคอมทุกยี่ห้อที่จะขายพร้อมวินโดวส์ จะต้องเปิด Secure Boot ไว้โดยดีฟอลต์ )
ถ้าใครเคยเปลี่ยนเฟิร์มแวร์โทรศัพท์ด้วยฟังก์ชั่น Secure Boot ทำงานเหมือนกับการล็อกบูตโหลดเดอร์โทรศัพท์คล้ายคลึงกันทำให้เราลงเฟิร์มแวร์/ระบบปฏิบัติการ ที่มาจากบริษัทอื่นไม่ได้
