• សម្រាប់ Batocera v39 និងខ្ពស់ជាងនេះនៅលើប្រព័ន្ធ x86_64 ការគាំទ្រដែលសម្រួលសម្រាប់ Secure Boot មានវត្តមាន។ នេះធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការចាប់ផ្ដើម Batocera នៅលើកុំព្យូទ័រដែលមានការគ្រប់គ្រងសោសុវត្ថិភាពមិនល្អនៅក្នុង UEFI BIOS ដើម។ ដំណើរការលម្អិតខាងក្រោមនឹងដំឡើងវិញ្ញាបនបត្រសុវត្ថិភាពរបស់ Batocera ទៅក្នុង “Machine Owner Keys” (MOK) របស់ម៉ាស៊ីនទៅក្នុងហាងអថេរ UEFI របស់កុំព្យូទ័រ។ វានឹងអនុញ្ញាតឱ្យម៉ាស៊ីនដំណើរការកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធរបស់ Batocera ដែលត្រូវបានចុះហត្ថលេខាជាឌីជីថលជាមួយនឹងវិញ្ញាបនបត្ររបស់ Batocera សូម្បីតែពេលដែល Secure Boot ត្រូវបានបើកនៅក្នុង BIOS ក៏ដោយ។
• ការកែប្រែ Secure Boot និងការកំណត់ដែលពាក់ព័ន្ធអាចនឹងដំណើរការ “tamper switch” (Platform Configuration Register, PCR) នៅក្នុង Module Platform Trusted (TPM) របស់ប្រព័ន្ធ)។ នៅពេលដែល switch ត្រូវបាន tripped វាមិនអាចត្រូវបានកំណត់ឡើងវិញដោយមិនផ្តល់ recovery key ទេ។ ប្រសិនបើ BitLocker Disk Encryption ត្រូវបានបើក នោះ Windows នឹងរកឃើញ tampចាប់ផ្តើម ហើយនឹងសួររកគ្រាប់ចុចសង្គ្រោះ BitLocker មុនពេលអនុញ្ញាតឱ្យ Windows ចាប់ផ្ដើម។
• ប្រសិនបើប្រព័ន្ធត្រូវបានគ្រប់គ្រងដោយអ្នកផ្សេង (ដូចជានិយោជករបស់អ្នក) ការស្តារឡើងវិញអាចត្រូវការជំនួយពីអ្នកគ្រប់គ្រងប្រព័ន្ធដែលមានការអនុញ្ញាត។ ធ្វើសកម្មភាពប្រកបដោយទំនួលខុសត្រូវ ហើយដំឡើង Batocera លើប្រព័ន្ធដែលអ្នកមាន និងគ្រប់គ្រងតែប៉ុណ្ណោះ។
• មុនពេលបន្ត ធ្វើច្បាប់ចម្លងនៃកូនសោសង្គ្រោះ BitLocker ដែលត្រូវការ។ ឯកសារស្តីពីការកំណត់ទីតាំងសោអាចរកបាននៅ https://support.microsoft.com/en-us/windows/where-to-look-for-your-bitlocker-recovery-key-fd2b3501-a4b9-61e9-f5e6-2a545ad77b3e

ឯកសារយោងបច្ចេកទេស៖

• https://learn.microsoft.com/en-us/windows/security/hardware-security/tpm/switch-pcr-banks-on-tpm-2-0-devices
• https://www.dell.com/support/kbdoc/en-us/000124361/bitlocker-is-prompting-for-a-recovery-key-and-you-cannot-locate-the-key

• ប្រព័ន្ធត្រូវតែជាប្រព័ន្ធ Intel/AMD ដែលគាំទ្រការចាប់ផ្ដើមក្នុងរបៀប UEFI 64 ប៊ីត ដោយមានស្តង់ដារ Microsoft ចុះហត្ថលេខាលើវិញ្ញាបនបត្រគន្លឹះ។
• Secure Boot ត្រូវតែបើកក្នុងអំឡុងពេលដំណើរការដំឡើង។ ប្រសិនបើបានផ្តល់ជម្រើសដើម្បីជ្រើសរើសរបៀប Secure Boot ដើម្បីប្រើនោះ របៀប "ស្តង់ដារ" ត្រូវបានណែនាំ។ របៀបផ្សេងទៀតមិនត្រូវបានសាកល្បងទេ។
• កម្មវិធីបង្កប់ UEFI BIOS ត្រូវតែគាំទ្រការចាប់ផ្ដើមពីប្រភេទមេឌៀដំឡើងដែលចង់បាន ហើយវាត្រូវតែអាចជ្រើសរើសដ្រាយណាដែលត្រូវចាប់ផ្ដើមនៅពេលប្រើ UEFI ។
• ក្តារចុចត្រូវបានទាមទារដើម្បីរុករកដំណើរការគ្រប់គ្រង MOK ដែលរៀបរាប់ខាងក្រោម។

ដោយសារការកំណត់រចនាសម្ព័ន្ធនេះមានលក្ខណៈជាក់លាក់របស់អ្នកលក់ សូមពិគ្រោះជាមួយសៀវភៅណែនាំសម្រាប់ម៉ាស៊ីនមុនពេលចាប់ផ្តើម។

• Flash Batocera នៅលើដ្រាយ ឬដំឡើងកំណែការដំឡើងដែលមានស្រាប់ទៅ v38 ឬខ្ពស់ជាងនេះ។ ភ្ជាប់ដ្រាយទៅកុំព្យូទ័ររបស់អ្នក។

• បើកកុំព្យូទ័រហើយបញ្ចូលការកំណត់ BIOS ឬកម្មវិធីគ្រប់គ្រងការចាប់ផ្ដើមរបស់វា។ កំណត់ការចាប់ផ្ដើម UEFI ទៅដ្រាយ Batocera ត្រូវបានដំឡើងនៅលើ។
• ព័ត៌មានលម្អិតអំពីរបៀបធ្វើវាប្រែប្រួលតាមក្រុមហ៊ុនផលិត។ នៅលើប្រព័ន្ធមួយចំនួនមាន "កម្មវិធីគ្រប់គ្រងការចាប់ផ្ដើម" ដែលអាចចូលដំណើរការបានដោយការចុចគ្រាប់ចុចនៅពេលចាប់ផ្ដើម។ នៅលើអ្នកផ្សេងទៀត ការធ្លាក់ចុះ "លំដាប់ចាប់ផ្ដើម" ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយនឹងដ្រាយ Batocera ដែលបានកំណត់ជាមុន។
• Tom's Hardware មានការណែនាំល្អអំពីរបៀបបញ្ចូល BIOS នៅលើកុំព្យូទ័រណាមួយ។ សម្រាប់ការបង្ហាញរបស់ខ្ញុំដំណើរការលើកុំព្យូទ័រយួរដៃ Dell របស់ខ្ញុំ ខ្ញុំបានចុច [F12] នៅពេលចាប់ផ្តើមដើម្បីបញ្ចូលម៉ឺនុយចាប់ផ្ដើម ប្រើគ្រាប់ចុចព្រួញដើម្បីរុករកទៅមេឌៀ USB ហើយចុច [ENTER] ដើម្បីចាប់ផ្ដើម។

• ប្រព័ន្ធនឹងចាប់ផ្តើមឡើងវិញ។ ប្រសិនបើ TPM របស់ប្រព័ន្ធត្រូវបានបើក សូមបន្តទៅផ្នែកបន្ទាប់។ បើមិនដូច្នេះទេ វាគួរតែបើកដំណើរការ Batocera ដោយស្វ័យប្រវត្តិជាមួយនឹង Secure Boot បានបើក។
• ប្រសិនបើថាសប្រព័ន្ធប្រតិបត្តិការផ្សេងទៀតត្រូវបានភ្ជាប់ទៅប្រព័ន្ធ ពួកវាអាចត្រូវបានជ្រើសរើសសម្រាប់ការចាប់ផ្ដើមពីម៉ឺនុយចាប់ផ្ដើមកម្មវិធីបង្កប់របស់អ្នក។ នេះ។ efibootmgr ឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជានៅក្នុង Batocera ក៏អាចត្រូវបានប្រើដើម្បីកែតម្រូវលំដាប់ចាប់ផ្ដើម ឬដើម្បីអនុវត្ត "boot-next" តែម្តងទៅ UEFI មួយផ្សេងទៀត OS. (ការអត្ថាធិប្បាយនេះត្រូវផ្លាស់ទីទៅកន្លែងផ្សេង)

• ការគាំទ្រ Secure Boot របស់ Batocera ទាមទារអន្តរកម្មមួយចំនួនរវាងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ និងម៉ូឌុលវេទិកាដែលទុកចិត្តលើផ្នែករឹងរបស់ប្រព័ន្ធ (TPM) សូម្បីតែនៅលើប្រព័ន្ធដែល Secure Boot មិនត្រូវបានបើក.
• ប្រសិនបើ TPM របស់ប្រព័ន្ធត្រូវបានបើក ជាលើកដំបូងដែលអ្នកចាប់ផ្ដើមចូលទៅក្នុងកំណែ Batocera ថ្មីជាងនេះ ហើយបន្ទាប់ពីបញ្ចប់ការដំឡើង Secure Boot MOK (ប្រសិនបើ Secure Boot ត្រូវបានបើក) អេក្រង់ Boot Option Restoration ជាមួយនឹងការរាប់ថយក្រោយនឹងត្រូវបានបង្ហាញ។ ប្រសិនបើមិនមានសកម្មភាពណាមួយទេនោះ ប្រព័ន្ធនឹងចាប់ផ្តើមឡើងវិញម្តងហើយម្តងទៀតនៅក្នុងអេក្រង់នេះ។

វានឹងចាំបាច់ក្នុងការអនុវត្តការដំឡើងនេះតែម្តងគត់ ដរាបណាជម្រើសត្រឹមត្រូវត្រូវបានជ្រើសរើស។

• វាមានសុវត្ថិភាពក្នុងការដំឡើងកំណែទៅកំណែ Batocera នៅពេលក្រោយ ខណៈពេលដែល Secure Boot ត្រូវបានបើក។ ការទម្លាក់ចំណាត់ថ្នាក់ទៅ v39 ឬខ្ពស់ជាងនេះក៏មានសុវត្ថិភាពផងដែរ។ ប្រសិនបើកំណែដែលបានដំឡើង/បន្ទាបចំណាត់ថ្នាក់ថ្មីត្រូវបានចុះហត្ថលេខាជាមួយនឹងវិញ្ញាបនបត្រសោចុះហត្ថលេខាផ្សេងដែលមិនទាន់បានចុះឈ្មោះរួចហើយ ដំណើរការចុះឈ្មោះ MOK អាចនឹងលេចឡើងម្តងទៀត។ វាអាចធ្វើទៅបានដើម្បីជៀសវាងបញ្ហានេះដោយបិទដំណើរការសុវត្ថិភាព Boot validation នៅក្នុង shim ។
• ប្រសិនបើ Batocera ត្រូវបានបន្ទាបទៅ v38 ឬទាបជាងនេះ ប្រព័ន្ធអាចនឹងបរាជ័យក្នុងការចាប់ផ្ដើមក្នុងរបៀប Secure Boot ពីកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដែលបានដំឡើងដោយកំណែទាំងនោះ។ នៅលើប្រព័ន្ធដែល Secure Boot អាចត្រូវបានបិទ ការបិទវាគួរតែអនុញ្ញាតឱ្យប្រព័ន្ធចាប់ផ្ដើមម្តងទៀត។ វាត្រូវបានណែនាំឱ្យបិទ Secure Boot ពីមុន ការបន្ទាបចំណាត់ថ្នាក់បែបនេះ។
• បន្ទាប់​ពី​ការ​ទម្លាក់​ចំណាត់​ថ្នាក់ កម្មវិធី​ចាប់ផ្ដើម​ដែល​មាន​សមត្ថភាព Secure Boot បាន​យោង​នៅ​ក្នុង Batocera ការបញ្ចូលកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ EFI អាចអនុញ្ញាតឱ្យកំណែមុនចាប់ផ្ដើមដោយបើកដំណើរការ Secure Boot។ ថាតើវាដំណើរការឬអត់នឹងអាស្រ័យលើឥរិយាបថ UEFI BIOS ជាក់លាក់របស់ប្រព័ន្ធ។