0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

UEFI с «Secure Boot»: безопасная загрузка ПК

UEFI с «Secure Boot»: безопасная загрузка ПК

На новых компьютерах Microsoft требует использования UEFI с функцией «Secure Boot». Это усложняет установку других операционных систем.

На новых компьютерах Microsoft требует использования UEFI с функцией «Secure Boot». Это усложняет установку других операционных систем.

Плата с блоком памяти NVRAm Популярность ОС Windows привела к тому, что к многочисленным проблемам добавилась еще одна: «черви», вирусное ПО и трояны заставляют нас испытывать недюжинный страх за безопасность операционной системы. По утверждению Microsoft, интерфейс UEFI с функцией «Secure Boot» — это попытка вернуть пользователям уверенность в безопасности. Если загрузка ПК осуществляется UEFI в данном режиме, то такие вредоносные программы, как руткиты, оказываются не в состоянии до старта системы проникнуть в оперативную память. Все дело в том, что в режиме «Secure Boot» менеджер загрузки UEFI выполняет только подписанный цифровым ключом код, который он сверяет с зашифрованной базой данных.

Столь решительную систему защиты Microsoft предписывает использовать на всех компьютерах, которые реализуются под логотипом «Certified for Windows 8». Иными словами, все новые ПК, начиная с десктопов и ноутбуков и заканчивая Windows-планшетами, поставляются с активированным режимом «Secure Boot».

Но помимо защиты от руткитов есть одно неприятное обстоятельство — невозможность выполнения кода, не имеющего цифровой подписи. Это противоречит принципу свободной компьютерной платформы и с особым негодованием было воспринято сообществом Linux. Если режим «Secure Boot» активирован, вы не сможете ни установить, ни тем более запустить старые системы, включая Windows XP и 7. Более подробное знакомство с технологией позволит ответить на вопрос «почему?».

Удобство и быстрый запуск благодаря UEFI

Unified Extensible Firmware Interface (унифицированный расширяемый интерфейс прошивки), или кратко UEFI, призван заменить на всех компьютерах уходящий в прошлое интерфейс BIOS, который связывает аппаратные средства с операционной системой и отвечает за запуск ПК. Разработчики UEFI прежде всего преследовали цель устранить некоторые ограничения, присущие традиционной BIOS, которая появилась более 30 лет назад и перестала отвечать современным требованиям.

Отдельные этапы инициализации компонентов платформы в некоторой степени соответствуют BIOS, однако они выполняются намного быстрее. После этапа инициализации запускается менеджер загрузки UEFI. После проверки всех аппаратных компонентов он активирует встроенные в UEFI приложения и драйверы — например, оболочку для ввода команд или функцию поддержки сети. Приложения хранятся либо в NVRAM — запоминающем устройстве UEFI-совместимой материнской платы, либо на жестком диске. На последнем этапе менеджер загрузки UEFI запускает загрузчик ОС, который отвечает за старт операционных систем.

«Secure Boot» проверяет системные компоненты

Именно на этом этапе активируется «Secure Boot» и принимается решение о разрешении или запрете на загрузку операционной системы. Для защиты информации в «Secure Boot» используются три ключа шифрования: в самом верху находится ключ платформы (Platform Key), который создается производителем аппаратного обеспечения. Он требуется для обновления UEFI и загрузки новых ключей KEK (Key Enrollment Key). Согласно стандарту UEFI, ключи KEK должны предоставлять разработчики различных операционных систем, но все это чистая теория. На практике в каждом компьютере содержится лишь KEK от Microsoft для Windows 8, так как сегодня все машины с «Secure Boot» поставляются с данной операционной системой — исключением является только «хромобук» от Google. Ключ KEK занимает центральную позицию в «Secure Boot», так как он открывает доступ к базе данных с разрешенными подписями (Allow DB) и базе данных с запрещенными подписями (Disallow DB). В первой из них содержатся цифровые подписи приложений UEFI, а также подписи и/или хеши компонентов операционной системы — например, менеджера загрузки, ядра и драйверов. Только при их наличии загрузчик ОС запускает систему.

«Secure Boot» в сочетании с поставляемой Windows 8 работает безупречно, но для предыдущих версий операционных систем Microsoft не предоставляет подписей. В данном случае пользователю придется отключать «Secure Boot». Для операционных систем Linux доступны подписанный ключом загрузчик Shim и загрузчик от некоммерческой организации The Linux Foundation.

Справедливости ради стоит отметить, что разработчики Linux не отвергают идею «Secure Boot». Однако они усматривают в ней монополистские притязания Microsoft на аппаратное обеспечение, которые не проявлялись до появления «Secure Boot». С одной стороны, в стандартах по сертификации для Windows 8 компания Microsoft четко указывает, что пользователь имеет возможность отключения «Secure Boot». С другой — может произойти так, что в документации к следующей операционной системе данного примечания просто не окажется.

Последовательность загрузки ПК на основе UEFI Пришедший на смену BIOS интерфейс UEFI активирует аппаратное обеспечение, включая драйверы, и выполняет собственные приложения. Если задействуется режим «Secure Boot», UEFI проверяет наличие у драйверов и программ действительных цифровых подписей. В случае их отсутствия процесс запуска будет прерван. Ту же самую проверку проходят менеджер загрузки и ядра установленных операционных систем.

Активация аппаратных средств

На начальном этапе загрузки UEFI мало чем отличается от традиционной BIOS. После проверки того, подается ли на все аппаратные компоненты напряжение, выполняется запуск компонентов материнской платы, процессора и памяти, а затем загружается код UEFI.

Читать еще:  В чём отличия между портами
Выполнение кода UEFI

Менеджер загрузки UEFI загружает носитель данных и дополнительный код UEFI из памяти NVRAM, а также из раздела UEFI на жестком диске. При этом драйверы и приложения выполняются только в том случае, если их цифровые подписи соответствуют данным, внесенным в базу Allow DB. В завершение выполняется запуск загрузчика ОС.

Загрузка операционной системы

Загрузчик ОС загружает операционные системы либо напрямую, либо с помощью их менеджеров загрузки. Код загрузки ОС и менеджер загрузки должны обладать действующим сертификатом безопасности, в противном случае процесс будет прерван. То же самое относится и ко всем компонентам ядра, которые в дальнейшем загружаются менеджером загрузки.

Проверка «Secure Boot»

В «Secure Boot» все основные файлы операционной системы (ядро, драйверы) должны обладать цифровой подписью. В таблице сертификатов файла указан подходящий сертификат для «Secure Boot», созданный в соответствии со стандартом X.509, а также снабженные цифровой подписью хеш-значения свойств основных файлов. Они должны соответствовать данным, содержащимся в базе Allow DB.

Что такое UEFI Secure Boot?

Давайте на секунду рассмотрим, как именно Secure Boot обеспечивает безопасность вашей системы.

Безопасная загрузка — это функция унифицированного расширяемого интерфейса прошивки (UEFI). UEFI сам по себе является заменой интерфейса BIOS на многих устройствах. UEFI — это более продвинутый интерфейс прошивки с множеством настроек и технических опций.

Безопасная загрузка — это что-то вроде ворот безопасности. Он анализирует код, прежде чем выполнять его в вашей системе. Если код имеет действительную цифровую подпись, Secure Boot пропускает его через шлюз. Если код имеет нераспознанную цифровую подпись, Secure Boot блокирует его запуск, и система потребует перезагрузки.

Иногда код, который вы знаете, является безопасным и поступает из надежного источника, может не иметь цифровой подписи в базе данных безопасной загрузки.

Например, вы можете загрузить многочисленные дистрибутивы Linux прямо с их сайта разработчика, даже проверив контрольную сумму дистрибутива для проверки на фальсификацию. Но даже с этим подтверждением Secure Boot будет по-прежнему отклонять некоторые операционные системы и другие типы кода (например, драйверы и оборудование).

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем БИОСе найдется аналогичный пункт для отключения Secure Boot.

Материнские платы и ноутбуки Asus

Для того, чтобы отключить Secure Boot на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку Boot (Загрузка) — Secure Boot (Безопасная загрузка) и в пункте OS Type (Тип операционной системы) установите «Other OS» (Другая ОС), после чего сохраните настройки (клавиша F10).

На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.

Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP

Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.

В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.

Ноутбуки Lenovo и Toshiba

Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).

После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).

На ноутбуках Dell

На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).

Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.

Отключение Secure Boot на Acer

Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).

Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.

Gigabyte

На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).

Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).

Еще варианты отключения

На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.

Secure Boot – как выключить безопасную загрузку

В зависимости от того, какая модель ноутбука или материнской платы у вас есть, функция Secure Boot может находиться где угодно. Чаще всего, она может находится во вкладке Boot или вкладка Security. Есть вариант, что она находится по следующему пути: Boot потом Secure Boot далее OS Type и выбираем Other OS. Если у вас ноутбук от HP, то данная опция находится в System Configuration и пункт Boot Options. Подробнее о BIOS HP Povilion. В ноутбуках Dell настройки Boot Options находят во вкладке Boot и UEFI Boot.

Читать еще:  Лучший антивирус без установки — ТОП3

Если у вас ноутбук от Lenovo или Toshiba, то в BIOSe вам нужно перейти в раздел Security.

В ноутбуках Samsung дело обстоит немного сложнее, во-первых, Secure Boot находится в разделе Boot, как только вы попытаетесь отключить функцию, то высветиться предупреждение, что могут возникнуть ошибки при загрузке компьютера, потом нужно выбрать параметр OS Mode Selection и переключить в CMS OS, либо в режим UEFI and Legacy OS. Если вам удалось выключить данную функцию, то теперь вам нужно включить режим совместимости Legacy, это делается на любом устройстве.

Чтобы убедиться в том, что Secure Boot отключен, можно зайти в стандартные средства «Сведения о системе», уже там перейти в раздел «Состояние безопасной загрузки», оно должно быть в положении «ВЫКЛ».

Чтобы зайти в сведения о системе откройте окно выполнить с помощью клавиш Win+R и введите фразу msinfo32 . На этом все, теперь вы отключили Secure Boot.

Отключение безопасной загрузки

Чтобы отключить безопасную загрузку (Secure Boot), войдите в настройки параметров встроенного ПО UEFI и выберите пункт Advanced или нажмите клавишу F7.

Затем в режиме Advanced Mode перейдите на вкладку Boot и выберите параметр Меню безопасной загрузки

В меню безопасной загрузки вы увидите состояние безопасной загрузки (в данный момент состояние Включено ), чтобы отключить безопасную загрузку выберите параметр Управление ключами .

Затем выберите Очистить ключи безопасной загрузки .

Подтвердите удаление ключей безопасной загрузки нажав кнопку Yes .

Теперь нужно сохранить изменения, для этого перейдите на вкладку Exit и выберите опцию Save Changes & Reset .

Подтвердите сохранение измененных параметров и после перезагрузки компьютера, режим безопасной загрузки будет отключен.

В некоторых моделях материнских плат Asus, для отключения безопасной загрузки следует зайти на вкладку Security или Boot и установить для параметра Secure Boot значение Disabled .

Что такое безопасная загрузка (SecureBoot)

Secure Boot создавалась для защиты компьютеров под OC Windows от вирусов, прописывающихся в загрузчик системы, низкоуровневых эксплойтов, руткитов и является одной из опцией UEFI (Unified Extensible Firmware Interface), современного наследника BIOS. EFI — это программный интерфейс, который работает между операционной системой и прошивкой платформы, что позволяет заменить BIOS.

Не буду вдаваться с технические детали, суть в том, что в режиме безопасной загрузки, менеджер загрузки UEFI выполняет только подписанный цифровым ключом код. Все новые компьютеры, сертифицированные для Windows 8/8.1 должны поставляться с включенной функцией Secure Boot — это обязательное требование Microsoft. Однако, должна присутствовать возможность отключения Secure Boot и функция управления ключами, для установки систем которые не поддерживают UEFI.

Как убрать надпись «Безопасная загрузка (SecureBoot) настроена неправильно»

Есть два варианта решения данной проблемы:

  1. Если ваш компьютер поддерживает SecureBoot в UEFI (бывший BIOS), следует перезагрузиться и войдя в UEFI, включить Secure Boot. Конкретное местонахождение параметра Secure boot в настройках UEFI вашего компьютера зависит от производителя ПК.
  2. Тем, кто вообще не планирует использовать Secure Boot, либо ваш компьютер или ноутбук в принципе не поддерживает такую загрузку, Microsoft выпустил специальное обновление KB2902864.

Обновление устраняет водяной знак «SecureBoot Windows 8.1 не настроен правильно» в Windows Server 2012 R2 и Windows 8.1

Рекомендую использовать именно второй вариант. Скачивайте нужную вам версию обновления, в зависимости от разрядности используемой системы. После установки обновления, систему нужно перезагрузить. Активация не совсем легальных копий Windows 8.1 при этом не слетает.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 3

  1. 2014-04-01 в 11:29:47 | Otrajenec

Спасибо.. все работает. Ставил на i5 x550L

после обновления программы Windows8.1 пропали на правом углу параметры настроек и выключение.Курсор не открывает параметы

Высший уровень безопасности

«Высший уровень безопасности» — это параметр функции «Безопасная загрузка» по умолчанию, обеспечивающий максимальную защиту. Такой уровень защиты ранее поддерживался только для устройств iOS.

Во время загрузки компьютер Mac проверяет целостность операционной системы на загрузочном диске и определяет, разрешена ли она. Если операционная система неизвестна или убедиться, что она разрешена, не удается, компьютер Mac подключается к серверам Apple для загрузки обновленных сведений о целостности, необходимых для проверки операционной системы. Эти сведения уникальны для каждого компьютера Mac и гарантируют загрузку операционной системы, которую Apple считает надежной.

Если на компьютере Mac включена функция FileVault, перед загрузкой обновленных сведений о целостности запрашивается ввод пароля для разблокировки диска. Чтобы завершить загрузку, введите пароль администратора и нажмите кнопку «Снять защиту».

Если операционная система не проходит проверку:

  • macOS выводит сообщение о необходимости обновить программное обеспечение для использования выбранного загрузочного диска. Щелкните «Обновить», чтобы открыть программу установки macOS, с помощью которой можно переустановить macOS на загрузочном диске. Также можно щелкнуть значок «Загрузочный диск» и выбрать другой загрузочный диск, который компьютер Mac также попытается проверить.
  • Windows выводит сообщение о необходимости установить Windows с помощью программы «Ассистент Boot Camp».

Если компьютеру Mac не удается подключиться к Интернету, выводится уведомление о том, что требуется подключение к Интернету.

  • Проверьте интернет-соединение, например выбрав активную сеть в меню состояния Wi-Fi в строке меню. Затем нажмите кнопку «Повторить».
  • Также можно щелкнуть значок «Загрузочный диск» и выбрать другой загрузочный диск.
  • Можно понизить уровень безопасности, выбрав параметр Средний уровень безопасности в утилите безопасной загрузки.

Исправление неполадок

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

  • Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
  • Проверка типа политики безопасности;
  • Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

Безопасная загрузка Secure Boot

Как отключить режим Secure Boot в Windows 10

Внимание! Если вы затрудняетесь выполнить описанные действия, обратитесь в специализированный сервисный центр.

Вход в настройки UEFI

Для того чтобы отключить «Secure Boot» прежде всего потребуется зайти в настройки UEFI (зайти в BIOS) вашего компьютера. Для этого предусмотрено два основных способа.

При включении компьютера нажать «Delete» (для настольных компьютеров) или «F2» для ноутбуков (бывает — «Fn+F2»). Для некоторых материнских плат сочетания клавиш могут отличаться, как правило эти клавиши указаны на начальном экране при включении компьютера.

Если вы не знаете сочетание клавиш, необходимое для входа в BIOS вашего компьютера или не успеваете его нажать, воспользуйтесь вторым способом.

Вам необходимо кликнуть по значку уведомлений и выбрать пункт «Все параметры». После чего в настройках открыть «Обновление и безопасность» и перейти к пункту «Восстановление».

В восстановлении перейдите в раздел «Особые варианты загрузки» и нажмите кнопку «Перезагрузить сейчас». После того, как компьютер перезагрузится, вы увидите экран, подобный тому, что изображен ниже.

Выберите пункт «Диагностика», затем — «Дополнительные параметры», в дополнительных параметрах — «Параметры встроенного ПО UEFI» и подтвердите свое намерение, нажав кнопку «Перезагрузить».

После перезагрузки вы попадете в UEFI.

После того, как вы попали в UEFI (BIOS), необходимо отключить Secure Boot и сохранить изменения.

Как отключить безопасную загрузку на компьютерах разных производителей.

Ниже — несколько примеров отключения «Secure Boot» в разных интерфейсах UEFI. Указанные варианты используются и на большинстве других материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем BIOS найдется аналогичный пункт для отключения «Secure Boot».

Для того, чтобы отключить «Secure Boot» на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку «Boot» («Загрузка») — «Secure Boot» («Безопасная загрузка») и в пункте «OS Type» («Тип операционной системы») установите «Other OS» («Другая ОС»), после чего сохраните настройки (клавиша F10).

На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку «Security» или «Boot» и установить параметр «Secure Boot» в значение «Disabled».

Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука нажимайте клавишу «Esc». После чего должно появиться меню с возможностью входа в настройки BIOS по клавише F10.

В BIOS перейдите на вкладку «System Configuration» и выберите пункт «Boot Options». В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.

Для отключения функции «Secure Boot» в UEFI на ноутбуках Lenovo и Toshiba зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).

После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (клавиши Fn + F10 или просто F10).

На ноутбуках Dell c InsydeH2O настройка «Secure Boot» находится в разделе «Boot» — «UEFI Boot»

Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.

Пункт «Secure Boot» на ноутбуках Acer находится на вкладке «Boot» настроек BIOS (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения «Enabled» в «Disabled»). На настольных компьютерах Acer эта же функция отключается в разделе «Authentication». (Также возможен вариант нахождения в «Advanced» — «System Configuration»).

Для того, чтобы изменение этой опции стало доступным, на вкладке «Security» вам необходимо установить пароль с помощью функции «Set Supervisor Password» и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки «CSM» или «Legacy Mode» вместо UEFI.

На некоторых материнских платах Gigabyte отключение «Secure Boot» доступно на вкладке «BIOS Features» (настройки BIOS).

Другая модель ноутбука/материнской платы

На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться.

Как узнать включена или отключена безопасная загрузка Secure Boot в Windows

Для проверки, включена ли функция «Secure Boot» в Windows 8 (8.1) и Windows 10, вы можете нажать клавиши «Windows + R», ввести команду msinfo32 и нажать «Enter».

В окне сведений о системе, выбрав корневой раздел в списке слева, найдите пункт «Состояние безопасной загрузки» для получения сведений о том, задействована ли данная технология.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector