Secure boot что это


Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать?

Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.

При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Содержание:

Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.

Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.

Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.

Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:

  • Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
  • Режим User или режим пользователя, в котором компьютер работает по умолчанию.

Для того, чтобы убрать функцию следует воспользоваться первым режимом.

Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.

Определение режима загрузки

Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:

  • уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
  • через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;

Рис.2. Вход в меню «Свойств системы».

  • путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.

Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.

После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.

Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности.

Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.

Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.

к содержанию ↑

Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:

  • Войти в настройки интерфейса UEFI;
  • Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.

На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:

  • Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
  • После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
  • Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).

После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.

Он зависит от конкретной модели компьютера и марки материнской платы.

Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.

После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.

Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.

Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.

Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.

На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.

к содержанию ↑

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

  • Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
  • Проверка типа политики безопасности;
  • Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

к содержанию ↑

Появление функции было неоднозначно воспринято пользователями Windows.

С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.

С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.

Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:

  1. Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
  2. Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
  3. Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
  4. Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).

Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.

Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.

И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.

Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.

Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.

Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.

А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.

Читайте другие наши материалы про работу с BIOS/UEFI:

Настройки Bios — Детальная инструкция в картинках

Три способа сбросить БИОС на ноутбуке

geek-nose.com

Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать?

Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.

При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Принцип работы и особенности Secure Boot

Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.

Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.

Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.

Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:

  • Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
  • Режим User или режим пользователя, в котором компьютер работает по умолчанию.

Для того, чтобы убрать функцию следует воспользоваться первым режимом.

Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.

Определение режима загрузки

Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:

  • уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
  • через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;

Рис.2. Вход в меню «Свойств системы».

  • путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.

Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.

После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.

Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности.

Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.

Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.

Отключение утилиты

Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:

  • Войти в настройки интерфейса UEFI;
  • Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.

На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:

  • Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
  • После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
  • Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).

После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.

Он зависит от конкретной модели компьютера и марки материнской платы.

Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.

После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.

Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.

Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.

Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.

На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.  

Исправление неполадок

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

  • Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
  • Проверка типа политики безопасности;
  • Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

Нужен ли пользователям Secure Boot?

Появление функции было неоднозначно воспринято пользователями Windows.

С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.

С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.

Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:

  1. Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
  2. Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
  3. Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
  4. Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).

Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.

Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.

И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.

Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.

Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.

Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.

А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.

Источник

pomogaemkompu.temaretik.com

Что такое безопасная загрузка Secure Boot?

Сегодня поговорим о том что такое безопасная загрузка Secure Boot. Большинство пользователей, пользующихся современными компьютерами на BIOS UEFI не задумываются о его защите. Сейчас полно вредоносных программ, которые так и норовят вывести из строя какие-то компоненты системы или компьютера. Как только основные компоненты системы запустятся, то вирусы начинают промышлять свои нехорошие дела. Например, довольно опасными вирусами выступают так называемые буткиты – вредоносное ПО, которое изменяет на жестком диске загрузочный сектор. Самое интересное, что просто так обнаружить буткит с помощью стандартного антивирусного программного обеспечения не всегда возможно.

Все же, защита от буткитов есть. Существует технология, которая входит в спецификацию BIOS UEFI 2.2, под названием Secure Boot, которая защищает компьютер от различного вредоносного ПО. Принцип работы данной функции заключается в том, что если несертифицированное ПО пытается загрузиться, то она его блокирует. Например, какая-то программа или даже ОС начинает загрузку, тогда, Secure Boot рассматривает загрузочный код и сверяет его с ключами, которые вшиты в BIOS, если, таким образом, при проверке кода, проверка подписи не проходит, то загрузка программы блокируется.

Появление технологии Secure Boot способствовало бурному обсуждению и возникало много споров. Например, внедрение этой технологии в Windows 8 в 2012 году. Были разговоры о том, что с Secure Boot не получится установить другую операционную систему, кроме той, которая уже предустановлена. Но это не проблема, так как, большинство устройств, как компьютеры и ноутбуки имеют возможность отключения Secure Boot, делается это непосредственно в BIOS. Отключить Secure Boot не получиться только на планшетах или других устройствах с ARM-архитектурой.

Предлагаю вашему вниманию качественное восстановление жесткого диска в Москве, компания, оказывающая данные услуги делает свое дело на ура.

Давайте теперь разберем вопрос отключения Secure Boot

Secure Boot, как отключить

В зависимости от того, какая модель ноутбука или материнской платы у вас есть, функция Secure Boot может находится где угодно. Чаще всего, она может находится во вкладке Boot или вкладка Security. Есть вариант, что она находится по следующему пути: Boot потом Secure Boot далее OS Type и выбираем Other OS. Если у вас ноутбук от HP, то данная опция находится в System Configuration и пункт Boot Options. В ноутбуках Dell настройки Boot Options находят во вкладке Boot и UEFI Boot.

Если у вас ноутбук от Lenovo или Toshiba, то в BIOSe вам нужно перейти в раздел Security. В ноутбуках Samsung дело обстоит немного сложнее, во-первых, Secure Boot находится в разделе Boot, как только вы попытаетесь отключить функцию, то высветиться предупреждение, что могут возникнуть ошибки при загрузке компьютера, потом нужно выбрать параметр OS Mode Selеction и переключить в CMS OS, либо в режим UEFI and Legacy OS. Если вам удалось выключить данную функцию, то теперь вам нужно включить режим совместимости Legacy, это делается на любом устройстве.

Чтобы убедиться в том, что Secure Boot отключен, можно зайти в стандартные средства «Сведения о системе», уже там перейти в раздел «Состояние безопасной загрузки», оно должно быть в положении «ВЫКЛ».

Чтобы зайти в сведения о системе откройте окно выполнить с помощью клавиш Win+R и введите фразу msinfo32. На этом все, теперь вы отключили Secure Boot.

computerinfo.ru

Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать? Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы. При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Принцип работы и особенности Secure Boot

Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.

Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК. Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:

  • Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
  • Режим User или режим пользователя, в котором компьютер работает по умолчанию.

Для того, чтобы убрать функцию следует воспользоваться первым режимом.

Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.

Определение режима загрузки

Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:

  • уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
  • через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;

Рис.2. Вход в меню «Свойств системы».

  • путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.

Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.

После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.

Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности. Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.

Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.

Отключение утилиты

Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:

  • Войти в настройки интерфейса UEFI;
  • Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.

На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:

  • Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
  • После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
  • Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).

После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.

Он зависит от конкретной модели компьютера и марки материнской платы.

Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.

После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.

Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.

Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.

Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.

На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.

Исправление неполадок

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

  • Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
  • Проверка типа политики безопасности;
  • Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

Нужен ли пользователям Secure Boot?

Появление функции было неоднозначно воспринято пользователями Windows. С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.

С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.

Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:

  1. Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
  2. Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
  3. Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
  4. Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).

Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.

Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.

И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.

Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения. Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.

Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно. А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.

Источник

pomogaemkompu.temaretik.com

Secure boot в BIOS

Как можно понять из перевода secure boot он означает безопасную загрузку. Данный протокол начал использоваться в UEFI BIOS и его основная цель в защите компьютера или ноутбука, на котором он установлен, от несанкционированных вмешательств, таких как взлом, изменение загрузочных записей, установка нелицензионного ПО. Более подробно о secure boot вы узнаете в данной статье.

Что такое secure boot?

Secure boot представляет собой безопасный протокол загрузки, который каждый раз при загрузке системы сверяет сигнатуры загрузочного кода системы со специальными ключами, вшитыми в BIOS. В случае нахождения несоответствий загрузка прекращается, выдавая соответствующее сообщение.

Сообщение о нахождении несоответствий опцией secure boot

Именно по этому при включенной опции Secure Boot невозможно переустановить операционную систему, установленную в ноутбуке по умолчанию.

Лишь отключив secure boot вы сможете переустановить Windows.

Как узнать включен ли Secure boot из ОС Windows, не входя в BIOS?

Если вы хотите узнать в защищенном ли режиме загружена ваша операционная система, то сделать это можно следующим образом.

Откройте окно «Выполнить«, зажав комбинацию кнопок WIN+R.

Вызов сведений о системе

В нем наберите msinfo32 и и нажмите «ОК«.

После этого отобразится окно «Сведения о системе«, где в строке «Состояние безопасной загрузки» будет отображен статус опции secure boot — (поддерживается — значит включена, не поддерживается — значит выключена).

Просмотр активности функции secure boot из ОС Windows

Как отключить Secure Boot?

Итак, чтобы переустановить предустановленную версию Windows на компьютере или ноутбуке вам для начала, как говорилось выше, нужно отключить secure boot.

О том, как это сделать мы уже писали, когда рассказывали решение проблемы «invalid signature detected check secure boot policy in setup«.

helpadmins.ru

Secure boot

  • 07/29/2019
  • 3 minutes to read

Secure boot is a security standard developed by members of the PC industry to help make sure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). When the PC starts, the firmware checks the signature of each piece of boot software, including UEFI firmware drivers (also known as Option ROMs), EFI applications, and the operating system. If the signatures are valid, the PC boots, and the firmware gives control to the operating system.

The OEM can use instructions from the firmware manufacturer to create Secure boot keys and to store them in the PC firmware. When you add UEFI drivers, you'll also need to make sure these are signed and included in the Secure Boot database.

For information on how the secure boot process works included Trusted Boot and Measured Boot, see Secure the Windows 10 boot process.

Secure boot requirements

In order to support Secure boot, you must provide the following.

Hardware requirement Details
UEFI Version 2.3.1 Errata C variables Variables must be set to SecureBoot=1 and SetupMode=0 with a signature database (EFI_IMAGE_SECURITY_DATABASE) necessary to boot the machine securely pre-provisioned, and including a PK that is set in a valid KEK database. For more information, search for the System.Fundamentals.Firmware.UEFISecureBoot system requirements in PDF download of the Windows Hardware Compatibility Program Specifications and Policies.
UEFI v2.3.1 Section 27 The platform must expose an interface that adheres to the profile of UEFI v2.3.1 Section 27.
UEFI signature database The platform must come provisioned with the correct keys in the UEFI Signature database (db) to allow Windows to boot. It must also support secure authenticated updates to the databases. Storage of secure variables must be isolated from the running operating system such that they cannot be modified without detection.
Firmware signing All firmware components must be signed using at least RSA-2048 with SHA-256.
Boot manager When power is turned on, the system must start executing code in the firmware and use public key cryptography as per algorithm policy to verify the signatures of all images in the boot sequence, up to and including the Windows Boot Manager.
Rollback protection The system must protect against rollback of firmware to older versions.
EFI_HASH_PROTOCOL The platform provides the EFI_HASH_PROTOCOL (per UEFI v2.3.1) for offloading cryptographic hash operations and the EFI_RNG_PROTOCOL (Microsoft defined) for accessing platform entropy.

Signature Databases and Keys

Before the PC is deployed, you as the OEM store the Secure Boot databases on the PC. This includes the signature database (db), revoked signatures database (dbx), and Key Enrollment Key database (KEK). These databases are stored on the firmware nonvolatile RAM (NV-RAM) at manufacturing time.

The signature database (db) and the revoked signatures database (dbx) list the signers or image hashes of UEFI applications, operating system loaders (such as the Microsoft Operating System Loader, or Boot Manager), and UEFI drivers that can be loaded on the device. The revoked list contains items that are no longer trusted and may not be loaded. If an image hash is in both databases, the revoked signatures database (dbx) takes precedent.

The Key Enrollment Key database (KEK) is a separate database of signing keys that can be used to update the signature database and revoked signatures database. Microsoft requires a specified key to be included in the KEK database so that in the future Microsoft can add new operating systems to the signature database or add known bad images to the revoked signatures database.

After these databases have been added, and after final firmware validation and testing, the OEM locks the firmware from editing, except for updates that are signed with the correct key or updates by a physically present user who is using firmware menus, and then generates a platform key (PK). The PK can be used to sign updates to the KEK or to turn off Secure Boot.

You should contact your firmware manufacturer for tools and assistance in creating these databases.

Boot sequence

  1. After the PC is turned on, the signature databases are each checked against the platform key.
  2. If the firmware is not trusted, the UEFI firmware must initiate OEM-specific recovery to restore trusted firmware.
  3. If there is a problem with Windows Boot Manager, the firmware will attempt to boot a backup copy of Windows Boot Manager. If this also fails, the firmware must initiate OEM-specific remediation.
  4. After Windows Boot Manager has started running, if there is a problem with the drivers or NTOS kernel, Windows Recovery Environment (Windows RE) is loaded so that these drivers or the kernel image can be recovered.
  5. Windows loads antimalware software.
  6. Windows loads other kernel drivers and initializes the user mode processes.

docs.microsoft.com


Смотрите также