Secure Boot Mode — что это в биосе?
Приветствую друзья! Смотрите, интересная ситуация — иногда производители так хотят нам облегчить жизнь, что придумывают всякие заумные настройки, которые должны нас оберегать от появления глюков, от нестабильной работы компьютера/ноутбука. Но часто эти опции только ухудшают нашу компьютерную жизнь. Пример? Пожалуйста — вы купили ноут с Windows 8, а хотите поставить десятку. Но кто бы мог подумать, что производитель посчитает что ставить другую операционку — это получается опасно..
Secure Boot Mode — что это такое?
Режим безопасной загрузки, который не даст запустить ваш ноут/ПК с загрузочного диска кроме Windows 8, Windows 10. Операционка может отличаться от модели ноута. Простыми словами — установить можно то, что советует производитель. Все остальное — на свой страх и риск, будто семерка и десятка — нереально разные операционки.
Поэтому, чтобы установить другую операционку, данную опцию следует отключить, либо выставить значение Custom вместо Standart.
Настройка находится в одном из разделе:
- Security (переводится как безопасность).
- System Configuration (системная конфигурация).
- Boot (переводится как загрузиться с чего-то, там флеша, диск).
Короче суть в том, что производитель сообщает: уважаемые, на этот ноутбук безопасно можно ставить только определенную операционку (или несколько), как будут другие работать — неизвестно, а поэтому небезопасно. Но по факту все преувеличено, там где работает десятка, скорее всего будет работать и семерка, а иногда и Windows XP.
Например если ноутбук поддерживает только десятку, то чтобы установить семерку, нужно не только отключить Secure Boot Mode, нужно еще включить режим совместимости с другими операционками, такая опция может называться:
- Launch CSM
- CMS Boot
- UEFI and Legacy OS
- CMS OS
Вышеперечисленная опция может находится в разделе Advanced > подраздел Boot Mode или OS Mode Selection.
Опция в биосе ASUS:
РЕКЛАМА
Как видите — опция также может быть в разделе Security Boot Parameters.
Почему ставить другие операционки — небезопасно?
Вообще попахивает бредом.
Но думаю что корни идут например.. к процессору. Новые процы поддерживают новые инструкции, поэтому например десятка реально может работать быстрее на новом проце чем семерка.
Самый грубый пример — старушка Windows XP, которая медленнее работает чем Windows 10 на новом ПК. Да, с трудом XP можно установить, например я ставил на 1150 сокет.. хотя не оч новый, но суть не в этом.
Да и о чем говорить, когда уже много новых материнок официально не поддерживают Windows 7. Хотя я не считаю что она устаревшая, однако факт есть фактом — ставьте только десятку. Кому-то такой ход не нравится, согласен, но будущее не за горами, когда популярный софт перестанет поддерживать семерку, как например.. Хром перестал поддерживать Windows XP (там работает только последняя версия, старая, которая еще поддерживала XP).
Заключение
Собственно делаем вывод:
- Secure Boot Mode — опция, отключая которую (выбрать Disabled либо Custom) можно установить на комп иную операционку, а не ту, которую хочет производитель.
- Собственно если устраивает винда, которая шла с компом/ноутом — тогда пусть опция будет включена (выбрано Enabled либо Standart).
Удачи.
На главную! 30.09.2019РЕКЛАМА
Отключаем Secure Boot на ноутбуках и ПК (UEFI Secure Boot)
Если вы купили ПК или ноутбук с предустановленной операционной системой Windows 8, а потом захотели удалить ее изменить, например, “семеркой” или вообще какой-либо версий ОС Linux, то у вас возникнут с этим проблемы, из-за системы безопасной загрузки “Secure Boot”.
Разработчики компании Microsoft при разработке последней версии ОС Windows 8 полностью отказались от поддержки шестнадцати битных версий BIOS. Вместо этого система стала на 100% совместима с так называемой UEFI BIOS, обладающей системой безопасной загрузки “Secure Boot”.
Система Secure Boot предназначена для того, чтобы не позволить запуск вредоносных программ до загрузки операционной системы и антивирусного ПО соответственно.
Казалось бы, очень даже замечательная система, но, из-за Secure Boot получается попросту невозможным установить на ПК другую операционную систему или программное обеспечение, не имеющее цифровой подписи. Приведем простой пример. Вы купили новый компьютер с предустановленной Windows 8 и решили установить на него дополнительно или вместо “восьмерки” ОС Windows 7 или какую-нибудь Unix подобную систему. Можете забыть про это, функция безопасной загрузки не позволит этого сделать. Если вы не согласны с таким положением дел, то вам потребуется выполнить отключение Secure Boot в UEFI BIOS, то есть зайти в систему ввода-вывода и отключить эту назойливую систему.
Отключается Secure Boot очень просто, для этого нужно перезагрузить ПК и в самом начале его загрузки несколько раз нажать клавишу “Del” На клавиатуре (возможны другие варианты клавиши, например, F8 или F2), чтобы запустить BIOS (система ввода-вывода).
Мы не станет описывать процесс отключения Secure Boot для всех BIOS (имеется ввиду разработчиков ПО). Так как это просто не реально, да и не имеем мы пока такой возможности, чтобы под рукой были настольные и мобильные ПК всех производителей. Расскажем на примере Pheonix SecureCore Tiano, данная BIOS используется практически на всех ноутбуках, производимых компанией Samsung, а также для UEFI BIOS Utility Asus.
- Отключаем Secure Boot в ноутбуках Samsung. Перейдите в БИОС в раздел Boot. Найдите опцию Secure Boot и установите ля нее значение “Disabled”, затем установите значение “UEFI and CSM OS” для опции OS Mode Selection.
- Отключаем Secure Boot в ноутбуках Asus. Откройте раздел UEFI “Boot”, затем “Secure Boot”, затем перейдите к опции “Key Management” и измените ее значение на “Crear Secure Boot Keys”. Готово, навязчивая функция отключена.
CSM – это модуль поддержки совместимости для операционной системы. Если ваша материнская плата снабжена отличными от описанных выше разработчиками BIOS (UEFI), то дополнительно к описанным действиям пробуйте активировать функцию Legacy BIOS.
Если после проделанных рекомендаций у вас все ровно не получается установить операционную систему отличную от Windows 8, то поэкспериментируйте с переключением SATA контролера в режим AHCI.
CSM означает Compatibility Support Module for Operating System. В других BIOS (UEFI), возможно, нужно будет включить опцию совместимости: Legacy BIOS. Если возникнут проблемы с установкой, то можно попробовать переключить SATA контроллер в режим AHCI. Как это делается написано в статье “Включаем поддержку ACHI у SATA-дисков”
Отключение Secure Boot в BIOS
Для того, чтобы программа NeoSpy была скрыта из диспетчера задач, а ваш ребёнок не увидел слежение за ним и не смог его случайно отключить, на некоторых компьютерах и ноутбуках требуется отключение опции Secure Boot в BIOS.
Чтобы войти в BIOS вашего компьютера необходимо сделать следующие шаги:
1) Перезагрузите компьютер или ноутбук
2) Во время включения нажмите кнопку Delete (или F2)
3) Появится меню BIOS
Пункт «Безопасная загрузка» или «Secure Boot» чаще всего бывает на вкладке Security, иногда Boot или System Configuration.
Теперь можно изучить настройку БИОСа некоторых ноутбуков Acer с элементами UEFI, которые могут иметь новейшие ноутбуки и стационарные компьютеры.
Отключение безопасной загрузки в ноутбуке Toshiba.
Отключение функции Secure Boot на ноутбуке HP
Есть модели ноутбуков HP Pavillion, в которых для выключения опции Secure Boot необходимо сделать дополнительно некоторые шаги.
При загрузке ноутбука HP необходимо нажать кнопку ESC и вы увидите меню, в меню необходимо выбрать F9 Boot Device Options (изменение настроек загрузки).
Как отключить опцию Secure Boot на ноутбуке Samsung
Нажмите при включении ноутбука кнопку F2 и зайдите в BIOS. Перейдите в раздел Boot, отключите опцию «Secure Boot», с помощью стрелок на клавиатуре выделяем её и ставим в «Disabled», нажимаем «Enter» далее система выдаст уведомление, что Windows может загружаться неправильно, нажмите Enter. Теперь требуется сохранить все изменения, которые мы сделали в БИОСе и нажать клавишу F10, а затем выбрать Yes и Enter.
Каким образом отключается Secure Boot?
Вы когда-нибудь пытались установить вторую операционную систему вместе с Windows? В зависимости от ОС вы могли столкнуться с функцией безопасной загрузки UEFI.
Если Secure Boot не распознает код, который вы пытаетесь установить, он остановит вас. Безопасная загрузка удобна для предотвращения запуска вредоносного кода в вашей системе. Но это также останавливает загрузку некоторых законных операционных систем, таких как Kali Linux, Android x86 или TAILS.
Но есть способ обойти это. Это краткое руководство покажет вам, как отключить безопасную загрузку UEFI, чтобы вы могли выполнять двойную загрузку любой операционной системы, которая вам нравится.
Что такое UEFI Secure Boot?
Давайте на секунду рассмотрим, как именно Secure Boot обеспечивает безопасность вашей системы.
Безопасная загрузка — это функция унифицированного расширяемого интерфейса прошивки (UEFI). UEFI сам по себе является заменой интерфейса BIOS на многих устройствах. UEFI — это более продвинутый интерфейс прошивки с множеством настроек и технических опций.
Безопасная загрузка — это что-то вроде ворот безопасности. Он анализирует код, прежде чем выполнять его в вашей системе. Если код имеет действительную цифровую подпись, Secure Boot пропускает его через шлюз. Если код имеет нераспознанную цифровую подпись, Secure Boot блокирует его запуск, и система потребует перезагрузки.
Иногда код, который вы знаете, является безопасным и поступает из надежного источника, может не иметь цифровой подписи в базе данных безопасной загрузки.
Например, вы можете загрузить многочисленные дистрибутивы Linux прямо с их сайта разработчика, даже проверив контрольную сумму дистрибутива для проверки на фальсификацию. Но даже с этим подтверждением Secure Boot будет по-прежнему отклонять некоторые операционные системы и другие типы кода (например, драйверы и оборудование).
Как отключить безопасную загрузку
Теперь я не советую слегка отключать безопасную загрузку. Это действительно защищает вас, особенно от некоторых более вредоносных вариантов вредоносного ПО, таких как руткиты и буткиты (другие утверждают, что это была мера безопасности, чтобы остановить пиратство Windows). Тем не менее, иногда это мешает.
Обратите внимание, что для включения безопасной загрузки может потребоваться сброс BIOS. Это не приводит к потере данных вашей системой. Однако он удаляет все пользовательские настройки BIOS. Более того, есть несколько примеров, когда пользователи больше не могут включать безопасную загрузку, поэтому имейте это в виду.
Хорошо, вот что можно сделать:
- Выключите компьютер Затем включите его снова и нажмите клавишу ввода BIOS во время процесса загрузки. Это зависит от типа оборудования, но обычно это F1, F2, F12, Esc или Del; Пользователи Windows могут удерживать Shift при выборе «Перезагрузка», чтобы войти в Расширенное меню загрузки.
- Затем выберите Устранение неполадок> Дополнительные параметры: настройки прошивки UEFI.
- Найдите опцию безопасной загрузки. Если возможно, установите для него значение «Отключено».
- Обычно он находится на вкладке «Безопасность», «Загрузка» или «Проверка подлинности».
- Сохранить и выйти. Ваша система перезагрузится.
Вы успешно отключили безопасную загрузку. Не стесняйтесь захватить ближайший ранее не загружаемый USB-накопитель и, наконец, изучить операционную систему.
Как повторно включить безопасную загрузку
Конечно, вы можете захотеть снова включить Secure Boot. В конце концов, это помогает защитить от вредоносных программ и другого неавторизованного кода. Если вы непосредственно устанавливаете неподписанную операционную систему, вам нужно будет удалить все следы, прежде чем пытаться снова включить Secure Boot. В противном случае процесс не удастся.
- Удалите все неподписанные операционные системы или оборудование, установленное при отключенной безопасной загрузке.
- Выключите компьютер Затем включите его снова и нажмите клавишу ввода BIOS во время процесса загрузки, как описано выше.
- Найдите опцию « Безопасная загрузка» и установите для нее значение « Включено» .
- Если Secure Boot не активирован, попробуйте сбросить BIOS до заводских настроек. После восстановления заводских настроек попробуйте снова включить безопасную загрузку.
- Сохранить и выйти . Ваша система перезагрузится.
- Если система не загружается, снова отключите безопасную загрузку.
Устранение неполадок при сбое безопасной загрузки
Есть несколько небольших исправлений, которые мы можем попытаться запустить для загрузки вашей системы с включенной безопасной загрузкой.
- Обязательно включите настройки UEFI в меню BIOS; это также означает, что Legacy Boot Mode и его эквиваленты отключены.
- Проверьте тип раздела вашего диска. Для UEFI требуется стиль раздела GPT, а не MBR, используемый в устаревших настройках BIOS. Для этого введите «Управление компьютером» в строке поиска в меню «Пуск» Windows и выберите лучшее соответствие. Выберите Управление дисками в меню. Теперь найдите основной диск, щелкните правой кнопкой мыши и выберите « Свойства». Теперь выберите громкость. Ваш стиль раздела указан здесь. (Если вам нужно переключиться с MBR на GPT, изменить стиль раздела можно только одним способом: создать резервную копию данных и стереть диск.)
- Некоторые менеджеры прошивок имеют возможность восстановить заводские ключи , которые обычно находятся на той же вкладке, что и другие параметры безопасной загрузки. Если у вас есть эта опция, восстановите заводские ключи Secure Boot. Затем сохраните и выйдите, и перезагрузите компьютер.
Trusted Boot
Доверенная загрузка запускается там, где останавливается безопасная загрузка, но в действительности применяется только к цифровой подписи Windows 10. Когда UEFI Secure Boot передает эстафету, Trusted Boot проверяет все остальные аспекты Windows, включая драйверы, файлы запуска и многое другое.
Во многом как Secure Boot, если Trusted Boot находит поврежденный или вредоносный компонент, он отказывается загружаться. Однако, в отличие от Secure Boot, Trusted Boot может автоматически устранять проблему в зависимости от серьезности проблемы. Изображение ниже объясняет, где Secure Boot и Trusted Boot сочетаются друг с другом в процессе загрузки Windows.
Нужно ли отключать secure boot?
Отключение безопасной загрузки несколько рискованно. В зависимости от того, кого вы спрашиваете, вы можете поставить под угрозу безопасность вашей системы.
Безопасная загрузка, возможно, более полезна, чем когда-либо в настоящее время. Bootloader атакует вымогателей очень реально Руткиты и другие особенно неприятные варианты вредоносных программ также в дикой природе. Secure Boot предоставляет системам UEFI дополнительный уровень проверки системы, чтобы обеспечить вам спокойствие.
В биосе нет вкладки secure boot. Исправление ошибок Secure Boot
Сегодня поговорим о том что такое безопасная загрузка Secure Boot. Большинство пользователей, пользующихся современными компьютерами на не задумываются о его защите. Сейчас полно вредоносных программ, которые так и норовят вывести из строя какие-то компоненты системы или компьютера. Как только основные компоненты системы запустятся, то вирусы начинают промышлять свои нехорошие дела. Например, довольно опасными вирусами выступают так называемые буткиты – вредоносное ПО, которое изменяет на жестком диске загрузочный сектор. Самое интересное, что просто так обнаружить буткит с помощью стандартного антивирусного программного обеспечения не всегда возможно.
Все же, защита от буткитов есть. Существует технология, которая входит в спецификацию BIOS UEFI 2.2, под названием Secure Boot, которая защищает компьютер от различного вредоносного ПО. Принцип работы данной функции заключается в том, что если несертифицированное ПО пытается загрузиться, то она его блокирует. Например, какая-то программа или даже ОС начинает загрузку, тогда, Secure Boot рассматривает загрузочный код и сверяет его с ключами, которые вшиты в BIOS, если, таким образом, при проверке кода, проверка подписи не проходит, то загрузка программы блокируется.
Появление технологии Secure Boot способствовало бурному обсуждению и возникало много споров. Например, внедрение этой технологии в Windows 8 в 2012 году. Были разговоры о том, что с Secure Boot не получится установить другую операционную систему, кроме той, которая уже предустановлена. Но это не проблема, так как, большинство устройств, как компьютеры и ноутбуки имеют возможность отключения Secure Boot, делается это . Отключить Secure Boot не получиться только на планшетах или других устройствах с ARM-архитектурой.
Предлагаю вашему вниманию качественное восстановление жесткого диска в Москве , компания, оказывающая данные услуги делает свое дело на ура.
Давайте теперь разберем вопрос отключения Secure Boot
Secure Boot, как отключить
В зависимости от того, какая модель ноутбука или материнской платы у вас есть, функция Secure Boot может находится где угодно. Чаще всего, она может находится во вкладке Boot или вкладка Security . Есть вариант, что она находится по следующему пути: Boot потом Secure Boot далее OS Type и выбираем Other OS . Если у вас ноутбук от HP, то данная опция находится в System Configuration и пункт Boot Options . В ноутбуках Dell настройки Boot Options находят во вкладке Boot и UEFI Boot .
Если у вас ноутбук от Lenovo или Toshiba, то в BIOSe вам нужно перейти в раздел Security . В ноутбуках Samsung дело обстоит немного сложнее, во-первых, Secure Boot находится в разделе Boot , как только вы попытаетесь отключить функцию, то высветиться предупреждение, что могут возникнуть ошибки при загрузке компьютера, потом нужно выбрать параметр OS Mode Selеction и переключить в CMS OS , либо в режим UEFI and Legacy OS . Если вам удалось выключить данную функцию, то теперь вам нужно включить режим совместимости Legacy , это делается на любом устройстве.
Чтобы убедиться в том, что Secure Boot отключен, можно зайти в стандартные средства «Сведения о системе» , уже там перейти в раздел «Состояние безопасной загрузки» , оно должно быть в положении «ВЫКЛ» .
Чтобы зайти в сведения о системе откройте окно выполнить с помощью клавиш Win+R и введите фразу msinfo32 . На этом все, теперь вы отключили Secure Boot.
http://сайт/wp-content/uploads/2016/03/asus-secure-boot.jpg http://сайт/wp-content/uploads/2016/03/asus-secure-boot-150×150.jpg 2016-03-06T11:35:53+00:00 EvilSin225 Сегодня поговорим о том что такое безопасная загрузка Secure Boot. Большинство пользователей, пользующихся современными компьютерами на BIOS UEFI не задумываются о его защите. Сейчас полно вредоносных программ, которые так и норовят вывести из строя какие-то компоненты системы или компьютера. Как только основные компоненты системы запустятся, то вирусы начинают промышлять… EvilSin2258 и 8.1 после установки обновлений столкнулись с ошибками системы, которые связаны с так называемой «безопасной загрузкой». Что же это такое? Это функция, которая препятствует запуску неавторизованных ОС и ПО при включении ПК. Нужна она для дополнительной защиты вашего компьютера от вирусов и руткитов, которые могут нанести вред системе в тот момент, когда она загружается. Но что же делать, если указанная функция становится причиной постоянных ошибок? Всё дело в заданных параметрах. В этой статье подробно рассмотрим, как правильно настроить Secure Boot. Давайте разбираться. Поехали!
Если есть такая проблема, данная статья для вас.
Существует ряд проблем, связанных с режимом безопасной загрузки. Чаще всего это сообщение об ошибке «Безопасная загрузка Secure Boot настроена неправильно» или «Secure Boot Violation Invalid signature detected». Что же делать в таком случае? Часто бывает достаточно просто включить указанную функцию через BIOS. Но у некоторых пользователей такой пункт в BIOS отсутствует вовсе. Тогда следует попробовать отключить его. О том, как это сделать, далее в статье.
Теперь вы точно будете знать, что делать, если на вашем компьютере неправильно заданы параметры безопасной загрузки. Как видите, эту ситуацию несложно исправить. Каких-то несколько минут, и ваша система снова работает как надо. Пишите в комментариях, помогла ли вам статья разобраться с ошибкой, и делитесь с другими пользователями своим опытом в решении указанной проблемы.
Сегодня мы расскажем о том, что такое Secure Boot. Как отключить данный элемент и для чего он необходим, рассмотрим далее. Речь идет о программном обеспечении настройки оборудования, которое используется сегодня вместо БИОС на различных материнских платах.
Общие сведения
Мы уже определили, что такое Secure Boot. Как отключить данный элемент — это вопрос, который становится особенно актуальным, если функция мешает загрузке с флеш-накопителя либо диска, во время установки Windows или другой операционной системы. Есть и несколько других ситуаций, когда деактивация может быть необходима, однако они менее распространены. Весьма част случай, при котором на основном рабочем столе возникает сообщение, свидетельствующее о неправильной настройке Secure Boot. Как отключить данное уведомление, мы также расскажем. Во многом процедура деактивации зависит от интерфейса UEFI. Поэтому ниже будут описаны рекомендации для нескольких вариантов.
Параметры
Прежде всего, переходим к настройкам UEFI. Иначе говоря, заходим в БИОС компьютера. Для этого существует следующий способ:
- Если на ПК установлена платформа Windows 8 либо 8.1, переходим к правой панели и выбираем пункт «Параметры».
- Далее ждем открытия следующего меню и переходим во вкладку «Изменение параметров».
- Используем функцию «Обновление и восстановление».
- Ожидаем запуска этого инструмента и выбираем «Восстановление».
- Нажимаем кнопку «Перезагрузить».
- Потом переходим к «Дополнительным параметрам», а далее — в «Настройки ПО UEFI».
- Компьютер перезагрузится и отобразит необходимые настройки.
Delete
Продолжаем обсуждать функцию Secure Boot. Как отключить ее, можно понять только лишь после входа в БИОС. Первый вариант запуска этого элемента был описан выше. Но аналогичного результата можно добиться и другим способом. Во время включения настольного компьютера нажимаем Delete. Чтобы решить вопрос, как отключить Secure Boot на ноутбуке Lenovo может потребоваться другая клавиша: чаще всего F2. Обратим внимание на начальный экран при включении. На нем часто указывается необходимая нам кнопка.
Пример деактивации
Далее мы подробно рассмотрим, как отключить Secure Boot на ноутбуке Asus. Данную инструкцию можно считать универсальной, поскольку она подойдет для большинства других материнских плат, которые поддерживают интересующую нас функцию.
Для запуска персонального компьютера с флешки также потребуется активировать загрузку CSM и прежнюю версию включения. На большинстве компьютеров и ноутбуков работают описанные варианты нахождения требуемой функции. Могут меняться определенные детали, но изложенный алгоритм остается постоянным. К примеру, на некоторых моделях ноутбуков HP необходимо зайти в раздел System Configuration. Далее выбрать пункт Boot Options. В возникшем меню отыскать Secure Boot.
Следует также коротко сказать о ноутбуках Acer. В них интересующая нас функция деактивируется посредством раздела Authentication. Возможно, что для достижения результата понадобится перейти в Advanced, а затем открыть System Configuration.
Поделись статьей:
Похожие статьи
Включить режим uefi в биосе asus. Как отключить защиту Secure Boot в Биосе с поддержкой UEFI. Раздел Exit
Разработанная больше 30 лет назад, базовая система ввода-вывода BIOS по современным меркам существенно устарела. На смену ей приходит спецификация UEFI, которая существенно изменяет устоявшуюся и привычную процедуру загрузки. Эта статья предназначена для тех, кому интересна на компьютер с UEFI.
Замена устаревшему BIOS
Extensible Firmware Interface (расширяемый интерфейс прошивки) был разработан компанией Intel в 1998 году. Актуальная версия спецификации носит название Unified Extensible Firmware Interface. Компьютеры, выпущенные после 2010 года с высокой вероятностью работают с системой UEFI. В отличие от биоса, коды новой спецификации могут храниться как на микросхеме материнской платы, так и в специальном разделе HDD.
UEFI работает с новой разметкой GPD, которая способна поддерживать HDD размером больше 2 Тб и неограниченное количество разделов. Помимо этого, архитектура UEFI – модульная, следовательно поддерживает пользовательские приложения и драйверы.
И, наиболее важная для этой статьи часть: в новой спецификации есть встроенный менеджер загрузок. Благодаря этому установка Windows 7 c USB или внешнего HDD не требует сторонних загрузчиков.
Создание загрузочной флешки
Для создания рассмотрена утилита Rufus 1.4.3 . Примечательна программа тем, что не требует установки, имеет очень малый размер и распространяется совершенно бесплатно. Конечно же, Rufus поддерживает GPT разметку HDD и работу со спецификацией UEFI. Актуальная версия утилиты доступна для скачивания с официального сайта производителя.
После запуска утилиты необходимо указать имя флешки, которая будет загрузочной (Внимание! Все данные с нее будут безвозвратно удалены! ), файловую систему (выберите FAT32), схему раздела и системный интерфейс (выберите GPT и UEFI). Напротив « » надо указать путь к ISO образу Windows 7.
Когда все параметры указаны верно, можно нажимать на кнопку «Start», и начнется процесс подготовки загрузочной флешки. Это займет некоторое время, в зависимости от быстродействия вашего компьютера и поколения USB.
Помимо Rufus можно использовать программу WinSetupFromUSB . Ее также можно скачать с сайта производителя. Интерфейс этих двух программ практически аналогичен, поэтому рассматривать процесс отдельно смысла не имеет.
Подготовка в установке
Для того чтобы начать установку с флешки, необходимо сначала настроить UEFI. Для этого необходимо перезагрузить компьютер и нажать F2 или Delete (зависит от вашей материнской платы, для верности нажмите обе клавиши). После этих действий, как и в случае и BIOS, вы попадете в главное меню управления.
Нажмите F7 или выберите раздел «Дополнительно». Далее зайдите в меню «загрузка», выберите опцию «поддержка USB» и установите Full Initialization. В меню «безопасная загрузка» установите «Windows uefi mode».
Теперь откройте меню Compatibility Support Module (или CSM) и в пункте «запуск CSM» укажите «enabled». Откройте дополнительные опции и в пункте «параметры загрузочных устройств» выберите «only uefi». Этот пункт позволит фильтровать флешки и HDD, которые не умею работать с вашей спецификацией. В графе «загрузка с устройств хранения» выберите «both, uefi first».
Теперь вам осталось только указать boot priority (приоритет загрузки). На первом месте разместите загрузочную флешку, на втором – ваш HDD. Настройки завершены, сохраните их клавишей F10, подтвердите решение, и компьютер будет перезагружен.
Установка Windows
Если предыдущие пункты были выполнены правильно, после того, как компьютер будет перезагружен, начнется стандартная установка операционной системы с флешки. Нажмите «далее», «install», примите соглашение пользователя, выберите полную установку.
Теперь необходимо вызвать командную строку комбинацией Shift + F10 . Далее введите следующую последовательность команд:
diskpart (после каждой команды надо нажать кнопку enter)
sel dis 0
clean
convert gpt
exit
exit
На этом месте поподробнее. С помощью этих команд вы удалите все данные с HDD, разметите его как GPD и отформатируете для последующей установки системы. Нажмите «обновить» и «далее».
Начнется установка Windows 7 на HDD вашего персонального компьютера. Во время процесса инсталляции ПК будет несколько раз перезагружен, после чего вам останется указать его имя и пароль, часовой пояс и задать список пользователей. По завершении установки центр обновления Microsoft загрузит и установит все необходимые патчи и драйверы, и компьютером можно будет пользоваться.
Secure Boot в Биосе с поддержкой UEFI
Протокол безопасной загрузки Secure Boot, основанный на специальных сертифицированных ключах, имеющихся только у Windows 8 и выше, не даст установить операционную систему на ваш компьютер с какого-либо установочного носителя, кроме носителя с «восьмеркой» или «десяткой». Поэтому, чтобы начать установку другой системы на ваш стационарный компьютер или ноутбук, потребуется отключить Secure Boot в UEFI-BIOS .
Параметр «Secure Boot», ответственный за отключение протокола безопасной загрузки, в большинстве случаев находится в разделах «Security », «System Configuration » или «Boot ». Но хочу сказать, что для установки, к примеру, Windows 7 на новый ноутбук с UEFI-BIOS мало будет отключить только «Secure Boot » в UEFI-BIOS, нужно еще включить режим совместимости с другими операционными системами.
Называется ответственный за это параметр у всех производителей по разному: «Launch CSM », «CMS Boot », «UEFI and Legacy OS », «CMS OS ». И находится, в подавляющем большинстве, в разделе «Advanced », а в нем, в подразделах «Boot Mode » или «OS Mode Selection ».
На ноутбуке :
Как отключить Secure Boot и UEFI на ноутбуке Toshiba
При загрузке ноутбука нажмите клавишу F2 и войдите в UEFI-BIOS. Зайдите в раздел «Security» и, найдите параметр «Secure Boot», переключите его в положение «Disabled».
Таким нехитрым способом мы смогли отключить Secure Boot в UEFI-BIOS. Но это еще не все. Теперь вам нужно включить режим совместимости с другими операционными системами. Идем в раздел «Advanced» находим подраздел «System Configuration» и заходим в него.
Здесь выбираем параметр «Boot Mode» или «OS Mode Selection», и переключаем его из положения «UEFI OS» (возможно «UEFI Boot») в положение «CSM Boot» (возможно «UEFI and Legacy OS» или «CMS OS»).
Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав пункт «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.
Как отключить Secure Boot и UEFI на ноутбуке HP
Иногда бывает все не столь очевидно. Например, на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно произвести еще несколько дополнительных операций.
Нажимаем при загрузке ноутбука клавишу F10 (возможно ESC, затем F10) и входим в UEFI-BIOS. Заходим в раздел «System Configuration», находим подраздел «Boot Options» и заходим в него.
Находим параметр «Secure Boot» и переключаем его в положение «Disabled» (Выключено). А параметр режима совместимости с другими операционными системами «Legacy support», напротив, переключаем в положение «Enabled» (Включено).
На предупреждение отвечаем согласием «Yes».
Для того чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение данных изменений, выбрав «Yes». Перезагрузка компьютера. После перезагрузки выходит окно с предупреждением «A change to the operating system secure boot mode is pending…». По-английски нам предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код, конечно, будет другим) и нажать Enter. После этого изменения в настройках UEFI-BIOS будут сохранены и ноутбук опять перезагрузится.
При включении ноутбука HP нажмите клавишу ESC и попадете в стартовое меню. В нем выбираем «F9 Boot Device Options» и, зайдя в меню загрузки, выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с дистрибутивом операционной системы.
Как отключить Secure Boot и UEFI на ноутбуке Asus
(Утилита Aptio Setup Utility)
При загрузке ноутбука нажмите клавишу DELETE и войдите в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключаем его в положение «Disabled».
Затем переходим в раздел «Boot» и, найдя параметр «Fast Boot», переключаем его в положение «Disabled».
Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Опять входим в UEFI-BIOS. Заходим в раздел «Boot» и, найдя параметр «Launch CSM», переключаем его в положение «Enabled» (Включено).
Опять нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. При включении ноутбука Asus жмем клавишу ESC и попадаем в меню загрузки. В нем выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с операционной системой.
Как отключить Secure Boot и UEFI на ноутбуке Samsung
(Утилита Aptio Setup Utility)
Нажимаем при загрузке ноутбука клавишу F2 и входим в UEFI-BIOS. Заходим в раздел «Boot» и находим параметр «Secure Boot».
Переключите его в положение «Disabled» (Выключено).
На предупреждение о том, что компьютер может загрузиться с ошибкой нажмите Enter.
В этом же разделе ниже появится параметр «OS Mode Selection».
Переключите его в положение «CMS OS» или «UEFI and Legacy OS».
Опять появится предупреждение о возможности следующей загрузки ноутбука с ошибкой. Жмем Enter. Чтобы изменения вступили в силу, нажмите клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Теперь мы сможем загрузить на наш ноутбук любую операционку, если не получается, обращайтесь в КомпрайЭкспресс.
Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire
(Утилита Insydeh30 Setup Utility)
Нажмите при загрузке ноутбука клавишу F2 и войдите в UEFI-BIOS. Здесь заходим в раздел «Main» и, найдя параметр «F12 Boot Menu», переключаем его в положение «Enabled». Этим действием мы разрешили появление загрузочного меню ноутбука при нажатии клавиши F12.
Далее переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter. В верхнем поле задаем пароль (в дальнейшем мы его сбросим) и нажимаем Enter. В нижнем поле вводим этот же пароль и опять жмем Enter.
На сообщение «Changes have been saved» еще раз нажмите клавишу Enter.
Для того чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Так как имеет смысл убрать ранее заданный нами пароль (возможность отключения/включения «Secure Boot» останется), снова по F2 входим в UEFI-BIOS, переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter. В верхнем поле вводим ранее заданный нами пароль и нажимаем Enter. Во втором и третьем поле ничего не вводим, просто нажимая Enter.
На сообщение «Changes have been saved» еще раз нажмите Enter. Вот и все! Пароль сброшен, а возможность отключения/включения «Secure Boot» сохранилась. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.
На стационарном Компьютере :
Как отключить Secure Boot и UEFI на материнской плате Asus
Нажимаем при загрузке ноутбука клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Нажимаем F7 для перехода в «Advanced Mode».
Заходим в раздел «Boot», находим там подраздел «Secure Boot» и заходим в него.
Переключите параметр «Secure Boot» в положение «Other OS».
Переключите параметр «Launch CSM» в положение «Enabled».
В открывшихся дополнительных опциях выбираем «Boot Device Control» и переключаем в положение «Legacy OpROM only» или «UEFI and Legacy OpROM».
Переходим к параметру «Boot from Storage Devices» и переключаем его в положение «Legacy OpROM first» или «Both, Legacy OpROM first».
Этими действиями мы смогли отключить Secure Boot и включили режим расширенной загрузки. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.
Как отключить Secure Boot и UEFI на материнской плате Asrock
Нажимаем при загрузке компьютера клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключите его в положение «Disabled».
Для того чтобы изменения вступили в силу, нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь вы сможете загрузить на PC любую операционную систему.
Нажимаем при загрузке ПК клавишу DELETE и входим в UEFI-BIOS. Заходим в раздел «BIOS Features» и, найдя параметр «Windows 8 Features», переключаем его в положение «Other OS».
Затем параметр «Boot Mode Selection» переключаем в положение «Legacy only» или «UEFI and Legacy». И, наконец, параметр «Other PCI Device ROM Priority» переключаем в положение «Legacy OpROM».
Для сохранения изменений нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.
Как отключить Secure Boot и UEFI на материнской плате MSI
При загрузке PC нажмите клавишу DELETE и зайдите в UEFI-BIOS. Здесь заходим в раздел «SETTINGS», переходим в подраздел «Boot», и найдя параметр «Boot Mode Select», переключаем его в положение «Legacy+UEFI».
Чтобы изменения вступили в силу, нажимайте клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.
Пишите в комментариях, помогла ли вам данная инструкция решить проблему с установкой операционной системы на персональный компьютер или ноутбук.
Если у вас возникают сложности с настройкой БИОСа, вы можете обратиться к нам за консультацией или помощью компьютерного мастера. Звоните по тел:
Виталий Вощатинский. 2 года назад:
Огромное спасибо за проделанную работу. Но в моем случае ноутбук Acer Aspire возможность поменять BOOT MODE просто отсутствует. Есть ли решение этого вопроса?
Zoro Виталий Вощатинский. 2 года назад:
Доброго времени суток! И у меня такое чудо)) Может нашли решение?
Виталий Вощатинский Zoro . 2 года назад:
В сервисном центре «высера». ой асера. мне сказали. что эта модель имеет поддержку только для винды 10. Пригласил по обьявлению парня и он часа за 3, установил мне убунту 17, нно при этомм комп не выключается. то еть все прогитормозятся. но физическиотключить итание можно только нажав на кнопку повер.
Андрей. 2 года назад:
ноутбук acer aspire. поставил пароль а boor mode не разблочилось, только secure boot… как дальше быть не знаю Max Chu
Андрей. год назад:
Та же проблема. Как быть не знаю. Может только перепрошивка BIOS поможет. но опять как это сделать. 10-ка не даёт установить другую версию.
Денис Купцов. 2 года назад:
ЧУВАААК ОГРОМНОЕ СПАСИБО!!! так то давно меняю себе и друзьям виндосы! но 1 раз решил переустановить на ноутбуке! и пипец думал сломал комп)) блин что бы я без тебя делал))) Люблю тебя)))
Иван Здравствуйте. 2 года назад:
Блииииин спасибооо!По крайней мере этот секьюрити отключил!Счас на работе поэтому тестануть встанет ли семерка не смогу но после смены попробую…..Огромное спасибо.Сайт ушел в закладки…..
Dalai Lama . 2 года назад:
Спасибо Бро за труды в помощь неразумным юзерам! Зае..мучился искать ответы! Твоя статья великолепна!
Ирина Юсупова. 2 года назад:
маялась никак не могла разобраться, уже весь инет перерыла пока нашла эту статью — вполне доступно и понятно описано. Спасибо.
Станислав. 2 года назад:
Огромное, человеческое спасибо, помогла подробная статья для ноутбуков HP, долго мучился, а потом с помощью Вас всё удалось за 5 минут, и вот Windows 7 уже завершает установку, благодарю!
Станислав. 2 года назад:
Спасибо за развернутую инструкцию! очень долго ломал голову, а тут оказалось все предельно просто! Сайт ушел в закладки, так сказать на будущее!
Павел. 2 года назад:
Как нарочно, у самого возникла такая проблема, после того как произвел активацию десятки с 8ки. Но нужные проги в ней не работали, решил установить семерку 64 бита, но, как и многие, столкнулся с пресловутым секьюри бут, который не давал сделать это. инструкции к Тошиба помогли, спасибо
Симона Маркина. 3 года назад:
Хотела на новом ноутбуке поставить Линукс. Но не получалось ничего с этим новым для меня БИОСом. Статья помогла на все сто. Теперь у меня есть Ubuntu.
Дмитрий Верник. 3 года назад:
Вот у меня как раз ASUS! Спасибо за статью, очень помогла! Давно искал подробную инструкцию!
Иван. 3 года назад:
Статья спасла, очень подробно все расписано и показано на фото. Прочитав смог установить Win 7 вместо предустановленного Win 8.1)))
Юрий Шокин. 3 года назад:
Хорошо, когда есть такие подробные статьи и руководства по функциям Биоса. Мне не понятно было как отключить secure boot на ноутбуке lenovo, сделал по аналогии с другими марками. С такими своевременными подсказками справился с переустановкой операционной системы быстро, благодарю за ценный совет.
Evgeniy Maslennikov . 3 года назад:
Жесть, ребята, другими словами просто не описать то как я намучался за прошлыые выходные, спасибо вам большое за советы!
Иван. 3 года назад:
Уважение автору! Вот наконец-то попалась статья в которой нормально описано как отключить Secure boot в разных UEFI биосах. А то вечно весь интернет прочешешь, пока соберешь полную картину. Спасибо, очень облегчил переустановку Виндовс 8.
Иван Щепелин. 3 года назад:
Спасибо вам! Я в этом полный ноль, но с вашими рекомендациями и с помощью своего друга, Windows 7 на ноутбук Асер установить сумели)
Если у вас возникла потребность в переустановке операционной системы, то в Asus uefi bios utility ez mode совсем не обязательно менять настройки приоритета загрузки для загрузки с загрузочного устройства, будь то или установочный диск windows.
Чтобы выбрать откуда грузиться компьютеру вам достаточно при включении нажимать несколько раз кнопку F8 для появления окна выбора загрузочного устройства.
Загрузочное меню Asus uefi bios utility ez mode, вызываемое кнопкой F8
Здесь клавишами стрелок и клавишей Enter выбираем с чего загружаться.
Если же все таки вам нужно изменить приоритета загрузки в Asus uefi bios utility ez mode, то в том же окне выбираем «Enter Setup» для входа в Asus uefi bios utility ez mode.
Выбор загрузочного устройства в главном меню
В его главном окне можно поставить загрузку с диска перетаскиванием мышью его значка в крайнее левое положение в левом нижнем углу экрана.
Если же нужно поменять приоритет жестких дисков или переключиться на флешку, то жмем клавишу F7 для входа в расширенные настройки Asus uefi bios utility ez mode.
Приоритет загрузки в расширенных настройках Asus uefi bios utility ez mode
В расширенных настройках переходим во вкладку «Boot» и в разделе «Hard drive BBS Priorities» ставим на первое место нужный жесткий диск или флешку.
Выбор флешки или жесткого диска в настройках Asus uefi bios utility ez mode
После этого в Boot option №1 ставим флешку или жесткий диск, выбранные в предыдущем разделе.
По окончании всех действий сохраняем изменения кнопкой F10 и перезагружаемся.
Лучший способ отблагодарить автора статьи- сделать репост к себе на страничку
Страница 1 из 6
Компания Asus в своих материнских платах под сокет 1155 предоставила пользователю новые возможности по управлению настройками через BIOS, представив его с помощью графической оболочки и возможностью изменения настроек с помощью мышки. Посмотрим, что изменилось по сравнению со старым способом представления с помощью псевдографики (текстового интерфейса).
При подготовке статьи использовались материнские платы ASUS P8P67 (LGA1155) и ASUS P8P67 Deluxe (LGA1155) .
Предупреждение: информация изложенная в данной статье носит информационный характер.
Наш портал не несет ответственности за возможные или произошедшие повреждения в любом их проявлении, при следовании или не следовании информации, изложенной в данной статье.
По умолчанию, включается режим EZ Mode :
Поддерживается несколько языков, но русского среди них нет.
В случае работы в режиме EZ Mode появляется полностью графическая оболочка, в отличии от обычного режима, максимально совместимого и понятного с предыдущими версиями BIOS отASUS .
Все максимально упрощено — есть три пресета производительности и диспетчер порядка загрузки.
Все.
Переключиться в продвинутый режим можно так:
Расположение основных элементов BIOS типичное (Advanced Mode) — вверху находятся названия разделов, в правой части — подсказки, за что отвечает каждый раздел и какие клавиши доступны для навигации.
Первый раздел меню, содержащий информацию о версии BIOS, процессоре, памяти. Можно выбрать язык и задать системное время.
В подразделе Security можно установить пользовательский пароль и пароль администратора.
Ai TweakerЭто раздел, отвечающий за разгон и режимы работы процессора, памяти и системы управления питанием EPU.
Ai Overclock tuner — опция предлагает 3 варианта разгона: Auto (автоматический), Manual (ручной), с помощью профиля X.M.P., где частота процессора и памяти выставляются оптимальными для достижения частоты памяти указанной в профиле).
Turbo Ratio задает режим работы Turbo Boost процессора.
Memory Frequency – выбор частоты работы памяти.
EPU Power Saving Mode – включение режима энергосбережения материнской платы…
.. и выбор варианта энергосбережения: минимальный, средний, максимальный.
OC Tuner – функция авторазгона системы. Использовать осторожно.
Подраздел DRAM Timing Control отвечает за точную настройку таймингов памяти. Так же отображаются текущие значения таймингов установленных модулей памяти.
CPU Power Management – здесь задаем коэффициент умножения процессора…
… включение технологии Intel SpeedStep (снижение напряжения и частоты процессора при бездействии) …
… и включаем или отключаем режим Turbo Boost.
Long Duration Power Limit позволяет переопределить максимальный TDP процессора для длительной работы. Указано максимальное значение.
Например, для процессора Intel Core i5-2400 базовое значение — 95.
Long Duration Maintained — максимальная длительность работы процессора с включенной технологией TurboBoost при превышении значения Long Duration Power Limit.
Short Duration Power Limit — второй лимит TDP — срабатывает при превышении значения первого лимита.
Время работы в этом режиме нельзя отрегулировать.
По спецификациям Intel — работает до 10 секунд.
Additional Turbo Voltage – максимальное добавочное напряжение подаваемое на процессор в режиме Turbo Boost.
Primary Plane Current Limit — максимальная сила тока допустимая для питания процессора (шаг 0.125А).
Подраздел DIGI+ VRM позволяет осуществить более точную настройку системы питания процессора на материнской плате.
Эти пять профилей относятся к Load-Line Calibration, которая служит для компенсации проседания напряжения питания ядра при увеличении нагрузки на процессор В режиме Regular она работает по спецификациям Intel. Остальные профили настраивают скорость реакции на проседание напряжения, и необходимы для разгона. Чем выше значение, тем больший разгон может быть достигнут, однако будет увеличиваться нагрев процессора и силовых элементов материнской платы.
VRM Frequency – включение автоматического или ручного режима управления частотой VRM модуля питания процессора.
VRM Fixed Frequency Mode — в ручном режиме можно задать частоту переключения фаз VRM модуля. Диапазон регулировок — от 300 до 500 килоГерц, с шагом 10 кГц.
VRM Spread Spectrum — включение или отключение режима Spread Spectrum для VRM модуля питания процессора (не путать с Spread Spectrum для процессора!).
Phase Control — выбор алгоритма работы узла управления контролем фаз питания процессора.
Manual Adjustment – в ручном режиме управления алгоритмом переключения фаз питания, можно выбрать один из четырех пресетов — от консервативного Regular, до самого скоростного Ultra Fast.
Эти пресета относятся к Load-Line Calibration. В режиме Regular она работает по спецификациям Intel. Остальные профили настраивают скорость реакции на проседание напряжения, и необходимы для разгона. Чем выше значение, тем больший разгон может быть достигнут, однако будет увеличиваться нагрев процессора и силовых элементов материнской платы.
Duty Control — модуль контролирует контроля компонентов каждой фазы питания процессора (VRM).
Возможно два положения:
T. Probe — модуль ориентируется на оптимальный температурный режим компонентов VRM.
Extreme — поддерживает оптимальный баланс VRM фаз.
Мы рекомендуем оставить значение T.Probe.
CPU Current Capability — модуль управления диапазоном возможного потребления энергии процессором. Всего есть пять положений — от 100 до 140%:
Если вы разгоняете процессор, лучше выбрать более высокое значение.
CPU Voltage – выбираем режим управления напряжением питания процессора (Offset или Manual).
Offset Mode Sign – определяет инкремент (+) / декремент (-) значения смещения напряжения питания. Говоря простым языком — увеличение или уменьшение напряжения процессора зависит от зашитого в процессор напряжения, которое является точной отсчета.
CPU Offset Voltage – задает величину смещения (от 0.005В до 0.635В) напряжения.
CPU Manual Voltage указываем напряжение питания процессора вручную (от 0. 800В до 1.990В с шагом 0.005В).
DRAM Voltage – напряжение оперативной памяти (от 1.20В до 2.20В с шагом 0.00625В).
VCCSA Voltage — напряжение питания системного агента (System Agent). Диапазон: от 0.800В до 1.700В с шагом 0.00625В.
VCCID Voltage — напряжение питания системы ввода-вывода процессора (кольцеовй шины). Диапазон: от 0.800В до 1.700В с шагом 0.00625В.
CPU PLL Voltage – задание напряжения для синхронизации внутренних множителей (Phase-Locked Loop — фазовая автоматическая подстройка частоты) (от 1.2000В до 2.2000В с шагом 0.00625В).
PCH Voltage – напряжение «южного» моста (от 0.8000В до 1.7000В с шагом 0.0100В)
DRAM DATA REF Voltage и DRAM CTRL REF Voltage задают множитель для каждого из модулей памяти (от 0.3950х до 0.6300х с шагом 0.0050х).
CPU Spread Spectrum – при разгоне данную опцию лучше выключать для повышения стабильности работы системы.
При переключении Ai Overclock tuner в режим Manual доступны еще параметры.
BCLK/PEG Frequency – задание базовой частоты (от 80 до 300 МГц)
Ввиду особенностей платформы LGA 1155 , проблематично получить стабильную систему с опорной частотой выше 105МГц.
Расширенная настройка содержит 7 подразделов, каждый из которых описан ниже.
CPU Configuration – в нем отображаются текущие параметры работы процессора и обеспечивается возможность их изменения. Один из них CPU Ratio обеспечивает задание коэффициента умножения процессора.
Intel Adaptive Thermal Monitor — при желании, можно отключить мониторинг теплового состояния процессора внутренним механизмом контроля. Мы не рекомендуем это делать, так как данный функционал отвечает за здоровье процессора.
Active Processor Cores – опция дает возможность задать количество активных ядер процессора.
Может пригодиться бенчерам.
Limit CPUID Maximum – опция должна быть выключена для «старых» операционных систем (Windows XP).
Execute Disable Bit – технология защиты компьютера от хакерских атак и вирусов. Рекомендуется включить опцию, если процессор поддерживает эту технологию.
Intel Virtualization Technology – необходима для аппаратной поддержки работы виртуальных машин (VMM).
Enhanced Intel SpeedStep Technology – технология, позволяющая ОС динамически изменять напряжение питания процессора и частоту ядер в зависимости от нагрузки для уменьшения энергопотребления.
Turbo Mode – включение/выключение технологии Turbo Boost у процессоров Intel (повышение частоты ядер при увеличении нагрузки).
CPU C1E , CPU C3 Report , CPU C6 Report “сигнализируют” ОС о поддержке процессором расширенных режимов энергосбережения.
Лучше включить, чтобы снизить энергопотребление процессора в простое.
System Agent Configuration — позволяет задать, какой из видеоадаптеров будет инициализирован в первую очередь (Initiate Graphic Adapter), возможно, в дальнейшем появится что-то еще.
PCH Configuration – так же содержит 1 опцию — High Precision Timer, которая включает/выключает таймер событий высокой точности (HPET — High Precision Event Timer).
SATA Configuration – в данном подразделе отображаются подключенные устройства и имеется возможность задать режим работы SATA-портов (Disabled, IDE Mode, AHCI Mode, RAID Mode) и включить/выключить проверку S.M.A.R.T.. Очень удобное отображение, к какому порту подключено каждое устройство, и какой это порт на материнской плате (с указанием цвета порта).
Для каждого из портов можно разрешить горячее подключение устройства – Hot Plug .
USB configuration – здесь отображаются USB-устройства, подключенные к материнской плате на момент входа в BIOS, а так же можно включить/выключить контроллеры USB 2. 0 и USB 3.0.
EHCI Hand-off (Enhanced Host Controller Interface) — включение или отключение расширенного управления контроллером USB. Для совместимости с операционными системами, не поддерживающими данную функцию, — выключено.
Onboard Devices Configuration – в данном подразделе имеется возможность зайдествовать/отключить имеющиеся на материнской плате различные контроллеры, а так же задать их режимы работы:
Первая опция включает/выключает HD-аудио контроллер.
Ниже задаются спецификация вывода звука на переднюю панель (HD, AC97), а так же на какой источник передавать «цифровой» звук — SPDIF или HDMI.
Отдельно можно включить/выключить работу контроллера USB 3.0 …
… и шины FireWire (IEEE-1394).
Данные опции задают режим работы SATA-контроллера Marvell (SATA 3.0).
Первая опция отвечает за включение/выключение сетевого контроллера, а Realtek PXE OPROM является аналогом BootROM (загрузки ОС по сети).
В случае наличия контроллера JMB (в зависимости от типа поддерживает SATA и IDE дисковые накопители) появляется возможность включить/выключить его, а так же задать режимы работы:
Если нужна загрузка OPROM контроллера Marvell при загрузке системы, включите этот пункт.
Опция Display OptionRom in Post позволяет «уменьшить» количество выводимой информации и тем самым система будет грузиться чуть быстрее.
Если на материнской плате имеются 2 сетевых контроллера, то появляется еще 2 дополнительных опции — Intel Lan Controller и Intel PXE OPROM.
Serial Port Configuration – включает/выключает работу последовательного порта RS-232 и можно изменить адрес и прерывание порта.
APM – подраздел, определяющий работу системы после потери питания (Restore AC Power loss ) и источники, с помощью которых можно включить компьютер. Они типовые, поэтому возможные параметры просто приведены на скриншотах:
MonitorРаздел, в котором осуществляется отображение основных контролируемых параметров процессора, материнской платы, скорости вращения вентиляторов и т. п.
CPU Q-Fan Control – разрешает управление скоростью вращения вентилятора процессора.
CPU Fan Speed Low Limit – задает минимальную контролируемую скорость вращения вентилятора прроцессора.
CPU Fan Profile – предоставляет пользователю профили режимов работы вентилятора процессора.
Здравствуйте, уважаемые читатели! Сегодня мы поговорим об одной сложной на первый взгляд теме, которая будет звучать так: UEFI Boot — что это такое и как отключить UEFI в БИОСе.
Конечно, для простого пользователя все эти названия и аббревиатуры ни о чем не говорят, но тем не менее, покупая современные настольные компьютеры и ноутбуки, вы все равно столкнетесь лицом к лицу с этими понятиями.
Да, друзья, этот тот самый раздел настроек на синем фоне, в который можно войти в самом начале при включении компа. Вот рисунок для освежения памяти:
Еще многие энтузиасты пробовали здесь играться с вольтажом и частотой главного процессора, чтобы увеличить мощность своей машины. Так вот, на смену микропрограмме БИОСа пришла другая, более современная.
И как вы уже поняли, называется она UEFI. Из новых нововведений в ней можно отметить поддержку высоких разрешений экрана, дисков очень большого объема и работу с мышкой.
Если вы прочли все строки выше и совсем ничего не поняли, тогда посмотрите короткое видео для закрепления темы:
Так вот, обязательно следует сказать о том, что полноценная система UEFI реализована пока еще далеко не во всех современных компьютерах. Зато некоторые ее новые функции, доселе не виданные, успешно внедрены в старую оболочку BIOS.
И одна из них, так называемая UEFI Boot (полное название Secure Boot). Смысл ее работы заключается в предотвращении подмены источника загрузки системы, тем самым уменьшая использование нелицензионного ПО.
То есть, получается такая картина, что теперь мы ни сможем загрузиться, например, с флешки либо стороннего диска. Ведь при таком раскладе, в списке доступных устройств их просто не будет:
Но на самом деле, решить данную проблему можно и очень даже легко. Для этого нужно сделать пару настроек и всего делов-то. Поэтому давайте переходить к работе. Так сказать, хватит теории.
И для того чтобы отключить UEFI функции в БИОСе, необходимо сразу войти в него. Как говорилось уже выше, для этого нужно нажать определенную комбинацию клавиш сразу после включения компьютера.
Тем самым мы отключили главную функцию защиты UEFI от сторонних загрузчиков. Затем следует пройти в раздел «Boot» и выставить параметры как на скриншоте ниже:
После этого у нас должен появится список из доступных устройств. Теперь меняя их положение в списке, можно манипулировать источниками загрузки. Опять же, на примере автора, это можно сделать сочетанием клавиш Fn+F5/F6 :
Ну что же, после всех внесенных параметров, осталось только сохранить изменения. Делается это в меню «Exit», выбрав пункт «Exit Saving Changes»:
Вот и все, друзья мои, теперь вы точно знаете ответ на вопрос: UEFI Boot — что это такое и как отключить UEFI в БИОСе. Если же остались вопросы, смело задавайте их в комментариях.
Ну а в случае если вдруг хотите узнать о UEFI BIOS гораздо , то посмотрите короткое видео, где данная тема раскрыта более широко.
Протокол безопасной загрузки secure boot — Информатика, информационные технологии
Но самая главная особенность механизма UEFI, которая доставляет хлопоты пользователям, случается при переустановке Windows 8 на новом компьютере или ноутбуке. В БИОСе UEFI есть такой протокол безопасной загрузки «Secure Boot», основанный на специальных сертифицированных ключах, которые имеет только Windows 8 от Майкрософт и Майкрософт требует от всех производителей компьютеров и ноутбуков с предустановленной Windows 8 включение по умолчанию безопасного протокола загрузки «Secure Boot».
Имея в своём дистрибутиве такие ключи Windows 8 при своей установке на компьютер любого производителя успешно проходит протокол безопасной загрузки UEFI «Secure Boot», но ни одна из старых операционных систем Windows, а так же дистрибутивы Ubuntu или Linuxа таких ключей не имеют. Вот поэтому, если на вашем ноутбуке БИОС UEFI, то никакую другую операционную систему установить на такой ноутбук не получится, выход только один, отключить в UEFI опцию безопасной загрузки «Secure Boot»,
но тогда устанавливать нужную вам операционную систему вы будете на диск MBR и лишитесь всех преимуществ работы с жёстким диском имеющим стиль GUID (GPT).
Конечно у многих пользователей появятся мысли, что таким образом Майкрософт избавляется от конкурентов, но Майкрософт успешно парирует такие нападки объясняя, что интерфейс UEFI со всеми его протоколами и безопасными загрузками «Secure Boot» разработан в первую очередь для нашей с вами безопасности и с ним трудно не согласиться (о рутките, который способен записать в обычный БИОС свой код, я уже говорил в начале статьи).
Внимательные читатели могут спросить, а почему бы, всё тому же Linux не договориться с Майкрософт и производителями компьютеров и не заполучить эти самые ключи. Ответ я нашёл в блоге одного из разработчиков ядра Linux — Мэтью Гаррета (Matthew Garrett), Мэтью Гаррет: оказывается это трудно как физически (на это уйдёт уйма времени, так как нужно договориться сначала с Майкрософт, затем придётся договариваться с каждым производителем компьютеров отдельно), так и юридически (проблемы связаны с загрузчиком GRUB 2 лицензированном на условиях лицензии GPLv3).
Многие читатели интересуются, а можно ли сделать загрузочную флешку UEFI с операционной системой Windows 7?
Загрузочную флешку сделать можно (об этом у нас есть статья), но установить Windows 7 на ноутбук, где ранее была установлена Windows 8, вы не сможете, Windows 7 просто не пройдет один из протоколов проверки безопасной загрузки «Secure Boot».
Открою Вам секрет, недавно это у меня получилось, но только с ноутбуком ASUS, читайте статью как установить Windows 7 вместо Windows 8 прямо на диск GPT!
Скажу больше, даже если вы захотите переустановить на ноутбуке Windows 8, то это у вас получится только с той редакцией Windows 8, которая была установлена ранее на вашем ноутбуке. Обычно на ноутбуки производители устанавливают Windows 8 для одного языка (Windows 8 Single Language), так вот переустановить Windows 8 у вас получиться лишь в том случае, если вы раздобудите установочный диск с Windows 8 Single Language.
А установить на ваш ноутбук к примеру Windows 8. 1 Профессиональная на многих ноутбуках у вас просто так не получится, при установке выйдет ошибка «Введенный ключ продукта не соответствует ни одному из образов Windows».
Примечание: Если вы захотите сменить версию Windows 8, то есть переустановить установленную на вашем ноутбуке Windows 8 Single Language (для одного языка) к примеру на Windows 8 Профессиональная, это тоже можно сделать, но с ноутбуками некоторых производителей это просто так не получится и нужно будет изменить дополнительные файлы конфигурации, которые можно использовать в процессе установки Windows для указания ключа продукта и выпуска Windows, подробности в нашей статье Как переустановить Windows 8 на ноутбуке
Под конец статьи хочу сказать, что установить на новый ноутбук вместо Windows 8 другую операционную систему, к примеру Windows 7, можно, но как я уже и сказал, в БИОСе UEFI нам придётся отключить безопасный протокол загрузки «Secure Boot», как это сделать, вы можете прочитать в нашей статье Как установить на новый ноутбук Windows 7 вместо Windows 8.
Если же у вас простой стационарный компьютер, то установить Windows 7 вы можете не отключая в БИОСе UEFI опцию «Secure Boot», также читаем подробную статью Как установить Windows 7 на GPT-диск.
Читайте в следующей статье Как отключить безопасный протокол загрузки Secure Boot.
Статьи по этой теме:
1. Установка Windows 8 на GPT-диск компьютера с материнской платой ASUS с включенным UEFI.
2. Установка Windows 7 и Windows 8 на диск GUID (GPT) компьютера с материнской платой GIGABYTE с включенным UEFI
Статьи к прочтению:
Установка новой системы с жёсткого диска на компьютеры с Биос UEFI
Похожие статьи:
Загрузка операционной системы
Структура ОС Для понимания работы ОС необходимо уметь выделять основные части системы и их связи, т.е. описывать структуру системы. Для разных ОС их…
Ранспортные протоколы — tcp
UDP является простым протоколом и имеет определенную область применения. В первую очередь, это клиент-серверные взаимодействия и мультимедиа. Тем не…
Что такое безопасная загрузка?
Безопасная загрузка
Спецификация UEFI определяет механизм, называемый «Безопасная загрузка», для обеспечения целостности микропрограмм и программного обеспечения, работающих на платформе. Безопасная загрузка устанавливает доверительные отношения между UEFI BIOS и программным обеспечением, которое он в конечном итоге запускает (например, загрузчиками, ОС или драйверами и утилитами UEFI). После включения и настройки безопасной загрузки разрешается запуск только программного обеспечения или микропрограмм, подписанных утвержденными ключами. И наоборот, программное обеспечение, подписанное ключами из черного списка, не запускается.Таким образом, система может защититься от злонамеренных атак, руткитов и неавторизованных обновлений программного обеспечения, которые могут произойти до запуска ОС.
Механизм безопасной загрузки использует пары открытого и закрытого ключей для проверки цифровой подписи всего микропрограммного обеспечения и программного обеспечения перед выполнением. Прежде чем углубляться в подробности безопасной загрузки UEFI, давайте начнем с небольшого общего представления о цифровых подписях.
Цифровые подписи
Основная идея цифровой подписи состоит в создании пары ключей:
- Закрытый ключ, который должен храниться в секрете и защищаться отправителем.
- Открытый ключ, который может распространяться бесплатно.
Математическая корреляция между этой парой открытого и закрытого ключей позволяет проверить подлинность цифровой подписи сообщения. Для выполнения проверки необходим только открытый ключ, и сообщение можно проверить как подписанное закрытым ключом, даже не зная самого закрытого ключа.
Еще одна особенность этой пары открытый / закрытый ключ состоит в том, что нецелесообразно вычислять закрытый ключ из содержимого открытого ключа.Эта функция позволяет распространять открытый ключ без ущерба для закрытого ключа.
Наконец, сообщение не может быть подписано с использованием открытого ключа. Только закрытый ключ может правильно подписать сообщение. Это основной механизм, который технология цифровой подписи использует для проверки целостности сообщения без ущерба для деталей или содержимого закрытого ключа.
Сведения о безопасной загрузке
При таком понимании цифровых подписей технология «безопасной загрузки» UEFI состоит из набора ключей, разделенных на следующие категории:
- Ключ платформы (PK)
- Ключ обмена ключами (KEK)
- База данных белого списка (БД)
- База данных черного списка (DBX)
В системе с включенной и настроенной безопасной загрузкой каждый из этих элементов будет содержать открытые части пар открытого / закрытого ключей.Ключи используются для авторизации различных компонентов прошивки и программного обеспечения.
- Ключ платформы (PK) устанавливает доверительные отношения между владельцем платформы и микропрограммным обеспечением (UEFI BIOS) путем управления доступом к базе данных KEK. На каждую платформу приходится один ПК, и общедоступная часть ПК устанавливается в систему, как правило, во время производства на заводе-изготовителе. Частная часть PK необходима для изменения базы данных KEK.
- База данных ключей обмена ключами (KEK) устанавливает доверительные отношения между прошивкой и ОС.KEK состоит из списка открытых ключей, по которым можно проверить авторизацию на изменение базы данных белого списка (DB) или базы данных черного списка (DBX). На платформе может быть несколько ключей KEK. Частная часть KEK необходима для изменения DB или DBX.
- База данных белого списка (БД) — это список открытых ключей, которые используются для проверки цифровой подписи данной прошивки или программного обеспечения. Чтобы обсудить БД, предположим, что система загружается и собирается запустить загрузчик для выбора ОС для загрузки.Система проверит цифровую подпись загрузчика, используя открытые ключи в БД, и если этот загрузчик был подписан соответствующим закрытым ключом, то загрузчику разрешено выполнение. В противном случае он блокируется как несанкционированный.
- И наоборот, база данных черного списка (DBX) — это список открытых ключей, которые, как известно, соответствуют вредоносному или неавторизованному микропрограммному обеспечению или программному обеспечению. Любое программное обеспечение, подписанное соответствующим закрытым ключом из этой базы данных, будет заблокировано.
Trenton Systems Solutions
В Trenton Systems все защищенные компьютеры, процессорные платы и / или объединительные платы PCIe поставляются с технологией безопасной загрузки, которая имеет заводские конфигурации ключей по умолчанию, которые поддерживают все основные операционные системы и их загрузчики, включая Microsoft Windows и загрузчик оболочки Linux.
Имея на руках надлежащие закрытые ключи, конечные пользователи могут добавлять свои собственные ключи для авторизации (или блокировки) пользовательских операционных систем и загрузчиков для работы из среды безопасной загрузки.
По запросу клиента могут быть реализованы дополнительные настройки, включая изменение заводских ключей по умолчанию, обновление состояния безопасной загрузки по умолчанию и изменение баз данных белого и черного списков.
Дополнительная литература:
http://www.uefi.org/specifications
https: // www.rodsbooks.com/efi-bootloaders/secureboot.html
https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-secure-boot
https://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_boot
https://en.wikipedia.org/wiki/Digital_signature
Как включить / отключить безопасную загрузку в Windows 10, 8.1, 8, 7?
Вы когда-нибудь читали руководство по двойной загрузке вашего ПК и обнаруживали, что вам нужно отключить безопасную загрузку для достижения ваших целей? Да, безопасная загрузка — это современная функция безопасности, встроенная в Windows 10 (и Windows 8).
Итак, что такое безопасная загрузка?
Как следует из названия, безопасная загрузка предназначена для защиты процесса загрузки при запуске компьютера; его можно найти на новых ПК с прошивкой UEFI. Задача безопасной загрузки — предотвратить загрузку неподписанных драйверов и загрузчиков UEFI во время процесса запуска.
Это снижает вероятность несанкционированного доступа к вашему устройству в случае, если кто-то захочет украсть данные в ваше отсутствие. Однако функция безопасной загрузки также столкнулась с некоторой негативной реакцией, поскольку она не позволяет людям делать некоторые полезные вещи на своих машинах.Например, запуск двух операционных систем одновременно.
Но если вам не нужна эта функция, вы можете легко отключить безопасную загрузку на своем устройстве.
Как отключить безопасную загрузку в Windows 10, 8, 7?
Действия по отключению функции безопасной загрузки практически одинаковы для систем Windows 10 и Windows 8.
- Поиск Расширенный запуск в параметре поиска на панели задач Windows. Затем выберите Изменить дополнительные параметры запуска , как показано ниже на снимке.
- После того, как вы нажмете «изменить дополнительные параметры запуска», появится следующий экран. Вам просто нужно нажать Перезагрузить сейчас в расширенном запуске.
- Приведенная выше команда перезагрузит ваш компьютер в расширенном режиме, который имеет множество дополнительных параметров, позволяющих настроить Windows. Некоторые из расширенных параметров включают использование внешнего устройства, устранение неполадок Windows с помощью дополнительных параметров или перезагрузку компьютера и т. Д. Экран выглядит примерно так.Нажмите Устранение неполадок.
- Вы можете видеть выше, что у опции «Устранение неполадок» было две опции — Сбросить ваш компьютер и Расширенные опции. Итак, как только вы нажмете «Устранение неполадок», у вас появятся те же два варианта. Щелкните Дополнительные параметры , как показано ниже.
- Расширенные параметры выглядят примерно так (как показано ниже). Выберите Настройки прошивки UEFI.
- После того, как вы нажмете на настройки прошивки UEFI, она снова перезагрузит вашу систему или попросит вас перезагрузить систему.Итак, нажмите на перезагрузку на следующем экране. Однако этот перезапуск начнется в BIOS, и вы увидите другую настройку BIOS.
- Щелкните вкладку Security в настройках BIOS.
- С помощью стрелок вверх и вниз выберите и выберите безопасную загрузку , как показано на предыдущем изображении.
- Выберите параметр с помощью стрелок и измените безопасную загрузку с Включено на Отключено.
- Нажмите Enter.
- Сохраните вашу работу и выйдите.
Поскольку безопасная загрузка теперь отключена, вы можете легко загружать свои устройства с любого внешнего или неавторизованного устройства.
Теперь, если вы хотите знать, как включить безопасную загрузку, вы можете выполнить те же действия, что и выше, и изменить настройку безопасной загрузки на «Включено».
Что произойдет после отключения безопасной загрузки?
После того, как вы включите эту функцию безопасности, ваш компьютер не будет проверять, установлена ли у вас операционная система с цифровой подписью. Однако вы не почувствуете никакой разницы при использовании Windows 10 на своем устройстве.
Вот некоторые условия, которые будут разрешены на вашем ПК после отключения опции безопасной загрузки Windows:
- Загрузка Windows на вашем ПК с внешнего устройства, такого как USB или CD.
- Загрузка двух ОС, например Windows с Linux, Ubuntu или Fedora.
- Загрузка Windows с помощью средств восстановления пароля Windows
- Запуск предыдущих версий Windows и т. Д.
Нужно ли мне отключать безопасную загрузку для установки Windows 10?
Нет, отключать безопасную загрузку для установки Windows 10 не нужно.Фактически, функция безопасности уже предназначена для гарантии того, что ваша копия Windows, которую вы используете, пользуется доверием OEM и безопасна в использовании. Сохранение этой функции только поможет в этом.
Почему я не могу отключить безопасную загрузку на моем ПК?
Следует отметить, что на вашем ПК может не быть возможности отключить его, так как производитель ПК решает, хочет ли он добавить эту функциональность или нет. Поэтому, если вы не можете найти его на своем устройстве, обратитесь к производителю за поддержкой.
Итак, вот что мы знаем о безопасной загрузке и о том, как ее использовать. Если вам есть что добавить, оставьте свои мысли в комментариях ниже.
Страница не найдена
Моя библиотека
раз- Моя библиотека
Включить безопасную загрузку и TPM для Windows 11: руководство по BIOS!
youtube.com/embed/ldvAeRExT4w?enablejsapi=1&autoplay=0&cc_load_policy=0&cc_lang_pref=&iv_load_policy=3&loop=0&modestbranding=0&rel=0&fs=1&playsinline=0&autohide=2&theme=dark&color=red&controls=1&» title=»YouTube player» allow=»autoplay; encrypted-media» allowfullscreen=»» data-no-lazy=»1″ data-skipgform_ajax_framebjll=»»/>
Включение безопасной загрузки и TPM для Windows 11: руководство по BIOS!
Заявление об ограничении ответственности: мы можем получать небольшую комиссию через партнерские ссылки, это помогает поддерживать нас без дополнительных затрат для вас.
Спонсор — Воспользуйтесь нашей партнерской ссылкой для поклонников Noctua Redux на
AmazonUS: https: //amzn.to/3gV0dnk AmazonUK: https: //amzn.to/3xHz0KK
AmazonCA: https: //amzn.to/3tbOrHC AmazonIN : https: //amzn.to/33aFu6Z
Windows 11 требует дополнительной безопасности
С выпуском Windows 11 корпорация Майкрософт усилила защиту вашего ПК в современном онлайн-режиме и работе из дома, делая безопасность вашего ПК необходимостью. Два требования к ПК для установки Windows 11 заключаются в том, что в вашей системе должны быть включены TPM и безопасная загрузка.Сегодня мы рассмотрим обе настройки в BIOS, которые, возможно, потребуется включить, и это будет здорово, если вы последуете нашему руководству.
Мы будем делать это с MSI B550 Tomahawk, которая является платой AMD, и мы также протестировали с Intel z390 Tomahawk, b360 Gaming Arctic и более старым z270 XPower Gaming, и это работает со всеми этими моделями. Кстати, не забывайте быстро следить за нами в социальных сетях, подписываться и звонить, все это хорошее, и если вы попробовали собственное обновление или у вас есть вопросы, оставьте свои комментарии ниже.
Таким образом, это можно быстро и легко сделать в BIOS, выполнив несколько шагов, а также дать вам несколько советов по устранению неполадок, когда вы будете готовы установить Windows 11. Если вы делаете это сейчас, используйте другое устройство, например ноутбук. или телефон с этим видео сделает эту прогулку приятной и легкой.
Зачем нужно включать безопасную загрузку?
Итак, зачем Windows 11 эта дополнительная безопасность? Быстро, безопасная загрузка является частью UEFI, нового интерфейса между BIOS и ОС.Безопасная загрузка защищает от заражения вредоносными программами, в том числе загрузчиками. Более старый тип — CSM, поэтому сначала мы изменим интерфейс ОС на UEFI.
Trusted Platform Module или TPM — это встроенные микросхемы на большинстве материнских плат и ноутбуков корпоративного уровня, обеспечивающие безопасность оборудования с помощью ключей. Если вы купили компьютер после 2016 года, он должен иметь TPM 2.0, но если он старше, он может иметь TPM 1.2 или, возможно, вообще не иметь TPM.
Перед тем, как включить безопасную загрузку, установите UEFI
Итак, нажав «Удалить», чтобы войти в BIOS, мы перейдем в расширенный режим, нажав F7.В разделе «Настройки» выберите «Дополнительно», затем «Конфигурация ОС Windows». Убедитесь, что в BIOS установлен режим UEFI. Если это не так, вам нужно сначала изменить его на UEFI, затем нажать F10, чтобы сохранить и выйти. В немного более старых версиях BIOS это может быть указано как поддержка WHQL для Windows 10, а на более старых платах может быть строка поддержки WHQL для Windows 8.1 / 10, которую мы включим.
На этом этапе важно нажать F10, чтобы сохранить и перезапустить, и нажать «Удалить», чтобы вернуться в BIOS. Если вы попытаетесь установить ключи безопасной загрузки до того, как это сделать, в конце появится диалоговое окно «Сброс без сохранения», что поставит вас в петлю, когда в ОС Windows 10 по-прежнему выбран CSM, и это заблокирует включение безопасной загрузки.Так что сначала сохраните и перезапустите.
Кроме того, когда вы меняете CSM на UEFI, ваш компьютер может несколько раз перезагрузиться или несколько раз подать звуковой сигнал, но не POST. Если вы ждете 30 секунд, и на экране ничего не происходит, просто выключите источник питания, подождите 10 секунд, снова включите его, нажмите кнопку питания и снова нажмите «Удалить». Кстати, если вы пропустите нажатие «Удалить» и войдете в Windows, удерживая Alt и пару раз нажав F4, вы увидите окно «Завершение работы», нажмите стрелку вниз, чтобы выбрать перезапуск, нажмите «Ввод» и снова нажмите «Удалить», чтобы войти в BIOS.
Установите заводские ключи и включите безопасную загрузку
Теперь мы перезапустились с использованием UEFI, мы перейдем в Настройки… Дополнительно… Конфигурация ОС Windows, затем в Безопасную загрузку и нажмем Enter, и сначала мы установим ключи. Перейдя в режим безопасной загрузки, мы изменим режим со стандартного на пользовательский, после чего приведенные ниже параметры станут активными. Мы выберем Enroll all Factory Default Keys. Первый диалог подтверждает установку заводских ключей по умолчанию, а второй запросит сброс без сохранения. Вы можете нажать «Нет», но вам может потребоваться «Сохранить» и выйти, если у вас возникнут проблемы с выполнением следующего шага.
Теперь, когда ключи установлены, мы можем выбрать Secure Boot и выбрать Enabled.
Включите TPM и посмотрите статус BIOS
Нажав несколько раз клавишу Escape, мы вернемся в главное меню настроек, и теперь мы выберем «Безопасность…», а затем «Надежные вычисления», а затем поставим «Поддержка устройств безопасности» на «Включено» . Мы не увидим обновления в информации о статусе, пока не нажмем F10, чтобы сохранить конфигурацию и выйти, что мы и сделаем сейчас.
Если вы хотите проверить, что вы сделали, чтобы увидеть новую информацию о состоянии, нажмите «Удалить» в BIOS и вернитесь в «Настройки… Безопасность… Надежные вычисления», вы должны увидеть информацию о состоянии со списком TPM 2.0 как активный.
Проверка Windows: Включить безопасную загрузку сработало?
Мы загрузимся в Windows и сможем проверить, работает ли TPM, нажать на поиск, ввести tpm.msc и нажать Enter. В статусе будет указано готово к использованию, а в среднем столбце, если вы прокрутите вправо, будет указана версия спецификации, равная 2.0.
Так как же узнать, работает ли безопасная загрузка в Windows? Просто нажмите «Поиск», введите «msinfo» и нажмите Enter. В середине списка вы увидите «Состояние безопасной загрузки» с надписью «Вкл.».
Вы можете узнать, готовы ли вы к Windows 11, в поиске или в браузере, выполнив «Обновление до новой ОС Windows 11». Если вы нажмете Ctrl + F, чтобы найти, начните вводить «Загрузить», а затем нажмите «Загрузить приложение». Запустите его, примите, установите и затем Готово. Корпорация Майкрософт работает над этой проверкой работоспособности ПК на момент выпуска, но мы нажали «Проверить сейчас» и получили зеленую галочку.
С включенной безопасной загрузкой и TPM вы должны быть готовы к работе с Windows 11. Этот инструмент проверки работоспособности ПК дал ложные отрицательные результаты и действительно ничего не сказал вам, что вам нужно исправить, так что надеемся, что Microsoft скоро выпустит лучшую версию.Не забывайте, что ПК старше 5 лет или ноутбуки без TPM 2.0 могут иметь проблемы при попытке обновления до Windows 11.
Так что это не было слишком сложно, и, надеюсь, это помогло вам быть в безопасности и подготовиться, и если вы думаете, Что касается материнской платы AMD или другой материнской платы, переход по нашим партнерским ссылкам ниже в магазин поможет нам без каких-либо дополнительных затрат для вас. И подписывайтесь на нас в Twitter, Instagram и Facebook на techspinreview, и у нас есть сообщения на techspinreview.com.
Нужна MSI B550 Tomahawk или другая материнская плата? Перейдите по нашим партнерским ссылкам для:
AmazonUS: https: // amzn.to / 3zJTrXO AmazonUK: https://amzn.to/2WosOJn
AmazonCA: https://amzn.to/3iYGClo AmazonIN: https://amzn.to/3x9cwRo
У нас есть технические обзоры на канале, поэтому обязательно проверьте и их, и спасибо Noctua за то, что они были нашим спонсором этого выпуска, с обширной линейкой вентиляторов с высоким статическим давлением, идеально подходящих для охлаждения вашей установки, проверьте их по ссылкам выше.
Нам интересно услышать то, что вы хотите увидеть в рецензии, дайте нам знать, и мы постараемся это сделать. И оставьте свои лучшие вступительные строки эпизода, и мы можем просто выбрать вашу в следующий раз.Пожалуйста, найдите секунду, чтобы посетить наше видео на YouTube, нажать «Мне нравится», подписаться и сообщить нам, как мы можем улучшить. Мы читаем и отвечаем на множество комментариев, поэтому, если у вас есть вопросы или мы что-то упустили, сообщите нам об этом ниже. Мы очень ценим ваше время и увидимся в следующий раз. А сейчас до свидания!
Посмотреть другие обзоры продуктов MSI, материнских плат / процессоров, корпусов ПК
Как включить TPM и безопасную загрузку в Windows 10
Одно из преимуществ, о котором Microsoft постоянно говорит в Windows 11, — это безопасность.Microsoft утверждает, что благодаря TPM 2.0 и безопасной загрузке вы можете воспользоваться «безопасностью, подкрепленной аппаратным корнем доверия». Это также одна из причин спорных минимальных требований к оборудованию для Windows 11 от Microsoft.
К сожалению, минимальные требования к оборудованию также оставляют ПК с процессорами Intel 7-го поколения или AMD Ryzen серии 1000 или более ранними в пыли и неспособны работать с Windows 11. Но это не значит, что у вас не может быть хорошей безопасности в Windows 10.
Ваш компьютер, скорее всего, уже имеет TPM и безопасную загрузку, которые могут защитить вас от хакеров и других угроз безопасности.Вот почему мы составили это руководство о том, как вы можете включить функции в Windows 10, чтобы обеспечить безопасность вашего ПК.
Примечание о TPM и безопасной загрузке
Перед тем, как перейти к нашим практическим рекомендациям, мы расскажем немного больше о TPM и безопасной загрузке. TPM — это сокращение от Trusted Platform Module. Между тем, безопасная загрузка гарантирует, что ваш компьютер загружает только надежные операционные системы.
TPM — это, по сути, микросхема на материнской плате вашего компьютера, которая хранит информацию о безопасности на вашем ПК, чтобы помочь сделать его защищенным от несанкционированного доступа. TPM хранит криптографические ключи, биометрические данные и может обеспечивать целостность системы, измеряя и записывая загрузочный код при включении компьютера. TPM существует с эпохи Windows 7 и немного эволюционировал с разными версиями. TPM 2.0 — это то, что требуется для Windows 11, но на других компьютерах может быть TPM 1.2, который обрабатывает некоторые из тех же мер безопасности, которые мы только что описали.
Что касается безопасной загрузки, это функция, которая помогает убедиться, что ваше устройство будет загружаться только с использованием программного обеспечения, которому доверяет производитель вашего ноутбука.Это делает так, чтобы ваш компьютер не загружался с USB-устройств, на которых установлены ненадежные операционные системы. Эта функция часто отключается, когда люди загружают несколько операционных систем, но лучше оставить ее включенной, если вы используете только Windows.
Безопасная загрузка
Во-первых, мы начинаем с безопасной загрузки. Вы можете проверить, включена ли на вашем компьютере безопасная загрузка, перейдя в меню «Пуск» и набрав msinfo32 , а затем нажав клавишу ВВОД.Откроется страница с информацией о системе, поэтому нажмите Сводная информация о системе слева. Оттуда посмотрите в среднюю правую часть экрана. Если Secure Boot State читает Off , то безопасная загрузка доступна, но отключена.
Чтобы включить безопасную загрузку, вам нужно зайти в настройки UEFI ПК. Имейте в виду, что современные ПК имеют настройки UEFI вместо BIOS, но мы говорим здесь о UEFI, чтобы упростить задачу. Ваши действия также могут отличаться в зависимости от производителя ПК, поэтому не забудьте проверить в Интернете на веб-сайте производителя вашего ПК инструкции по поддержке.Ознакомьтесь с нашими шагами ниже для получения инструкций по доступу к BIOS или UEFI из Windows 10.
- В настройках Windows 10 перейдите по ссылке Update and Security, , затем Recovery , затем Advanced Startup.
- Нажмите Перезагрузить сейчас .
- Когда компьютер перезагрузится, перейдите к Устранение неполадок , затем выберите Дополнительные параметры , а затем Настройки прошивки UEFI.
- Теперь вы попадете в настройки UEFI вашего ПК.Вам нужно будет найти настройку безопасной загрузки. Обычно он находится под Security или Boot or Authentication .
- Включите безопасную загрузку, сохраните и примените настройки с помощью указанной комбинации клавиш.
- Перезагрузите компьютер.
После изменения настройки вы можете вернуться в Windows 10 и дважды проверить, включена ли безопасная загрузка. Следуйте нашим инструкциям во введении к этому разделу, чтобы перепроверить. Если безопасная загрузка по-прежнему не включена, вы можете посетить страницы поддержки производителя вашего ПК для получения помощи.
TPM
Теперь о второй части. Вы можете проверить, есть ли на вашем компьютере TPM, выполнив поиск Windows Security в меню «Пуск». В результатах щелкните приложение безопасности Windows. На боковой панели открывшегося приложения щелкните Device Security . Затем вы можете найти в списке Security Processor . Если вы видите зеленую галочку над процессором безопасности , то все готово. Если нет, следуйте нашим инструкциям ниже.
- Перезагрузите компьютер
- Войдите в настройки UEFI, выполнив действия, описанные в разделе «Безопасная загрузка» выше.
- Посмотрите раздел о безопасности
- Найдите TPM Security или TPM Device и убедитесь, что оно включено или включено. Если он отключен, снова включите его.
- Сохраните и примените настройки с помощью указанной комбинации клавиш
- Выйдите и перезагрузите компьютер
Ранее мы говорили о TPM 2.0 и всех его требованиях в отдельном посте. Так что, если вы все еще в замешательстве, прочтите это. Мы рассмотрели множество способов включить TPM 2.0 на вашем устройстве. Также имейте в виду, что Windows иногда может выдавать ложные срабатывания TPM.TPM 1.2 существует на некоторых старых компьютерах, но Microsoft требует TPM 2.0. Если вы включили TPM, но по-прежнему не можете получить Windows 11, то вот почему.
Центр обеспечения безопасности Windows
Наряду с TPM и безопасной загрузкой вы можете также проверить Центр безопасности Windows в Windows 10. Этот центр предлагает некоторые встроенные средства защиты. Это бесплатно, и вам не нужно доплачивать или подписываться на него.
Некоторые исследователи даже обнаружили, что Windows Security Center предлагает очень хорошую защиту от вредоносных программ, шпионского ПО и других угроз безопасности.Он не так хорош, как некоторые сторонние варианты, но достаточно силен для самых основных угроз.
Центр обеспечения безопасности Windows можно получить в Windows 10, выполнив поиск в меню «Пуск». В открытом состоянии вы можете проверить под Защита от вирусов и угроз , чтобы увидеть любые угрозы или запустить сканирование. Microsoft всегда обновляет аналитику безопасности в Центре безопасности Windows, чтобы вы были защищены от новейших угроз. Вы также сможете включить защиту в реальном времени, чтобы загруженное вредоносное ПО не запускалось, и облачную защиту, чтобы обеспечить более быструю защиту.Вы даже можете включить контролируемый доступ к папкам, чтобы убедиться, что в случае взлома вашего компьютера программой-вымогателем важные папки не будут доступны для самой программы-вымогателя.
Все еще безопасно, даже если вы не можете установить Windows 11
Если вы не можете перейти на Windows 11, не о чем беспокоиться. Хотя Windows 11 разработана для самой безопасной на сегодняшний день Windows, Windows 10 по-прежнему остается очень безопасной операционной системой для дальнейшего использования. Microsoft будет поддерживать его до 2025 года. И даже с безопасной загрузкой и базовым TPM 1.2, ваш компьютер по-прежнему считается безопасным, если у вас включен антивирус или Защитник Windows.
Поделиться этим сообщением:
Управление загрузчиками EFI для Linux: работа с безопасной загрузкой
Управление загрузчиками EFI для Linux: работа с безопасной загрузкойПервоначально написано: 04.11.2012; последнее обновление: 3/11/2021
Эта веб-страница предоставляется бесплатно и не раздражает внешняя реклама; однако я потратил время на его подготовку, а веб-хостинг стоят денег.Если вы найдете эту веб-страницу полезной, рассмотрите возможность создания небольшое пожертвование, чтобы помочь этому сайту работать. Спасибо!
Пожертвовать $ 1,00 | Пожертвовать $ 2,50 | Пожертвовать $ 5.00 | Пожертвовать $ 10.00 | Пожертвовать другое значение |
Эта страница является частью моего раздела Управление загрузчиками EFI для Linux. Если поиск в Интернете привел вас на эту страницу, вы может захотеть начать с самого начала.
Помимо реализации нового протокола загрузки, UEFI добавляет новую функцию, которая может повысить безопасность системы, но которая также может вызвать большую путаницу и проблемы: Secure Boot. Как следует из названия, безопасная загрузка предназначена для обеспечения безопасности. Однако по самой своей природе безопасная загрузка также может затруднить загрузку Linux, особенно на обычных ПК, которые поставляются с предустановленной Windows. На этой странице представлен обзор того, что такое безопасная загрузка и как на нее реагирует сообщество Linux.Хотя безопасная загрузка развивается медленнее, чем в конце 2012 года, когда я впервые написал эту страницу, это все еще динамичная область. Другими словами, все могло измениться!
Что такое безопасная загрузка?
На протяжении десятилетий компьютеры заражались вирусами, червями и другими вредоносными программами. Некоторые из самых ранних вирусов для ПК распространялись как вирусы загрузочного сектора : Они находились в виде кода в загрузочных секторах дискет и распространялись с одного компьютера на другой, когда пользователи загружали свои компьютеры с зараженных дискет DOS.Хотя другие способы передачи вирусов приобрели известность по мере того, как дискеты стали менее важными, а подключение к Интернету стало обычным явлением, предзагрузочные вредоносные программы всегда привлекали авторов вредоносных программ. Выполняясь до того, как ядро ОС получит контроль над компьютером, вредоносная программа может «спрятаться» способами, которые невозможны после того, как ОС взяла на себя управление, что делает практически невозможным для антивирусных сканеров обнаружение вредоносного ПО — по крайней мере, без перезагрузка в незараженную систему экстренной помощи.
BIOS обеспечивает небольшую защиту от заражения предзагрузочным вредоносным ПО; в пути загрузки BIOS ОС неявно доверяет всему, что выполняется в качестве загрузчика.До конца 2012 года это относилось и к большинству производственных реализаций EFI. Безопасная загрузка, тем не менее, предназначена для добавления уровня защиты к процессу предварительной загрузки. При активной безопасной загрузке микропрограммное обеспечение проверяет наличие криптографической подписи в любой программе EFI, которую она выполняет. Если криптографическая подпись отсутствует, не соответствует ключу, хранящемуся в NVRAM компьютера, или занесена в черный список в NVRAM, микропрограмма отказывается выполнять программу. Конечно, это просто начало процесса; доверенный загрузчик EFI должен продолжить процесс загрузки безопасным образом, что в конечном итоге приведет к созданию безопасной операционной системы.Автору вредоносного ПО потребуется подписать вредоносное ПО, что будет затруднительно, если пользователи будут контролировать свои собственные системные ключи (безопасным способом!). Таким образом, можно заблокировать предзагрузочную вредоносную программу. Есть много способов, чтобы что-то пошло не так на более высоких уровнях цепочки, но безопасная загрузка, по крайней мере, обеспечивает основу для защиты компьютера в целом — по крайней мере, теоретически!
Описание безопасной загрузки в спецификации UEFI не предоставляет никакого механизма для создания сети доверия для ее ключей. Основываясь только на спецификации UEFI, можно было подумать, что безопасная загрузка будет реализована для каждого сайта; администраторы сайта могут подписывать загрузчики , которые они используют, , тем самым блокируя авторов вредоносных программ.Однако Microsoft включила в свою программу сертификации Windows 8 для настольных и портативных компьютеров требование, согласно которому поставщики поставляют компьютеры с включенной безопасной загрузкой. На практике это означает, что поставщики должны включать ключи Microsoft на свои компьютеры, и, если поставщики не включают другие ключи, будут работать только загрузчики, подписанные Microsoft.
К счастью, все не так плохо, как может показаться. Microsoft сотрудничает с Verisign для управления подписью загрузчика. Любой может заплатить 99 долларов Verisign, чтобы получить средства для подписи неограниченного числа двоичных файлов с помощью ключа Microsoft — или, точнее, ключа, который Microsoft использует для подписи сторонних двоичных файлов.(Microsoft использует другой ключ для подписи своих двоичных файлов.) Кроме того, для Windows 8 Microsoft требовала, чтобы компьютеры x 86 и x 86-64 предоставляли средства для полного отключения безопасной загрузки, давая пользователям контроль над процессом. (Пользователям ARM не так повезло; Microsoft требует, чтобы безопасную загрузку можно было отключить , а не в системах ARM с логотипом Windows 8.) Для Windows 10 Microsoft опустила это требование до статуса предложения; но насколько мне известно, все производители продолжают разрешать пользователям отключать безопасную загрузку на своих компьютерах x 86-64.Для тех, кому интересно, эта страница ALT Linux описывает процесс подписания двоичного файла Microsoft в мучительных подробностях.
Первоначальное публичное обсуждение этих вопросов было инициировано публикацией в блоге Мэтью Дж. Гарретта, в то время разработчика Red Hat, в сентябре 2011 года. Большая часть первоначального обсуждения на веб-форумах и других общественных местах было откровенно паническим, и даже год спустя я видел редкие перегруженные посты. К началу 2015 года истерия утихла и сменилась комбинацией разочарования, когда пользователи сталкиваются с проблемами, и реальных знаний об обходных путях и даже способах использования безопасной загрузки для собственной выгоды.Как описано на этой странице, есть как минимум три способа справиться с безопасной загрузкой: отключить ее, использовать предварительно подписанный загрузчик или использовать свои собственные ключи. (Последний из этих вариантов достаточно сложен, поэтому я посвящаю этой теме целую страницу, Управление безопасной загрузкой, а не просто упоминаю об этом на этой странице.)
Отключение безопасной загрузки
Если вы не уверены, что безопасная загрузка улучшит безопасность вашей системы, или если она просто вызывает у вас слишком много проблем, вы можете полностью отключить эту функцию.Учитывая тот факт, что большинство вредоносных программ нацелено на Windows, этот подход наиболее разумен для компьютеров, на которых не работает Windows. Для этого вам должно быть комфортно перемещаться по экранам настройки вашей прошивки. К сожалению, нет стандартизации в том, где могут быть расположены параметры безопасной загрузки или как они могут называться; поэтому я не могу предоставить процедуру, которая будет работать на каждом компьютере. Вместо этого я описываю варианты на нескольких принадлежащих мне компьютерах, которые поддерживают безопасную загрузку: материнская плата ASRock FM2A88M Extreme4 +, материнская плата ASUS P8H77-I, мини-настольный компьютер HP EliteDesk 705, мини-настольный компьютер Intel NUC DC53427, Lenovo IdeaPad. Портативный компьютер U530 Touch, материнская плата MSI A88X-G43 и портативный компьютер Samsung Notebook 7 Spin.Я представляю здесь подробности всех этих систем в надежде, что одна из них будет достаточно похожа на все, с чем вы сталкиваетесь, чтобы быть полезной. Большинство этих инструментов работают аналогичным образом, несмотря на значительные различия в их графике — вы находите меню (обычно называемое «Загрузка» или «Безопасность»), в котором существует опция для включения или отключения безопасной загрузки, и отключаете ее. Иногда, тем не менее, иногда необходимо установить другой параметр, прежде чем это можно будет сделать; а иногда имена достаточно различаются, чтобы создать путаницу.
Отключение безопасной загрузки на материнской плате ASRock FM2A88M Extreme4 +
Первым шагом к отключению безопасной загрузки на любом компьютере является обнаружение того, как войти в служебную программу настройки микропрограммы.Эта материнская плата, в отличие от некоторых, предлагает при загрузке приглашение нажать F11 для этого, после чего вас приветствует красочный главный экран настройки. Используя клавиатуру или мышь, вы должны выбрать вкладку Безопасность, после чего появится экран, показанный здесь:
Чтобы отключить безопасную загрузку, нажмите кнопку «Включено» в центре экрана. После этого вы сможете выбрать «Включено» или «Отключено»; выберите последнее. Как только это будет сделано, выберите вкладку «Выход» и выберите вариант выхода с сохранением изменений.
Отключение безопасной загрузки на материнской плате ASUS P8H77-I
Материнская плата ASUS P8H77-I позволяет войти в программу настройки, нажав Del или F2 во время запуска. По умолчанию материнская плата загружается в так называемом режиме EZ, , но чтобы отключить безопасную загрузку, вы должны сначала нажать F7, чтобы войти в расширенный режим (если, конечно, вы уже не изменили это значение по умолчанию). После этого вы можете щелкнуть вкладку Boot и затем прокрутить вниз примерно до середины списка параметров (который, вероятно, будет прокручиваться — обратите внимание на полосу прокрутки на снимке экрана), где вы увидите элемент под названием Secure Загрузите, , как показано ниже.(Ранние версии микропрограммы этой модели называли ее Security Boot Parameters .)
Выбор опции Secure Boot открывает другое меню, в котором вы выбираете OS Type — ASUS, кажется, думает, что безопасная загрузка — это функция только для Windows, поэтому безопасная загрузка включена, когда OS Type установлен на Режим Windows UEFI и отключен, когда он установлен на Другая ОС. (более ранние версии этой прошивки использовали Other Legacy и UEFI для отключения безопасной загрузки.)
После внесения изменений нажмите клавишу F10, чтобы сохранить их и перезагрузиться.
Отключение безопасной загрузки на настольном мини-компьютере Hewlett-Packard EliteDesk 705
HP EliteDesk 705 имеет одну из наиболее необычных систем конфигурации безопасной загрузки, которые я когда-либо видел, хотя я слышал о некоторых, более причудливых, по крайней мере, в их пользовательских интерфейсах. Для начала вы нажимаете клавишу Esc при включении или перезагрузке, чтобы отобразить меню запуска HP , , как показано здесь:
В этом меню нажатие клавиши F10 приводит к входу в служебную программу настройки компьютера, имеющую текстовый «графический интерфейс», которым вы управляете с помощью клавиш курсора.В этом меню выберите Security -> Secure Boot Configuration, , после чего появится следующий экран:
Как и следовало ожидать, вам следует найти параметр Secure Boot в поле Secure Boot Configuration и установить для него значение Disabled. На этом этапе вы должны нажать клавишу F10, чтобы принять ваши изменения! Если вы нажмете клавишу Esc, ваши изменения будут проигнорированы. Затем необходимо выбрать Файл -> Сохранить изменения и выйти из , чтобы применить новые настройки.Каждый раз, когда вы вносите изменения в конфигурацию безопасной загрузки, HP создает еще одно препятствие: при перезагрузке системы она запрашивает подтверждение, как показано здесь:
В этом примере вы должны ввести 8023, а затем нажать клавишу Enter; код отображается вам на экране.
Отключение безопасной загрузки на настольном мини-компьютере Intel NUC DC53427HYE
Intel NUC DC53427HYE использует клавишу F2 в качестве сигнала для входа в служебную программу настройки. Как и многие современные компьютеры, эта программа настройки представляет собой красочный графический интерфейс (или, по крайней мере, может быть; она также поддерживает более традиционный вариант «Классического режима»).Главный экран графического интерфейса пользователя выглядит так:
В этом главном меню необходимо выбрать Advanced Setup -> Boot, , затем щелкнуть вкладку Secure Boot . В результате дисплей выглядит так:
В графическом интерфейсе встроенного ПО NUC используется флажок для включения или отключения безопасной загрузки; вы должны снять отметку с опции Secure Boot , чтобы отключить ее. После этого рядом с флажком появится красная звездочка, означающая несохраненное изменение конфигурации.Когда вы нажимаете Exit, прошивка спросит, хотите ли вы сохранить изменения; вы должны ответить Да (Y) .
Отключение безопасной загрузки на ноутбуке Lenovo IdeaPad U530 Touch
Lenovo U530 имеет пользовательский интерфейс микропрограммы, который больше напоминает традиционную утилиту настройки BIOS, чем интерфейсы других компьютеров, описанных здесь. Чтобы войти в него, вы можете нажать клавишу Fn + F2 во время загрузки компьютера. После входа в служебную программу настройки используйте клавишу со стрелкой вправо, чтобы выбрать вкладку «Безопасность».Результат выглядит так:
Параметр «Безопасная загрузка» четко обозначен, и его легко изменить с «Включено» на «Отключено» с помощью стрелок и клавиш Enter. Когда вы закончите, нажмите Fn + F10, чтобы сохранить изменения и выйти.
Отключение безопасной загрузки на материнской плате MSI A88X-G43
Чтобы войти в утилиту настройки прошивки в MSI A88X-G43, вы нажимаете клавишу Delete во время запуска системы. В результате получился необычно яркий инструмент. С помощью клавиатуры или мыши выберите большой элемент Настройки в левой части экрана.Это дает серию меню в центре. В этих меню выберите Advanced -> Конфигурация Windows 8 / 8.1 -> Secure Boot -> Secure Boot Support. Итоговый экран выглядит так:
Когда вы выбираете опцию Secure Boot Support , вы можете установить для нее значение Enabled or Disabled. Как только вы это сделаете, используйте клавишу Esc для выхода из меню в верхнее меню Настройки , из которого вы можете выбрать Сохранить и выйти, , который, в свою очередь, представляет различные варианты выхода.Вы должны выбрать вариант сохранения изменений и перезагрузки.
Отключение безопасной загрузки на ноутбуке Samsung Notebook 7 Spin (740U5M-X01)
Ноутбук Samsung Notebook 7 Spin (он же Samsung 740U5M-X01) имеет систему настройки прошивки, которая напоминает сенсорный пользовательский интерфейс Windows 8 и более поздних версий. По этому пользовательскому интерфейсу лучше всего перемещаться через сенсорный экран компьютера или с помощью более традиционной сенсорной панели или мыши, которую вы подключаете к USB-порту. Работа с клавиатурой возможна, но меня это сбивает с толку.
С логической точки зрения отключение безопасной загрузки в этой модели во многом похоже на выполнение этой работы на любом другом компьютере — выберите меню загрузки (в левой части экрана), чтобы открыть параметры, в том числе один под названием «Управление безопасной загрузкой». Как только вы отключите эту опцию, появится новая строка опций, Выбор режима ОС. Вы можете выбрать CSM OS, UEFI OS или CSM и UEFI OS. Как правило, я рекомендую использовать ОС UEFI, так как этот параметр должен отключить CSM, который является способом загрузки ОС в режиме BIOS.(См. Мою страницу в CSM для получения подробной информации по этому вопросу.) Вопреки тому, что вы могли подумать, установка CSM OS приводит к полной блокировке загрузчиков режима EFI , а не ; Я все еще мог загружать ОС в режиме EFI с этим набором параметров. Предположительно, этот параметр регулирует предпочтение загрузчиков режима BIOS по сравнению с вариантом ОС CSM и UEFI, но я не изучал этот вопрос подробно.
После того, как вы отключили безопасную загрузку таким образом, выберите «Сохранить» в полосе параметров в правой части экрана.Компьютер запросит подтверждение. Как только вы его дадите, компьютер перезагрузится.
Последние мысли об отключении безопасной загрузки
Конечно, если у вас нет одного из этих конкретных компьютеров или компьютера с почти идентичной реализацией UEFI, скорее всего, вы не увидите меню, точно подобных тем, которые я только что описал. К счастью, большинство из них довольно просты, как эти. Несколько пугающих предупреждений на красном фоне появляются при попытке отключить безопасную загрузку.Я видел отчеты людей, которым не удавалось найти параметры безопасной загрузки, но я не знаю, было ли это из-за того, что их компьютеры особенно хорошо их скрывали, или потому, что они действительно отсутствовали. Обратите внимание, что параметры иногда не отображаются, пока вы не настроите другие параметры определенным образом. Плата ASUS должна войти в режим Advanced Mode — один из примеров этого. Суть в том, что вам, возможно, придется покопаться в нескольких меню и попробовать связанные параметры, чтобы найти параметры безопасной загрузки.
Большинство дистрибутивов Linux устанавливаются нормально с активной безопасной загрузкой.Сценарии, в которых наиболее целесообразно отключить безопасную загрузку, включают следующие:
- Вы используете меньший дистрибутив, которому не хватает средств для подписания собственной версии Shim или который философски против этого. Вы по-прежнему можете использовать безопасную загрузку с такими дистрибутивами, но вам нужно будет установить Shim или PreLoader или изменить стандартный набор ключей материнской платы; и вам может потребоваться подписать загрузчик и ядра.
- Вы хотите использовать несколько дистрибутивов в режиме мультизагрузки.В такой ситуации вам нужно либо использовать встроенный диспетчер загрузки вашей прошивки, чтобы переключить используемую оболочку Shim и загрузчик, либо установить ключи, связанные по крайней мере с одним из ваших дистрибутивов — оба неудобства.
- Реализация безопасной загрузки вашего компьютера просто не работает с оболочкой Shim или другим подписанным загрузчиком, поставляемым с вашим дистрибутивом. Это вызывает сбой безопасной загрузки, который может проявляться как загрузка прямо в Windows, сообщение об ошибке или даже зависание системы до появления загрузчика.Эту проблему часто можно обойти, переключившись на другую программу Shim, но это требует дополнительных усилий и может потребовать регистрации нового ключа.
- Вам необходимо установить инструменты, которые вы впоследствии подпишете или зарегистрируете, как описано в следующих разделах. В этом случае отключение безопасной загрузки является временным.
Использование подписанного загрузчика
Использование загрузчика, подписанного ключом Microsoft, — самый простой и наиболее прямой подход к загрузке с активной безопасной загрузкой; однако это также наиболее ограничивающий подход.В зависимости от того, какой подписанный загрузчик вы используете, вам придется иметь дело с подтверждением времени загрузки всякий раз, когда вы пытаетесь загрузить неподписанный загрузчик или ограничиваться в том, какие ОС и ядра вы можете загружать. По состоянию на начало 2021 года мне известны два подписанных загрузчика, предназначенных для использования с Linux: программа Fedora Shim (которая также используется Ubuntu, SUSE, Sabayon, ALT и другие) и PreLoader Linux Foundation. На момент написания статьи доступно несколько подписанных версий Shim, а также, по крайней мере, одна подписанная версия PreLoader.Я также описываю, как проверить подписанную подпись загрузчика, чтобы убедиться, что это именно то, что вы думаете.
PreLoader работает, вычисляя хэш последующего двоичного файла и проверяя, хранится ли этот хеш в базе данных, хранящейся в NVRAM. Shim, напротив, изначально работал, проверяя, был ли двоичный файл подписан криптографическим ключом; но последние версии поддерживают как этот метод, так и те же типы хэшей, которые использует PreLoader. Таким образом, Shim — более гибкий инструмент. Он также более доступен в обновленных и подписанных формах.Использование хэшей может быть полезным, если вы хотите запускать двоичные файлы, которые еще не были подписаны (например, те, которые вы компилируете самостоятельно, или те, которые предоставлены сопровождающим дистрибутива, который не подписывает свои двоичные файлы). С другой стороны, использование хешей требует, чтобы вы регистрировали хеш каждого неподписанного двоичного файла, который вы хотите запустить, потенциально включая каждое ядро и модуль ядра. Это может быть проблемой, и именно здесь двоичные файлы, подписанные ключами, становятся лучше, поскольку вам придется регистрировать каждый ключ не более одного раза.Поскольку Shim более гибок и более доступен в текущей подписанной форме, Shim обычно является предпочтительной программой.
Использование программы регулировочных прокладок
В идеале Shim прост в использовании, и в этом случае вам нужно только прочитать раздел «Начальная настройка Shim» — и вы даже можете игнорировать части этого раздела. Однако, если у вас есть более сложные потребности или вы столкнетесь с проблемами, вам может потребоваться знать, как подписывать свои собственные двоичные файлы и проверять свои или чужие двоичные файлы.
Первоначальная установка регулировочной шайбы
Чтобы соответствовать целям безопасной загрузки, загрузчик Linux должен обеспечивать аутентификацию ядра Linux, а дистрибутив Linux должен обеспечивать дополнительные меры безопасности в ядрах, которые он предоставляет.К сожалению, эти цели идут вразрез с философией свободы открытого исходного кода и пользовательского контроля над своими компьютерами. Таким образом, решение безопасной загрузки для Linux должно сбалансировать эти две цели. Fedora разработала свою программу Shim именно для этого. Это достигается за счет поддержки трех разных типов ключей (или хэшей в последних версиях):
- Ключи безопасной загрузки —Shim распознает ключи, которые встроены в микропрограммное обеспечение или которые пользователи создают сами (как подробно описано на моей следующей странице, Управление безопасной загрузкой).
- Shim keys —Shim может быть дополнительно скомпилирован со своим собственным встроенным ключом, который принимает ту же форму, что и ключ безопасной загрузки, но не зарегистрирован во встроенном ПО. Поставщик распространения может подписывать свой собственный загрузчик и ядра с помощью этого ключа, что позволяет быстро подписывать эти важные элементы, чтобы не задерживать выпуск обновлений, ожидая, пока Microsoft их подпишет.
- MOK —A Ключ владельца машины (MOK) — это тип ключа, который пользователь создает и использует для подписи двоичного файла EFI.Смысл MOK — дать пользователям возможность запускать локально скомпилированные ядра, загрузчики, не поставляемые разработчиком дистрибутива, и так далее. Самая ранняя версия Shim (0.1) не поддерживала MOK, но они работают с версией 0.2 программы. MOK хранятся в энергонезависимой памяти и могут храниться только в ограниченных условиях, поэтому их нелегко установить вредоносными программами. Конечно, возможность использовать MOK создает определенный риск — если вас обманом заставят зарегистрировать MOK, предоставленный вам автором вредоносного ПО, ваш компьютер станет уязвимым для атак, запущенных этим автором вредоносного ПО.
Весь смысл безопасной загрузки заключается в том, чтобы предотвратить получение вредоносными программами контроля над компьютером. Поэтому при загрузке с активной безопасной загрузкой Fedora 18 и новее, Ubuntu 16.04 и новее и, возможно, другие дистрибутивы ограничивают действия, которые некоторые пользователи Linux воспринимают как должное. Например, модули ядра Linux должны быть подписаны, что затрудняет использование сторонних драйверов ядра, таких как проприетарные видеодрайверы Nvidia и AMD / ATI. Более свежие ядра могут, если безопасная загрузка активна, также проверять, были ли они запущены из загрузчика, поддерживающего безопасную загрузку, и завершать работу, если это не так.(Эта проверка может предотвратить использование ELILO, SYSLINUX или других загрузчиков, которые не поддерживают безопасную загрузку, даже если сам загрузчик подписан.) Чтобы запустить локально скомпилированное ядро, вы должны подписать его с помощью MOK и зарегистрируйте этот MOK в системе. (В обоих случаях вы можете зарегистрировать хэш, а не подписывать двоичный файл; но этот подход приводит к постоянно растущей базе данных в NVRAM, что нежелательно.) Степень таких ограничений полностью зависит от тех, кто разрабатывает и подписывает загрузку. загрузчик, запускаемый Shim, и ядро, запущенное этим загрузчиком.Некоторые дистрибутивы поставляют ядра, которые относительно не обременены дополнительными ограничениями безопасности.
На практике, если вы хотите использовать Shim, у вас есть два варианта: вы можете запустить дистрибутив, который предоставляет собственную подписанную версию Shim, например Fedora 18 или новее или Ubuntu 12.10 или новее; или вы можете запустить подписанную версию из такого дистрибутива или из другого источника, добавить свой собственный MOK и подписать любые двоичные файлы, которые вам нравятся. Этот первый вариант довольно прост, если вы хотите использовать дистрибутив, поставляемый с Shim, и он не требует дополнительной доработки.В идеале это будет просто работать. В противном случае это может указывать на ошибку в оболочке Shim или в вашей реализации UEFI. В таком случае отключение безопасной загрузки может быть вашим лучшим выбором, по крайней мере, в краткосрочной перспективе, когда вы исследуете причину проблемы.
Если вы используете двойную загрузку с несколькими дистрибутивами Linux или если вы хотите использовать дистрибутив, который не предоставляет предварительно подписанную прокладку, вам придется перепрыгнуть через несколько дополнительных обручей:
- Загрузите компьютер. Это может быть проблемой само по себе.Вы можете необходимо использовать аварийный диск Linux с поддержкой безопасной загрузки, временно отключите безопасную загрузку, загрузитесь с помощью Linux Foundation PreLoader, либо делать работу из Windows. (Диск Ubuntu на помощь режим может работать для первого из этих вариантов.)
- Установленная оболочка Shim может запускать загрузчики и проверять ядра. включены в дистрибутив, из которого вы его получили. Другой ботинок загрузчики и ядра делятся на две категории, каждая из которых требует своей предварительной подготовки:
- Установите Shim, если он еще не установлен.Обработайте shim.efi или shimx64.efi, как и любой другой загрузчик, как описано на странице установки загрузчика EFI. (В первые версии Shim называли свои двоичные файлы shim.efi, но для несколько лет назад shimx64.efi было более распространенным именем на x 86-64 систем.)
- Вместе с Shim установите MokManager. Эта программа должна идти с Shim, и должен находиться под именем MokManager.efi (для очень старых версии) или mmx64.efi (или вариант для отличных от x 86-64 системы; имя, используемое в последних версиях), в том же каталоге, что и Бинарная прокладка.Как следует из названия, эта программа управляет MOK. Я описываю его использование в ближайшее время.
- При необходимости подпишите последующий загрузчик, как а также любое неподписанное ядро, которое вы хотите запустить. Этот шаг необходимо только в том случае, если последующий загрузчик и ядро еще не подписаны — например, если вы их составили сами.
- Если дополнительный загрузчик Shim еще не установлен, скопируйте его в имя файла grubx64.efi в том же каталоге, что и shimx64.efi.(Если в вашем двоичном файле Shim отсутствует x64 компонент имени файла, скорее всего, он попытается запустить grub.efi а не grubx64.efi. При необходимости измените имена файлов.) Shim предназначен для запуска GRUB 2, но может запускать другие загрузчики, если они называются grubx64.efi. Примечание, однако большинство старых загрузчиков, таких как ELILO, не соблюдайте настройки безопасной загрузки. rEFInd и gummiboot / systemd-boot предназначены для соблюдения Настройки безопасной загрузки. Обратите внимание, что вам нужно , а не , зарегистрировать последующий загрузчик непосредственно с прошивкой, используя efibootmgr.Такая регистрация может вызвать предупреждения о безопасности. Сбои при загрузке или даже зависания системы на некоторых компьютерах.
- Если вам нужно использовать MOK, вы можете при желании импортировать их сейчас, используя программа мокутил. Это упростит выполнение MOK после перезагрузки. регистрации, но на этом этапе потребуется немного больше усилий. Увидеть следующий раздел, Использование mokutil, для Детали. Если вы не импортируете MOK с помощью mokutil, обязательно скопируйте их в ESP на этом этапе. Вам нужно будет скопировать файлы, имеют .cer или .der расширения имени файла.
- Перезагрузка. Если повезет, вы увидите простой пользовательский интерфейс в текстовом режиме. с меткой управления ключами Shim UEFI. Это Программа MokManager, которую Shim запускает при сбое загрузчика. проверка, потому что его ключ еще не зарегистрирован.
- Нажмите клавишу со стрелкой вниз и нажмите Enter, чтобы выбрать клавишу Enroll из
диск. Экран очистится и предложит выбрать ключ, как
показано здесь:
(Ранние версии MokManager использовали более примитивный пользовательский интерфейс с
белый и желтый текст на черном фоне.Если это то, что вы видите,
некоторые детали будут отличаться, но программа все равно должна работать. Ты можешь
хотите найти более свежие программы для лучшего пользовательского интерфейса и
другие обновленные функции.) - Каждая строка с длинной неловкой строкой представляет диск. раздел. Выберите один, и вы увидите список файлов и каталогов. Продолжайте выбирать подкаталоги, пока не найдете файл открытого ключа. вы получили или создали и скопировали в ESP ранее.
- Выберите файл открытого ключа.MokManager запросит подтверждение того, что вы хотите зарегистрировать ключ. Обеспечьте это.
- Выйдите из всех введенных вами каталогов и вернитесь в MokManager. главное меню.
- Выберите «Продолжить загрузку» в главном меню.
На этом этапе компьютер может загрузиться с ОС по умолчанию, перезагрузиться или возможно даже повесить. Однако при перезагрузке программа загрузки, которую вы установленный под именем grubx64.efi должен запуститься в Secure Режим загрузки. В зависимости от своих возможностей он может загружать любое ядро, которое может загружаться, как если бы безопасная загрузка была отключена, запускать только загрузчики, подписанные ключи безопасной загрузки платформы или запускать программы EFI или ядра, подписанные с обычными ключами безопасной загрузки или собственным MOK.
Последние версии Shim и MokManager поддерживают регистрацию хэшей, а также ключей. Этот процесс работает так же, как только что описанный, но вы должны выбрать вариант для регистрации хэша, а не для регистрации ключа. Затем вы должны выбрать двоичный файл, которому компьютер должен доверять, например двоичный файл grubx64.efi в том же каталоге, что и shimx64.efi и mmx64.efi. Чтобы зарегистрировать хэш ядра, ядро должно находиться в разделе, доступном для чтения EFI. Поскольку файловые системы Linux не являются стандартной частью репертуара EFI, вы должны либо скопировать ядро в ESP, либо использовать драйвер файловой системы EFI, например тот, который поставляется с rEFInd, чтобы предоставить EFI доступ к разделу Linux.Я рекомендую использовать функцию подписи хэшей с осторожностью, если вообще, потому что пространство NVRAM для хранения хэшей и ключей ограничено; вы не хотите использовать все это вместе с хешами для каждого загрузчика, ядра и, возможно, даже модуля ядра, которые вы будете использовать в течение всего срока службы вашего компьютера. Вместо этого используйте его только для загрузчиков или связанных программ, которые вряд ли будут часто меняться. Преимущество использования хэшей, конечно, в том, что вам не нужно подписывать свои двоичные файлы, что может быть проблемой, как описано ниже.
Подпись ваших двоичных файлов
Если вы хотите загрузить ядро, которое вы скомпилировали самостоятельно, или запустить ОС, которая не подписывает свой загрузчик, вам необходимо либо подписать соответствующие двоичные файлы, либо зарегистрировать их хэши.Подписание двоичных файлов предпочтительнее, если вы делаете такие вещи даже удаленно. Чтобы начать этот процесс, вы должны сначала подготовить набор ключей с помощью openssl, как описано ранее. Вам также понадобится пакет sbsigntool, который входит в стандартную комплектацию некоторых дистрибутивов. Если ваш не один из них, вы можете получить двоичные файлы для нескольких дистрибутивов из Службы сборки OpenSUSE или загрузить исходный код с этой страницы.
После установки пакета sbsigntool и создания ключей вы можете подписать двоичный файл с помощью следующей команды:
$ sbsign --key ~ / efitools / MOK.ключ --cert ~ / efitools / MOK.crt \ --output vmlinuz-signed.efi vmlinuz.efi предупреждение: раздел, выровненный по файлу .text выходит за пределы конца файла предупреждение: области контрольной суммы больше, чем размер изображения. Неверная таблица раздела?
Этот пример подписывает двоичный файл vmlinuz.efi, расположенный в текущем каталоге, записывая подписанный двоичный файл в vmlinuz-signed.efi. Конечно, вы должны изменить имена двоичных файлов в соответствии с вашими потребностями, а также настроить путь к ключам (MOK.key и MOK.crt).
В этом примере показаны два предупреждения.Я не претендую на полное понимание их, но похоже, что они не приносят никакого вреда — по крайней мере, подписанные мной двоичные файлы ядра Linux, которые выдавали эти предупреждения, работали нормально. (Такие предупреждения кажутся менее распространенными в 2015 году и позже, чем за пару лет до этого.) Другое предупреждение, которое я видел в двоичных файлах, созданных с помощью GNU-EFI, также кажется безобидным:
предупреждение: данные остались [1231832 vs 1357089]: пробелы между секциями PE / COFF?
С другой стороны, файл журнала изменений для GNU-EFI указывает, что двоичные файлы, созданные с помощью версий GNU-EFI ранее, чем 3.0q может не загружаться в среде безопасной загрузки при подписании, а подписание таких двоичных файлов приводит к другому предупреждению:
предупреждение: пробел в таблице разделов: .text: 0x00000400 - 0x00019c00, .reloc: 0x00019c91 - 0x0001a091, предупреждение: пробел в таблице разделов: .reloc: 0x00019c91 - 0x0001a091, .data: 0x0001a000 - 0x00035000, пробелы в таблице разделов могут привести к разным контрольным суммам
Если вы видите подобное предупреждение, возможно, вам нужно перекомпилировать двоичный файл, используя более новую версию GNU-EFI.
Если вы используете rEFInd или gummiboot / systemd-boot, вы должны подписать не только двоичный файл диспетчера загрузки, но и запускаемые им двоичные файлы, такие как драйверы файловой системы rEFInd, ядра Linux или двоичные файлы ELILO. Если вы этого не сделаете, вы не сможете запустить загрузчики, которые должен запускать менеджер загрузки. (Отказ подписать драйверы файловой системы EFI означает, что вы не сможете читать свои ядра из файловых систем Linux.) с МОК.Стандартные версии ELILO, SYSLINUX, GRUB Legacy и более старые сборки GRUB 2 не проверяют состояние безопасной загрузки и не используют системные вызовы EFI для загрузки ядер, поэтому даже подписанные версии этих программ будут запускать любое ядро, которое вы им скармливаете. Это противоречит цели безопасной загрузки, по крайней мере, при запуске Linux. Самые последние версии GRUB 2 взаимодействуют с Shim для аутентификации ядер Linux и поэтому откажутся запускать ядро Linux, которое не было подписано, по крайней мере, когда GRUB запускается через Shim.
После того, как вы подписали свои двоичные файлы, вы должны установить их в свой ESP так же, как и неподписанный двоичный файл EFI.Подписанные двоичные файлы должны нормально работать даже в системах, на которых вы отключили безопасную загрузку. Однако обратите внимание, что все, что запускается непосредственно из прошивки (то есть зарегистрировано в efibootmgr или запускается с использованием резервного имени файла), должно быть подписано ключом в прошивке. Загрузчики, подписанные MOK, могут быть запущены непосредственно из Shim или из rEFInd (если rEFInd запускается из Shim).
Кстати, утилита pesign, доступная по адресу git: //github.com/vathpela/pesign.git, является альтернативой sbtools; однако, поскольку efitools написан для использования sbtools, я почти не смотрел на pesign.Тем не менее, вы можете проверить это, если у вас есть проблемы с sbtools.
Проверка загрузчиков
Вы можете использовать подпись безопасной загрузки в двоичном файле EFI для проверки подлинности двоичного файла. Это полезно как для диагностики проблем с загрузкой (поскольку двоичный файл с неправильной подписью не загружается), так и для проверки того, что этот двоичный файл исходит из заявленного источника.
Для проверки двоичного файла вам понадобятся две вещи: файл открытого ключа, соответствующий закрытый ключ, который использовался для подписи двоичного файла; и программа под названием sbverify.Как отмечалось ранее, я предоставляю коллекцию открытых ключей файлы с rEFInd; см. ссылку git репозиторий для доступа к отдельным ключам. Обратите внимание, что для проверки, вам понадобится текстовый файл PEM с расширением .crt расширение, а не файл .cer или .der, необходимый при добавлении ключ к списку МОК. Большинство файлов открытых ключей для безопасной загрузки распространяются в обеих формах, но если у вас есть только файл .cer / .der, его можно преобразовать в форму .crt с помощью openssl, например:
$ openssl x509 -в Fedora-ca.cer -inform der -out fedora-ca.crt
В этом примере файл fedora-ca.cer преобразуется в fedora-ca.crt, который можно использовать для проверки подлинности подписанных двоичных файлов Fedora.
Программа sbverify доступна в некоторых дистрибутивах, таких как как Ubuntu, как часть пакета sbsigntool. Бинарные файлы OpenSUSE доступны из OpenSUSE Сервис сборки. При необходимости вы можете получить исходный код из различные сайты. Если у вас установлен git, введите git: //kernel.ubuntu.com/jk/sbsigntool, чтобы его вытащить. вниз.
После того, как вы установили sbsigntool, вы можете использовать команду sbverify:
$ sbverify --cert keys / refind.crt refind_x64.efi Проверка подписи ОК
В этом примере показана успешная проверка двоичного файла refind_x64.efi по общему ключу keys / refind.crt. Сбои обычно предшествуют сообщениям, описывающим, что пошло не так, часто с использованием технических терминов. Как правило, двоичные файлы либо не подписаны, либо подписаны ключом, отличным от того, публичный аналог которого вы пытались использовать.если вы не уверены, какой ключ использовался для подписи двоичного файла, вы можете найти ключ к разгадке, используя параметр —list для sbverify, например:
$ sbverify --list /boot/efi/EFI/opensuse/grub.efi подпись 1 эмитенты подписи изображения: - / CN = openSUSE Secure Boot CA / C = DE / L = Нюрнберг / O = openSUSE Project/[email protected] сертификаты подписи изображений: - тема: / CN = openSUSE Secure Boot Signkey / C = DE / L = Nuremberg / O = openSUSE Project/[email protected] эмитент: / CN = openSUSE Secure Boot CA / C = DE / L = Нюрнберг / O = openSUSE Project / emailAddress = build @ opensuse.org
Этот пример показывает, что двоичный файл имеет подпись, указывающую, что он связан с OpenSUSE. Конечно, эта информация может вводить в заблуждение, но в этом суть — проверив файл с заведомо исправным открытым ключом, вы можете убедиться, что двоичный файл является легитимным. (Сама по себе операция —list этого не делает; вам нужно использовать —cert для проверки подписи. Параметр —list может просто помочь вам выяснить, какой ключевой файл может соответствовать .) Также обратите внимание на что в некоторых дистрибутивах есть несколько файлов ключей, либо потому, что они используются для разных целей, либо потому, что срок действия одного ключа истек и он был заменен новым.
Использование mokutil
Хотя вы можете использовать MokManager для регистрации MOK из EFI, его использование не интуитивно понятно для менее технически подкованных. Чтобы упростить задачу и разрешить проверку состояния MOK и других баз данных ключей EFI, существует программа mokutil. У этой программы много вариантов, и здесь я рассмотрю лишь некоторые из них; типа man mokutil, чтобы прочитать о них побольше. Эта программа может быть не установлена по умолчанию, поэтому вам может потребоваться установить ее, как правило, из пакета с тем же именем.
Использование mokutil, наиболее подходящее для этой страницы, — это импорт MOK. В этом контексте , импортировавший , относится к хранению MOK в энергонезависимой памяти компьютера вместе с флагом, сообщающим Shim и MokUtil, что MOK присутствует и готов к включению при следующей перезагрузке компьютера. Для этого вы используете опцию -i, чтобы указать на файл .cer / .der, содержащий открытый ключ:
# mokutil -i ключи / centos.cer введите пароль: введите пароль еще раз:
Обязательно запомните введенный пароль, так как он понадобится вам при перезагрузке.(Впрочем, после этого вам не понадобится этот пароль.) Вы можете проверить текущий импорт, набрав mokutil —list-new, и отменить все текущие импорты, набрав mokutil —revoke-import.
Когда вы перезагружаете компьютер, MokUtil должен появиться, как описано ранее, в Initial Shim Setup; но когда вы нажимаете клавишу для управления своими MOK, в меню появляется новый параметр «Enroll MOK». Выбор этой опции очень похож на выбор MOK с диска; но когда вы утвердите установку, вам нужно будет ввести пароль, который вы ввели при использовании mokutil.
Как отмечалось ранее, mokutil имеет множество опций, которые позволяют ему делать гораздо больше. Некоторые из них включают следующее:
- Вы можете просмотреть подробную информацию обо всех зарегистрированных MOK, передав —list-enrolled программе. Имейте в виду, что один MOK будет генерировать десятки строк вывода, поэтому вам может потребоваться прокрутить много вывода!
- Если вы регистрируете MOK, которые вам больше не нужны, вы можете удалить их с помощью mokutil, передав .cer /.der, связанный с MOK с параметром —delete.
- Введите mokutil —sb-state, чтобы узнать, включена ли безопасная загрузка в данный момент.
- Передайте параметры —pk, —kek, —db или —dbx для просмотра стандартных баз данных безопасной загрузки, так же как —list-enrolled показывает MOK. (Назначение этих четырех баз данных описано на следующей странице, Управление безопасной загрузкой.)
- Вы можете удалить все MOK в системе, передав —reset команде mokutil.
Параметры, которые изменяют содержимое NVRAM, должны быть введены как root или с помощью sudo, и они требуют, чтобы вы вводили пароль.После перезагрузки MokManager запрашивает подтверждение того, что вы хотите выполнить запрошенную операцию. Если вы отказываетесь, о нем забывают; вам придется повторно ввести соответствующую команду mokutil из Linux или выполнить операцию каким-либо другим способом, если позже вы решите, что действительно хотите это сделать.
Использование PreLoader
от Linux FoundationРешение Linux Foundation для проблемы безопасной загрузки, известное как PreLoader, имеет некоторые существенные сходства с Shim, но также отличается в двух ключевых отношениях:
- По техническим причинам Shim может запускать программу EFI (например, загрузчик ), но эта программа может запускать последующие программы, подписанные Shim / MOK, только в том случае, если загрузчик спроектирован так, чтобы «общаться» с Shim.Это ограничение означает, что вы не сможете запускать программы, подписанные MOK, из оболочки EFI или rEFIt. PreLoader, напротив, был разработан для добавления своих новых функций аутентификации в стандартный путь аутентификации UEFI, тем самым предоставляя последующим программам, таким как gummiboot / systemd-boot, преимущества своих улучшений. В целом это преимущество; однако на некоторых компьютерах могут отсутствовать функции, необходимые PreLoader для такой вставки, поэтому на некоторых компьютерах он может не работать. Этот пост для SuperUser указывает, что это ограничение может быть реальным по крайней мере для некоторых компьютеров.
- Большинство версий Shim могут аутентифицировать либо двоичные файлы, подписанные ключом, публичный аналог которого находится в списке MOK, либо двоичные файлы, хэш которых хранится в списке MOK. Очень старые версии Shim могут работать только с подписанными двоичными файлами. PreLoader, напротив, работает только с хешами. Хеши могут быть полезны, если вам необходимо запустить программу с носителя, предназначенного только для чтения, или если у вас очень ограниченная потребность в аутентификации двоичных файлов, которые еще не подписаны, и вы не хотите иметь дело с проблемами подписания двоичных файлов.
На практике PreLoader имеет преимущество, если вы хотите запустить неподписанный загрузчик (как в более старом дистрибутиве Linux) или если вы хотите распространить загрузочный образ, но не имеете средств для оплаты собственного ключа подписи или терпения. чтобы справиться с византийским процессом подписания двоичного файла. PreLoader особенно хорош в этих случаях, если вы технически не склонны, поскольку вам не нужно иметь дело с ключами подписи, описанными в отношении Shim. Если ваш дистрибутив подписывает свои загрузчики и / или ядра, вам лучше использовать Shim.Если ваши загрузчики (возможно, включая ядра) меняются редко, то любая программа будет работать одинаково хорошо, при условии, что вы готовы иметь дело с подписью ключей.
Чтобы использовать PreLoader, выполните следующие действия:
- Загрузите компьютер. Как и в случае с установкой Shim, этот шаг может быть проблемой. Возможно, вам потребуется временно отключить безопасную загрузку, использовать аварийный диск с поддержкой безопасной загрузки или выполнить работу из Windows.
- Получить PreLoader. Предварительно подписанные двоичные файлы доступны на сайте загрузки.Однако обратите внимание, что эти предварительно подписанные двоичные файлы были выпущены в 2013 году — довольно старые по стандартам компьютерного программного обеспечения. С тех пор программа была обновлена, но мне не известно о новых подписанных двоичных файлах. Автор PreLoader, Джеймс Боттомли, сообщил мне по электронной почте, что изначально подписанный PreLoader предназначался в основном как демонстрация Linux с использованием безопасной загрузки и проверка процесса подписи Microsoft. Учитывая популярность Shim, он не планирует выпускать новые подписанные версии PreLoader. (Тем не менее, он остается активным в этой области; он поддерживает набор утилит efitools, которые полезны при получении полного контроля над безопасной загрузкой на компьютере.)
- Установите предварительный загрузчик, как описано на странице установки загрузчика EFI. Вероятно, вы захотите установить его в каталог загрузчика по умолчанию.
- Скопируйте файл HashTool.efi из пакета PreLoader в тот же каталог, что и двоичный файл PreLoader.
- Переименуйте загрузчик по умолчанию в loader.efi в том же каталоге, что и PreLoader.
- Перезагрузитесь и, если необходимо, выберите PreLoader в качестве варианта загрузки. PreLoader должен запуститься, но он, вероятно, будет жаловаться, что не может запустить загрузчик.эфи. Затем он запустит HashTool, программу, которую PreLoader использует для хранения информации ( хэшей, ) о программах, которые вы авторизуете.
- В HashTool выберите опцию Enroll Hash.
- Найдите и выберите файл программы loader.efi. HashTool запрашивает подтверждение; ответить Да.
- На практике вы теперь захотите повторить предыдущие два шага для каждого загрузчика, который вы, возможно, захотите запустить с первого. Например, если вы используете gummiboot / systemd-boot или rEFInd для запуска ядер Linux, вам нужно выбрать каждое из этих ядер для регистрации.В этом нет необходимости, если вы используете ELILO, GRUB Legacy или некоторые версии GRUB 2 для запуска ядер Linux, но вам может потребоваться зарегистрировать хеш для загрузчика с цепочкой, запускаемого из GRUB.
- Выберите «Выход» или «Перезагрузить систему» в главном меню HashTool.
На этом этапе ваш компьютер должен перезагрузиться в обычный загрузчик, и он должен иметь возможность запускать ядра и последующие загрузчики, как если бы они были подписаны ключом безопасной загрузки вашей платформы — при условии, что вы зарегистрировали эти двоичные файлы с помощью HashTool! Этот последний момент очень важен.Если вы используете rEFInd или gummiboot / systemd-boot для запуска ядер Linux, вам необходимо регистрировать каждое новое ядро по мере его установки вами (или системой пакетов вашего дистрибутива). Этот факт также означает, что вы должны предоставить способ запуска HashTool. ELILO не может этого сделать, но вы можете настроить rEFIt, rEFInd, gummiboot / systemd-boot, GRUB Legacy и GRUB 2 для запуска HashTool. Фактически, rEFInd 0.6.7 и более поздние версии распознают двоичный файл HashTool.efi и предоставляют для него тег на главном экране.
За кулисами PreLoader фактически использует тот же список MOK, что и Shim; PreLoader просто использует его для хранения программных хэшей, а не ключей.
Замена или дополнение ключей прошивки
Можно заменить ключи Microsoft своими собственными, что позволит вам воспользоваться преимуществами безопасной загрузки без использования Shim или PreLoader. Это может быть полезным подходом, если вам нужны преимущества безопасной загрузки, но не хочет, чтобы доверял Microsoft или кому-либо из других, кто распространяет двоичные файлы, подписанные с помощью ключей Microsoft. Также возможно добавить свои собственные ключи к тем, которые встроены в прошивку, не удаляя ключи Microsoft.Это полезно при сбоях в работе Shim или PreLoader или если вы хотите использовать программу загрузки, такую как rEFIt, которая не работает с Shim. Вообще говоря, этот процесс состоит из трех основных этапов: создание собственных ключей, подписание двоичных файлов и установка ключей в прошивку. Первые два из этих шагов также необходимы, если вы хотите подписать свои собственные двоичные файлы для использования с Shim.
К сожалению, существуют значительные различия между моделями в реализациях безопасной загрузки и доступных инструментах, что означает, что описание этого подхода к управлению безопасной загрузкой является сложным.Таким образом, я написал отдельную страницу, подробно описывающую этот процесс.
Замена ключей прошивки не требует гораздо больших усилий, чем использование Shim, если вам по какой-то причине нужно подписывать собственные двоичные файлы — скажем, если вы используете такой дистрибутив, как Gentoo, который не предоставляет предварительно подписанные двоичные файлы. Он также имеет некоторые преимущества безопасности, особенно если вам не нужны ключи Microsoft. С другой стороны, это намного сложнее, чем использование Shim, если вы просто хотите быстро запустить и запустить дистрибутив, использующий Shim.В целом, я рекомендую этот подход только для тех, кто достаточно технически подкован.
Отзыв ключей и хэшей
Как более подробно описано на странице «Управление безопасной загрузкой», безопасная загрузка опирается на несколько небольших баз данных ключей и хэшей, хранящихся в энергонезависимой памяти NVRAM. Чтобы устранить возможность ошибок безопасности в программах загрузки, одна из этих баз данных, известная как dbx, содержит список ключей и хэшей для двоичных файлов, выполнение которых запрещено. Если в конкретном двоичном файле обнаружена ошибка, его хеш можно добавить в dbx, чтобы предотвратить его запуск.(Его ключ может быть добавлен, чтобы охватить все, что подписано этим ключом, но это может повлиять на другие двоичные файлы, на которые проблема не распространяется.)
Для добавления элементов в dbx необходимо, чтобы новые ключи были подписаны другим ключом. На практике этот другой ключ обычно контролируется Microsoft, поэтому Microsoft является контроллером de facto dbx, и эти дополнения обычно выполняются посредством обновлений Windows или, возможно, обновлений других операционных систем, которые доставляют обновления, предоставляемые Microsoft.За годы, прошедшие с момента появления Secure Boot, появилось множество таких одобренных Microsoft добавлений dbx.
В начале 2020 года в GRUB 2 была обнаружена уязвимость, известная как Boot Hole, , которая привела к тщательному изучению GRUB 2, в результате которого было обнаружено в общей сложности восемь различных уязвимостей GRUB 2. Эта ситуация создавала проблему: поскольку очень многие дистрибутивы Linux выпустили так много подписанных двоичных файлов GRUB 2, количество записей dbx, необходимых для их запуска, угрожало перегрузить доступное пространство в энергонезависимой памяти компьютера.
Решение, разработанное основными разработчиками дистрибутивов Linux совместно с Microsoft, заключается в использовании обновленной оболочки Shim, которая включает собственный dbx (который я называю здесь Shim-dbx), и добавление более ранних версий оболочки Shim (которые являются менее многочисленны, чем затронутые двоичные файлы GRUB) в собственный dbx UEFI. Поскольку Shim-dbx не так подвержен ограничениям места, как UEFI dbx на основе NVRAM на большинстве компьютеров, это решение может предотвратить запуск многочисленных версий GRUB 2 с ошибками, не перегружая NVRAM.Однако у этого есть отрицательные последствия: старые версии Shim перестанут работать, как только dbx компьютера будет обновлен. Маловероятно, что это будет проблемой для пользователей популярных дистрибутивов Linux, которые используют только эти дистрибутивы или которые выполняют двойную загрузку с Windows с использованием GRUB 2; двоичные файлы GRUB 2 таких компьютеров будут обновлены вместе с двоичными файлами Shim, если повезет, до обновления dbx UEFI, таким образом, все будет работать. Это решение может повлиять на людей, которые вручную установили Shim для загрузки дистрибутивов, которые обычно не используют его, или тех, кто использует Shim вместе с диспетчерами загрузки или загрузчиками, такими как rEFInd; Если двоичные файлы Shim этих нестандартных программ не обновляются, но Windows устанавливает обновление dbx, которое предотвращает запуск Shim, загруженные программы, установленные вручную, скорее всего, перестанут работать.
Решение должно быть простым: обновите старый двоичный файл shim.efi или shimx64.efi, который был добавлен в UEFI dbx, с новой версией. Теоретически другое решение — предотвратить обновления UEFI dbx. На практике это нежелательное решение, поскольку оно оставляет компьютер уязвимым для любых эксплойтов, которые могут включать затронутые двоичные файлы GRUB 2. Замена всех ключей безопасной загрузки, как описано на следующей странице, может или не может сделать вас уязвимыми, как описано на этой странице.
Также обратите внимание, что всегда есть вероятность уязвимостей в rEFInd, systemd-boot или других программах загрузки.Эти программы не так популярны, как GRUB 2, и поэтому в них не проводился такой интенсивный аудит, как GRUB 2 в 2020 и начале 2021 годов, поэтому в них могут скрываться ошибки безопасности. Конечно, тот факт, что они менее популярны и редко подписываются разработчиками дистрибутива, означает, что они с меньшей вероятностью могут быть векторами атаки — но это в основном «безопасность через неизвестность», что в лучшем случае ненадежно.
Для получения дополнительной информации по этой теме см. Это сообщение в блоге, в котором проблема рассматривается с точки зрения Ubuntu.Некоторые детали различаются от одного дистрибутива к другому, но затронуты все дистрибутивы Linux, которые предоставляют подписанные двоичные файлы GRUB 2, и решение для них одинаково.
Заключительные мысли
В начале 2021 года безопасная загрузка станет чем-то средним между несложной проблемой и серьезной проблемой для пользователей Linux. Хотя безопасная загрузка может повысить безопасность, Linux исторически не заражалась вирусами, поэтому неясно, является ли безопасная загрузка практическим преимуществом для компьютеров только с Linux, хотя она дает теоретические преимущества.Однако, если вы выполняете двойную загрузку с Windows, вы можете оставить безопасную загрузку включенной. Использование программы Shim кажется лучшим способом сделать это для пользователей Fedora, OpenSUSE, Ubuntu и других дистрибутивов, поддерживающих Shim. Если вы используете другой дистрибутив или у вас возникли проблемы с загрузкой нескольких дистрибутивов, отключение безопасной загрузки — самый простой способ справиться с этим. Подписание собственных загрузчиков для использования собственного механизма безопасной загрузки и собственного набора ключей — еще одна альтернатива, обеспечивающая максимальную безопасность и гибкость.Этот подход труднее всего реализовать, особенно если в программе настройки микропрограммы вашего компьютера нет возможности добавлять ключи.
Перейти к «Управление безопасной загрузкой»
Вернуться на главную страницу «Управление загрузчиками EFI для Linux»
, авторское право © 2012–2021 Родерик В. Смит
Если у вас есть проблемы или комментарии по поводу этой веб-страницы, пожалуйста, напишите мне на [email protected]. Спасибо.
Вернуться на мою главную веб-страницу.
Включение безопасной загрузки UEFI при U-Boot
U-Boot — любимый загрузчик для встраиваемых устройств, поддерживающий различные архитектуры и платформы.За последние несколько лет в U-Boot был добавлен ряд новых интерфейсов UEFI, и последним добавленным элементом является Secure Boot. Как он работает и от чего он предназначен для защиты?
UEFI U-Boot
UEFI (Unified Extensible Firmware Interface) [1] — это спецификация, разработанная UEFI Forum для стандартизации интерфейсов между прошивкой и ОС с целью замены устаревшего BIOS в архитектуре ПК.
В настоящее время UEFI повсюду. Он был по умолчанию на ПК и на стороне сервера, поэтому теперь используется на платформах arm64.Хотя U-Boot по-прежнему популярен среди встраиваемых систем, поддержка универсальных интерфейсов, таких как UEFI, значительно упростит пользователям перенос на свои платформы более широкого спектра дистрибутивов ОС с минимальными усилиями и без настройки. Помните, что grub может поддерживать собственные API-интерфейсы U-Boot, но только через порт arm. Никакие дистрибутивы не поддерживают его на arm64 или x86.
Соответственно, с 2016 года было потрачено огромное количество усилий на разработку интерфейсов UEFI поверх U-Boot framework. Linaro участвовал в этой деятельности сообщества с 2018 года и вместе работал над улучшением функциональности и качества.(В Linaro мы сосредоточены на экосистеме arm, но эти разработки приносят пользу и другим архитектурам. Возможно, стоит упомянуть, что в последнем выпуске risc-v добавлен в список поддерживаемых архитектур вместе с arm и x86.)
Для дальнейшего усиления взаимодействия (и, следовательно, совместимости с существующей реализацией, такой как EDK-II), UEFI U-Boot теперь усиливает свою цель разработки, заключающуюся в том, что он должен полностью фиксироваться и соответствовать EBBR (Embedded Base Boot Requirement) [2]. EBBR — это коллективный документ, разрабатываемый сообществом.Он определяет набор требований, которым должна соответствовать прошивка на встроенных устройствах, чтобы можно было устанавливать стандартные ОС без настройки.
На момент написания этой статьи UEFI U-Boot предоставляет:
- большинство служб загрузки (до запуска ОС)
- ограниченное количество служб времени выполнения (после запуска ОС)
- подмножество соответствующих протоколов (блок устройства, консоль, сеть и т. д.)
- минимальный менеджер загрузки
По-прежнему существует множество недостающих функций и ограничений, но функциональность теперь достаточно развита для запуска программного обеспечения, такого как:
- оболочка EDK-II
- shim and grub , или более прямо
- ядро linux
Хотя основной целевой ОС является Linux, подтверждено, что другие ОС, такие как варианты BSD, также работают с UEFI U-Boot.Кроме того, UEFI SCT (Self Certification Tests) также может быть запущен непосредственно при U-Boot. Это позволяет нам оценить, в какой степени текущая реализация соответствует спецификации UEFI и способствовала повышению соответствия.
Безопасная загрузка: как это работает?
Среди прочего, UEFI Secure Boot — это новая функция, представленная в последней версии U-Boot v2020.10. (На момент написания этот статус находится в -rc5.)
Это, как следует из названия, структура безопасности в последовательности загрузки, которая предназначена для защиты системы от выполняемых вредоносных программ, гарантируя, что только надежное программное обеспечение, EFI приложения и ядра ОС загружаются и выполняются в процессе передачи управления от прошивки к ОС.
Фактически, U-Boot уже имеет собственную платформу безопасной загрузки, получившую название FIT Signature Verification. Всегда есть за и против; Например, исходная безопасная загрузка может подписывать и проверять не только двоичные файлы, но и другие типы данных, такие как blob-объект дерева устройств и initrd, а безопасная загрузка UEFI может работать только с исполняемыми файлами PE (переносимый исполняемый файл) (по крайней мере, на данный момент). С другой стороны, UEFI Secure Boot обеспечивает более гибкий способ управления ключами в дополнение к совместимости с существующим сторонним программным обеспечением (включая дистрибутивы Linux).Он не предназначен для замены оригинального U-Boot, это остается на усмотрение пользователя в зависимости от требований системы.
Поскольку на веб-сайтах есть множество статей о безопасной загрузке UEFI, например [3], мы не будем углубляться в технические детали. Вместо этого здесь будет описана основная логика безопасной загрузки UEFI. Безопасная загрузка UEFI основана на дайджестах сообщений (хэшах) и технологиях криптографии с открытым ключом. При попытке загрузить файл изображения U-Boot проверяет подпись изображения по базам данных подписей, чтобы определить, является ли изображение надежным или нет.
Здесь используются четыре основные базы данных сигнатур.
- PK (ключ платформы)
- KEK (ключ регистрации ключа)
- db (список разрешенных подписей)
- dbx (список запрещенных подписей)
База данных «db» может иметь сертификаты x509, хэши изображения в виде подписей и «dbx» могут дополнительно содержать хэши сертификатов.
Изображение будет предоставлено для загрузки, если
- оно подписано и его подпись подтверждена одним из сертификатов в «db» (может быть задействовано несколько промежуточных сертификатов) или
- его дайджест сообщения найден в «Db»
Аналогично, любое изображение будет отклонено, если
- оно подписано и его подпись подтверждена одним из сертификатов в «dbx».
- оно подписано и проверено «db», но любым из сертификатов в цепочке доверия находится в «dbx» или
- , его дайджест сообщения находится в «dbx».
В июле уязвимость системы безопасности под названием «BootHole» [5] привлекла внимание людей.Grub, де-факто загрузчик для Linux и других дистрибутивов, имеет вектор атаки безопасности из-за переполнения памяти и может позволить злоумышленникам выполнить произвольный код в обход безопасной загрузки UEFI на целевых системах.
Чтобы устранить эту дыру в безопасности, необходимо обновить grub и, следовательно, прокладку, и в то же время цепочку доверенной последовательности загрузки также необходимо изменить, чтобы предотвратить загрузку любой старой и уязвимой версии программного обеспечения и ее возможное использование вредоносным кодом .Ожидается, что в будущих исправлениях безопасности хэши всех затронутых двоичных файлов будут добавлены в «dbx». (Кроме того, оболочка shim будет поддерживать свою собственную базу данных сигнатур, MokList / MokListX (ключи владельца машины), также на запросы ОС.)
Все вышеперечисленные базы данных сигнатур хранятся и поддерживаются как переменные с аутентификацией UEFI, что означает, что они также защищены со своими собственными подписями, и что обновление их значений должно быть разрешено путем проверки подписей. PK используется для проверки KEK перед изменением его значения, а KEK — это ключ для обновления db и dbx.
После регистрации PK активируется безопасная загрузка UEFI. Поскольку PK является корнем цепочки в доверенной последовательности загрузки, ожидается, что он будет храниться в энергонезависимом и устойчивом к несанкционированному вмешательству месте в системах на заводском уровне.
Текущая версия UEFI U-Boot предоставляет две альтернативы для энергонезависимого хранения переменных:
a) простой файл в системном разделе UEFI
b) служба переменных на основе OP-TEE
В то время как файловая система в (a) не работает » t обеспечить надежную защиту от взлома, безопасная служба, работающая под OP-TEE в (b), автономный режим управления EDK-II, изолирована, но при этом проксируется и доступна из незащищенного кода U-Boot.Таким образом, вариант (b) на данный момент является единственным полностью безопасным решением. Необходимые исправления были объединены для U-Boot и OP-TEE, но некоторые из них для EDK-II все еще ожидаются.
В настоящее время U-Boot не имеет переключателя для включения и выключения безопасной загрузки UEFI после регистрации PK.
Игра с безопасной загрузкой
Давайте возьмем Red Hat Enterprise Linux (8.2) в качестве реального примера и проиллюстрируем, как мы можем активировать безопасную загрузку UEFI и установить ОС с U-Boot на qemu (arm64). (Обратите внимание, что это предназначено только для демонстрационных целей, чтобы помочь людям легко испытать безопасную загрузку UEFI, а не для демонстрации того, что UEFI U-Boot полностью соответствует требованиям RHEL).
Чтобы упростить необходимые шаги, мы воспользуемся вариантом (A) в этом примере.
1. build U-Boot
CONFIG_EFI_SECURE_BOOT — единственная опция, необходимая в дополнение к qemu_arm64_defconfig для поддержки безопасной загрузки UEFI.
$ make qemu_arm64_defconfig
# включить CONFIG_EFI_SECURE_BOOT и CONFIG_SEMIHOSTING
$ make
2. Подготовьте диск с помощью системного раздела UEFI
Служба переменных на основе файловой системы использует системный раздел UEFI для реализации энергонезависимых переменных путем сохранения значений в файле в разделе.
$ qemu-img create -f raw redhat_fs.img 5G
$ sgdisk -n 1: 0: + 100MiB -t 1: C12A7328-F81F-11D2-BA4B-00A0C93EC93B redhat_fs.img
$ guestfish -a redhat_fs.img
> беги
> mkfs vfat / dev / sda
> бросить
3. получить сертификат Red Hat
Этот шаг немного сложен, поскольку, AFAIK, нет доступного веб-сайта, с которого можно было бы загрузить действующий сертификат Red Hat.
К счастью, любое приложение EFI может содержать связанные сертификаты в своей подписи (в формате pkcs7) и «прокладке».efi ’, который должен быть загружен как первое приложение EFI, подписанное с помощью« Red Hat Secure Boot (ключ CA 1) ». Вам нужно будет изучить структуру данных подписи и извлечь этот сертификат в отдельный файл.
Подробности здесь не описаны, но вы можете использовать команду «sbverify» для извлечения данных подписи (или аутентификационного кода) из двоичного файла, а затем использовать команду «openssl» для проверки и анализа, чтобы определить смещение и размер сертификата в нем. .
4.создать данные для базы данных подписей
Здесь промежуточные «PK» и «KEK» создаются как самоподписанные сертификаты, а «db» должен содержать сертификат, названный «rh_ca.crt», из шага (3).
№ ПК
$ openssl req -x509 -sha256 -newkey rsa: 2048 -subj / CN = TEST_PK / \
-keyout PK.key -out PK.crt -nodes -days 365
$ cert-to-efi-sig-list -g 11111111-2222-3333-4444-123456789abc \
PK.crt PK.esl
$ sign-efi-sig-list -c PK.crt -k PK.key PK PK.esl PK.auth
# KEK
$ openssl req -x509 -sha256 -newkey rsa: 2048 -subj / CN = TEST_KEK / \
-ключ КЭК.key -out KEK.crt -nodes -days 365
$ cert-to-efi-sig-list -g 11111111-2222-3333-4444-123456789abc \
KEK.crt KEK.esl
$ sign-efi-sig-list -c PK.crt -k PK.key KEK KEK.esl KEK.auth
# дб
$ cert-to-efi-sig-list -g 11111111-2222-3333-4444-123456789abc \
rh_ca.crt rh_ca.esl
$ sign-efi-sig-list -c KEK.crt -k KEK.key db rh_ca.esl rh_ca.auth
5. Запустите U-Boot и зарегистрируйте ключи в базе данных сигнатур
Теперь вы можете зарегистрировать ключи в командной строке U-Boot. Сначала запустите qemu с помощью следующей команды:
$ qemu-system-aarch64 \
-машина вирт \
-cpu cortex-a57 -smp 1 -m 4G -d unimp \
-nographic -serial mon: stdio \
-полухостинг \
-bios / путь / к / u-boot.корзина \
-drive, если = none, file = / path / to / redhat_fs.img, format = raw, id = hd0 \
-device virtio-blk-device, диск = hd0 \
-cdrom /path/to/rhel-8.2-aarch64-dvd.iso
Затем
=> smhload PK.auth 50000000
=> setenv -e -nv -bs -rt -at -i 50000000: <размер-файла> PK
=> smhload KEK.auth 50000000
=> setenv -e -nv -bs -rt -at -i 50000000: <размер-файла> KEK
=> smhload rh_ca.auth 50000000
=> setenv -e -nv -bs -rt -at -i 50000000: <размер-файла> db
6.установить ОС
Запустить установщик ОС:
=> fatload virtio 1: 1 50000000 EFI / BOOT / BOOTAA64.EFI
=> бутефи 50000000
Выберите «Установить Red Hat Enterprise Linux 8.2». В конце концов, установщик загружается в текстовом режиме и останавливается в меню установки.
...
05:32:49 Не запрашиваем VNC, потому что у нас нет сети
05:32:50 Ошибка запуска X, возврат в текстовый режим
================================================== ==============================
================================================== ==============================
Установка
1) [x] Настройки языка 2) [x] Настройки времени
(Английский (США)) (Часовой пояс Америка / Нью-Йорк)
3) [!] Источник установки 4) [!] Выбор ПО
(Обработка...) (Обработка...)
5) [!] Место установки 6) [x] Kdump
(Диски не выбраны) (Kdump включен)
7) [!] Конфигурация сети 8) [!] Пароль root
(Не подключен) (Пароль не установлен.)
9) [!] Создание пользователя
(Пользователь не будет создан)
Сделайте выбор из приведенного выше ['b', чтобы начать установку, 'q', чтобы выйти,
'r' обновить]:
Установка
Вы можете настроить параметры по своему усмотрению.Дело здесь в «5) Место установки». Выберите диск, созданный на шаге (2), в качестве места назначения и
Опции разбиения на разделы.
1) [X] Заменить существующие системы Linux
2) [] Использовать все пространство
3) [] Использовать свободное пространство
4) [] Назначьте точки монтирования вручную
Для установки необходимо разбить жесткий диск на разделы. Выберите, какое пространство использовать
для цели установки или вручную назначьте точки монтирования.
Пожалуйста, сделайте выбор из приведенного выше ['c', чтобы продолжить, 'q', чтобы выйти, 'r', чтобы
обновить]:
Выберите «Заменить существующие системы Linux», поскольку мы уже создали системный раздел UEFI на шаге (2).
После настройки всех параметров продолжайте установку.
В конце установки вы, вероятно, увидите ошибку типа:
Вопрос
При установке загрузчика произошла следующая ошибка. Система будет
не быть загрузочным. Вы хотите проигнорировать это и продолжить установку?
не удалось установить новую цель загрузки efi. Скорее всего, это ошибка ядра или прошивки.
Пожалуйста, ответьте «да» или «нет»:
Вы можете проигнорировать это сообщение и сказать «да».Здесь произошло то, что установщик не смог настроить переменные UEFI, относящиеся к параметрам загрузки, т. Е. «BootXXXX» и «BootOrder» как переменные UEFI недоступны из ОС в службах времени выполнения.
7. перезагрузите систему
После успешного выполнения вышеуказанных шагов вы увидите в dmesg из кода efistub и ядра:
Заглушка EFI: Загрузка ядра Linux ...
Заглушка EFI: EFI_RNG_PROTOCOL недоступен, случайность не указана
Заглушка EFI: включена безопасная загрузка UEFI.Заглушка EFI: использование DTB из таблицы конфигурации
Заглушка EFI: выход из служб загрузки и установка карты виртуальных адресов ...
[0.000000] Загрузка Linux на физическом процессоре 0x0000000000 [0x411fd070]
[0.000000] Linux версии 4.18.0-193.el8.aarch64 ([email protected]) (версия gcc 8.3.1 20191121 (Red Hat 8.3.1-5) (GCC) ) # 1 SMP Пт 27 мар, 15:23:34 UTC
[0.000000] Модель машины: linux, dummy-virt
[0.000000] efi: Получение параметров EFI из FDT:
[0.000000] efi: EFI v2.80 от Das U-Boot
...
Вот и последняя магия. Несмотря на то, что на шаге (6) не были созданы переменные параметров загрузки, UEFI U-Boot настроен на поиск резервного загрузочного образа «/EFI/BOOT/BOOTAA64.efi» в системном разделе UEFI и попытку его автоматического запуска.
Этот двоичный файл на самом деле является копией загрузчика ОС, то есть shimaa64.efi, если включена безопасная загрузка UEFI, и он также обнаружит отсутствие параметров загрузки и создаст их со стандартным путем ОС и запустит второй загрузчик ОС », grubaa64.efi ’, который подписан поставщиком ОС и должен быть проверен перед загрузкой.