Разное

Secure boot перевод: Secure Boot — отключение защищенной загрузки (с фото)

02.06.1999

Содержание

uefi в русский, перевод, английский — русский словарь

Lubuntu 12.10 could be run on UEFI secure boot hardware by turning off the secure boot feature.

Lubuntu 12.10 может быть запущен на безопасном загрузочном оборудовании UEFI, отключив функцию безопасной загрузки.

WikiMatrix

This release of Xubuntu does not support UEFI Secure Boot, unlike Ubuntu 12.10, which allows Ubuntu to run on hardware designed for Windows 8.

Этот выпуск Xubuntu не поддерживает UEFI Secure boot, в отличие от Ubuntu 12.10, который позволяет Ubuntu работать на оборудовании, предназначенном для Windows 8.

WikiMatrix

Niresh’s Distro (10.8 Intel only) was first released and then was updated to 10.8.2 (With AMD and Intel) and 10.8.5 (With UEFI Support, AMD and Intel Support) versions; iAtkos ML2 was released after Niresh’s Release.

Сначала был выпущен дистрибутив Niresh 10.

8 (только для процессоров Intel), затем он был обновлён до версий 10.8.2 (с поддержкой процессоров AMD и Intel) и 10.8.5 (с поддержкой UEFI и процессоров AMD и Intel).

WikiMatrix

«Team Peppermint are pleased to announce our latest operating system Peppermint 7, it comes in both 32bit and 64bit editions with the latter having full UEFI/GPT/Secure Boot support baked in, a new version of Ice (our in house Site Specific Browser framework) is also included with full Firefox web browser support as well as Chromium / Chrome.» — Mark Greaves (PCNetSpec) — Development Team Leader & Support Admin Peppermint OS uses a hybrid release schedule.

«Команда Peppermint рада объявить о нашей новой операционной системе Peppermint 7, которая поставляется в 32- и 64-битной версиях, и которая с недавнего времени, имеет встроенную поддержку UEFI/GPT/Secure Boot, новую версию приложения Ice (фрймворк сайто-специфичного браузера), с полной поддержкой браузера Firefox, а также Chromium / Chrome.» — Марк Гривз (PCNetSpec) — Лидер команды разработчиков & Администратор службы поддержки.

WikiMatrix

Since the 4.4-r2 the project also releases efi_img which could be used to create a live USB which is bootable from UEFI devices.

Начиная с 4.4-r2, Android-x86 также выпускает образы efi_img, которые могут быть использованы для создания Live USB, который можно загружать с

устройств UEFI.

WikiMatrix

It is not possible to patch the problems from the operating system, and a firmware (UEFI, BIOS) update to the motherboard is required, which was anticipated to take quite some time for the many individual manufacturers to accomplish, if it ever would be for many systems.

Проблему нельзя исправить на уровне операционной системы, и необходимо обновление прошивки материнской платы (BIOS, UEFI), что предположительно займёт некоторое время у производителей.

WikiMatrix

The GPT partitioning scheme is part of the

UEFI standard.

Схема GPT является частью стандарта UEFI.

Literature

UEFI boot support was introduced with version 1.3.2, localization with 1.4.0 and Windows To Go with 2.0.

Поддержка интерфейса загрузки UEFI была представлена в версии 1.3.2, локализация программы на другие языки была реализована в версии 1.4.0, а поддержка Windows To Go появилась в версии 2.0.

WikiMatrix

You could also enter the setup utility (either BIOS or UEFI) to permanently set the order used to boot devices.

Вы также можете настроить системную прошивку (BIOS

или UEFI), чтобы определить порядок загрузки устройств.

Literature

Newer motherboards use Unified Extensible Firmware Interface (UEFI) instead of BIOS.

В настоящее время компания Intel на новых платформах предлагает использовать extensible firmware interface (UEFI) вместо BIOS.

WikiMatrix

Instead, you must provide a boot loader written for UEFI.

Вместо этого вы должны предоставить загрузчик системы, написанный для интерфейса UEFI.

Literature

For example, when using GRUB, you have to install the UEFI version of GRUB rather than the BIOS version.

Например, при использовании загрузчика GRUB вы должны установить UEFI-

версию загрузчика GRUB, а не BIOS-версию.

Literature

This specification is normally, but not by requirement, used in conjunction with the UEFI specification.

Эта спецификация является скорее рекомендацией, а не требованием, и применяется совместно со спецификацией EFI.

WikiMatrix

This release of Lubuntu does not support UEFI Secure Boot, unlike Ubuntu 12.10, which would have allowed it to run on hardware designed for Windows 8.

Этот выпуск Lubuntu не поддерживает UEFI Secure Boot, в отличие от Ubuntu 12.10, что позволило бы ему работать на оборудовании, предназначенном для Windows 8.

WikiMatrix

Booting is radically different on UEFI systems and, for the most part, much easier to understand.

Загрузка систем с интерфейсом UEFI происходит совершенно иначе, и понять ее гораздо проще.

Literature

During 2005, more than one million Intel systems shipped with Intel’s implementation of UEFI.

Так, в течение 2005 года было выпущено более одного миллиона систем Intel.

WikiMatrix

Windows To Go works with USB 2.0 and faster USB connections, and both on legacy BIOS and UEFI firmware.

Windows To Go работает с USB 2.0 и более поздними версиями и как с устаревшим BIOS, так и с прошивкой UEFI.

WikiMatrix

A related project, Android-IA has been produced by Intel that will run on newer UEFI devices.

Соответствующий проект, Android-IA, был создан Intel, который будет работать на более новых UEFIустройствах.

WikiMatrix

In fact, EFI will soon be known as Unified Extensible Firmware Interface (UEFI).

EFI будет скоро называться Unified Extensible Firmware Interface (UEFI).

Literature

The beta version of Remix OS for PC brings hard drive installation, 32-bit support,

UEFI support and OTA updates.

Бета-версия Remix OS для ПК предусматривает установку на жёсткий диск, 32-битную поддержку, поддержку UEFI, и обновления OTA.

WikiMatrix

2013 Matthew Garrett for his work to support software freedom in relation to Secure Boot, UEFI, and the Linux kernel 2014 Sébastien Jodogne for his work on easing the exchange of medical images and developing Orthanc.

2013 Мэтью Гаррет (en) за свою работу по поддержке свободного программного обеспечения — Secure Boot, UEFI и ядро Linux 2014 Себастьен Жодонь (Sébastien Jodogne) за его работу по облегчению обмена медицинскими снимками и разработку Orthanc.

WikiMatrix

Как отключить secure boot на ноутбуке asus

Многие покупатели ноутбука или ПК, где есть предустановленная ОС Windows 8 хотят перезагрузиться с диска и переустановить на Windows 7, но при этом не получается решить проблему отключения Secure Boot в Windows 8.1. Для этих целей необходимо войти в конфигурацию BIOS и посмотреть, как будет происходить отключение режима UEFI. Вся информация об этом ниже.

Непосредственное значение Secure Boot это защитная функция, которая разработана Майкрософт, где имеется доставленное для ПК в приоритете загрузка BIOS на CD / DVD диске. Это опция означает, что вы не можете осуществить загрузку диска, не можете осуществить приоритетную загрузку к USB и неважно, что в качестве этого будет использовано — диск или флэш-накопитель. Таким образом, доступ будет закрыт по умолчанию, но вы можете решить задачу

как отключить Secure Boot в BIOS, используя простые подсказки. Нужно помнить одну вещь, что главной целью Secure Boot являются ключи, которые пользователь должен в обязательном порядке купить.

Как отключить Secure Boot в BIOS Acer, советы и рекомендации

Главной особенности утилиты является проверка соответствия ключей и имеющихся подписей для загрузочной системы ПК, в том числе для Acer. Эта утилита предназначена для того, чтобы не было несанкционированного доступа в вашу операционную систему. Таким образом, чтобы избежать сложных действий по отключению утилиты, пользователь сначала должен отключить утилиту в UEFI.

Интерфейс этой утилиты принадлежит не Майкрософту, как думают многие пользователи, а компании UEFI, которая является разработчиком БИОС для компьютеров и ноутбуков. Основная функция этой утилиты — полный запрет установки другой ОС, а также управление ключами, которые предусмотрены конфигурацией для любого ПК или ноутбука. Среди всех вариантов отключения заострим внимание на том, что UEFI Secure Boot отключить не получится только на планшете, где имеется предустановленная операционная система Windows.

Если ваша операционная система «восьмёрка» или «десятка», тогда попробуем отключить утилиту в двух режимах.

  • Используем режим Setup. Эта функция необходима для того, чтобы можно было отключить и произвести замену основных ключей общего вида Platform Key, и KEK, а также обкатать на базе действия разрешённых и отозванных ключей типового исполнения DB и DBX.
  • Применяем в работе режим User или режим непосредственного пользователя, в котором работает юзер ПК.

Для того, чтобы полностью убрать функцию утилиты, в любом случае придётся использовать первый тип режима. Происходящая замена ключей позволяет сравниться с подписями кода, при этом имеется возможность обойти имеющиеся ограничения БИОС на переподключение к другой операционной системе.

Как отключить Secure Boot в BIOS Asus, первые шаги к действию

Выяснить, установлена ли утилита Secure Boot на ПК, или ноутбуке Asus можно одним из трёх нижеперечисленных способов:

  1. Если вы пытаетесь поставить новый вариант ОС Windows на ваш ноутбук, на экране монитора появится соответствующее сообщение.
  2. Находим меню на ПК под названием msinfo32. Вводим это название в поисковый запрос вашего ноутбука. Далее активируем подпункт «Состояние безопасной загрузки» и осуществляем поиск проблемы, в этом блоке должна быть отражена соответствующая информация о системе защиты ноутбука.
  3. Находим командную строку и вбиваем в неё информацию- Confirm-SecureBootUEFI. Если режим рабочий, то появится следующая запись True, а если неактивный режим соответственно запись — False. Если вы увидите такую надпись Cmdletnotsupportedonthisplatform, это говорит о том, что на вашем ПК полностью отсутствует какая-либо утилита Secure Boot.

По окончании поиска нужной информации, проверяем тип политики SB. Для этих целей используется другая доступная команда под названием Get-SecureBootPolicy. Этот вариант командной строки вернёт ваш ноутбук в исходное состояние и говорит о полной безопасности эксплуатации ПК. Цифровая комбинация при этом должна иметь следующий вид: <77FA9ABD-0359-4D32-BD60-28F4E78F784B>.

Если вы увидите такого типа информацию на экране ноутбука: Secure Boot policy is not enabled on this machine, то режим работы утилиты не поддерживается на вашей материнской плате.

Для Asus рекомендуется выбрать Other OS в пункте OS Type. Если у вас стационарный Asus переходим в раздел Authentication.

Особое значение уделяем материнской плате марки Gigabyte, для устранения возникшей проблемы требуется переход в меню BIOS Features.

Советы и рекомендации как отключить Secure Boot на ноутбуке Lenovo

Чтобы правильно и безопасно решить проблему отключения защиты Secure Boot в BIOS на ноутбуке Lenovo рекомендуем воспользоваться следующими подсказками.

  • Входим в действующие настройки интерфейса UEFI.
  • Изменяем действующие настройки БИОС исходя из характеристик вашей материнской платы.

Для компьютеров имеющие версии «восьмёрки» и выше, есть два входа в БИОС.

  • Осуществляем переход в меню панели «Параметры». Выбираем значение изменение параметров. Активируем кнопки «Обновление и восстановление», потом обязательно активируем кнопку «Восстановление».
  • Перемещаемся в пункт «Перезагрузить», затем осуществляем настройки программного обеспечения ПО UEFI, ожидаем некоторое время для перезагрузки.
  • Теперь, при включении ПК или ноутбука включаем следующие кнопки — Delete. F2 и другие.

Если удалось в полной мере выполнить вход в интерфейс, потребуется найти в его меню пункт, который отвечает за отключение всех утилит.

Как отключить Secure Boot на ноутбуке HP, полезные советы

Практически все модели ноутбуков адаптированы под отключение Secure Boot, но, чтобы эффективно отключить утилиту, нужно смотреть на конкретную марку модели ноутбука или ПК, а также на модель материнской платы, предусмотренной для каждой серии персонального компьютера. Для ноутбука модели НР потребуется найти страницу вкладки System Configuration, после этого перейти на подпункт Boot Options. Далее осуществляем замену значения действующих показателей Secure Boot на Disabled.

По окончании процесса перезагрузки никаких дальнейших ограничений на переустановку операционных систем не должно возникать.

Мир не стоит на месте. Когда-то пиком популярности было хранить информацию на диске или на дискете. Сейчас предпочтение отдается более удобным и вместительным флеш-накопителям.Чтобы осуществить загрузку в БИОС через флешку, необходимо.

SuperFetch – известная технология, связанная с ReadyBoost в операционных системах Windows 7, Vista и также 8|8.1. Суть ее состоит в том, что она ускоряет работу программ посредство использования кэша оперативной памяти, с которым вы часто проводите операции.

Наверное, вы очень часто замечали и продолжаете замечать, как вам при установке, удалении, внесении изменений и открытии какого-то приложение, открывается надоедливое диалоговое окно UAC в Windows 7. Как отключить его, чтобы оно больше не.

Отключаем Secure Boot

Этот протокол является функцией UEFI, которая, пришла на смену привычному нам BIOS.

Эта технология дает возможность сделать проверку подписей драйверов и модулей ядра, вычисляя, тем самым, присутствие неподписанного вредоносного кода.

Поэтому Secure Boot довольно эффективно защищает ваш компьютер от вредоносных программ (буткитов), которые переписывают первый загрузочный сектор жесткого диска.

В случае, если вы приобретали свой ноутбук после 2010 года (именно тогда на смену BIOS пришла система UEFI) — вам для установки другой операционной системы либо для ее загрузки с установочной флешки потребуется отключение Unified Extensible Firmware Interface (UEFI).

Стоит отметить, что интерфейс BIOS UEFI у разных производителей ноутбуков и стационарных компьютеров в значительной степени отличается друг от друга, поэтому Secure Boot как отключить мы рассмотрим на примерах с различными моделями устройств.

Содержание этой статьи:

Общие правила отключения функции UEFI

Для отключения можно использовать различные способы.

Первый из которых возможен при наличии на вашем устройстве операционной системы Windows 8 или выше.

В этом случае вам понадобится открыть правую панель и выбрать пункт «Параметры», после чего перейти в раздел изменения параметров компьютера.

Затем следует выбрать пункт «Восстановление» в разделе «Обновление и восстановление» и кликнуть по кнопке «Перезагрузить сейчас» с использованием особых вариантов загрузки компьютера.

Выбираем параметры загрузки

В дополнительных параметрах выбираете настройки UEFI и производите перезагрузку устройства.

Пункт выбора UEFI

Еще одним способом, позволяющим войти в БИОС вашего ноутбука, является использование комбинации клавиш Fn + F2 .

После этого вы также получите доступ ко всем настройкам BIOS.

На некоторых ОС «горячие клавиши» могут отличаться.

Так у стационарных компьютеров это чаще всего клавиша Delete , а у большинства ноутбуков — F2 .

Для того, чтобы не ошибиться с тем, какие клавиши позволяют войти в настройки BIOS на вашем устройстве — вы их можете увидеть на начальном экране в момент запуска.

Для начала стоит рассмотреть настройки БИОС Insideh30 setup utility с имеющейся функцией UEFI, так как это распространенный набор микропрограмм для большинства ноутбуков.

Сюда можно отнести устройства таких брендов как Acer и Toshiba, перевод Secure Boot в неактивное состояние на которых несколько схоже.

Отключение на устройствах Acer

Используя клавишу F2 в самом начале загрузки операционной системы откройте окно BIOS.

Зайдя таким образом в настройки BIOS UEFI необходимо будет перейти в раздел «Main» и из присутствующего списка выбрать пункт «F12 Boot Menu».

По умолчанию данная функция активна, однако, ее следует деактивировать, установив напротив нее параметр [Disabled] .

В этом случае вы сможете после нажатия клавиши F12 попасть в загрузочное меню своего ноутбука.

После этого необходимо с помощью клавиш со стрелками переместиться в раздел «Security» и выбрать пункт «Set Supervisor Password».

Нажатием клавиши Enter вызывается поле установки пароля, ввод которого обязателен (его потом можно попросту сбросить).

После его ввода снова жмете Enter для подтверждения.

Кроме этого, необходим повторный ввод этого же пароля в нижнее поле окна «Set Supervisor Password».

Далее вам понадобится перейти на вкладку Boot и выбрать пункт «Boot Mode», находящийся по умолчанию в положении UEFI.

Выделите его и активируйте вариант Legacy, а для подтверждения нажмите кнопку Enter .

После этого следует сохранить произведенные изменения нажатием кнопки F10 .

Останется лишь в самом начале перезагрузки ноутбука нажать клавишу F12 , чтобы попасть в его загрузочное меню, в котором указать один из вариантов загрузки операционной системы.

Отключение на ноутбуке Toshiba

Необходимо найти раздел «Security», который присутствует в верхнем списке меню.

Не забывайте, что все перемещения по списку производятся при помощи клавиш со стрелками.

BIOS ноутбука Тошиба

Выбрав таким образом необходимый пункт — жмете на клавишу Enter , чтобы войти в его настройки.

После этого опускаетесь к опции «Secure Boot», расположенной в нижней части вкладки.

По умолчанию данная функция включена и имеет надпись [Enabled] .

При нажатии на данном пункте кнопкой Enter вам представится возможность выбрать вариант [Disabled] — отключено.

С помощью этих действий вы отключите функцию Secure Boot на своем ноутбуке, но для того, чтобы установить на него другую операционную систему — этого будет недостаточно.

На данной вкладке среди имеющегося списка найдите пункт «System Configuration» и нажмите кнопку Enter .

Войдя в настройки данного пункта выберите строку «Boot Mode» (в некоторых моделях может быть «OS Mode Selection») и в открывшемся меню перейдите из установленного по умолчанию положения «UEFI Boot» (на некоторых устройствах может быть «UEFI OS») в режим «CSM Boot» (могут быть и такие варианты, как «CMS OS», «UEFI and Legacy OS»).

После проведения всех настроек следует нажать клавишу F10 , чтобы они вступили в силу, а в открывшемся окне «Save & reset» подтвердить свое намерение выбором пункта «Yes» и нажать клавишу Enter .

Завершающим этапом будет перезагрузка ноутбука, после которой вы сможете установить на устройство любую другую операционную систему.

Для этого вам снова придется войти в БИОС, используя клавишу F10 либо Esc , и выбрать в его настройках подключенную установочную флешку или загрузочный компакт диск.

Отключение на ноутбуке Samsung

На устройствах данного производителя устанавливается программа Aptio Setup utility, ее открытие происходит в момент запуска нажатием клавиши F2 .

Войдя таким образом в BIOS следует открыть настройки раздела «Boot».

В нем необходимо выбрать пункт «Secure Boot» и перевести его из состояния [Enabled] (включено) в положение [Disabled] (отключено).

Перемещение производится с помощью клавиш со стрелками, а подтверждение изменения — кнопкой Enter .

После того, как появится окно с предупреждением, что загрузка компьютера может быть произведена с ошибкой — нажмите на клавишу Enter для подтверждения.

Этот пункт следует перевести в положение «UEFI and Legacy OS» либо «CSM OS» и вновь нажать на клавиатуре Enter .

Перед вами снова появится сообщение о возможном появлении ошибки в процессе перезагрузки.

Игнорируйте его нажатие клавиши Enter , после чего перезагрузите ноутбук с сохранением новых настроек.

Для этого необходимо нажать на клавишу F10 и согласиться с сохраняемыми изменениями, выбрав вариант «Yes».

Когда ПК будет перезагружаться, нажмите F10 , перед вами откроется меню загрузки.

В нем вам предстоит выбрать один из вариантов — жесткий диск компьютера, компакт-диск или флешку.

Вариант отключения на устройствах Hewlett-Packard

Выполнение данной операции на некоторых моделях ноутбуков HP может быть сопряжено с некоторыми дополнительными действиями.

Одной из таких моделей является HP Pavilion.

BIOS ноутбука HP

Изначально следует запустить ноутбук и в самом начале загрузки (как только на экране монитора появятся самые первые символы) нажать и удерживать некоторое время кнопкой Esc .

После этого появится «Startup Menu», которое содержит варианты загрузки.

Далее нужно воспользоваться кнопкой F10 , чтобы попасть в окно настроек BIOS.

Войдя в него вам предстоит выбрать раздел меню «System Configuration», расположенный в верхней части окна, перемещаться к которому следует с помощью кнопок со стрелками.

Нажатием на Enter вы попадете в окно настроек данного пункта, в котором нужно выбрать из имеющегося списка пункт «Secure Boot».

Чтобы его отключить — установите напротив него значение [Disabled] (отключено).

После этого перейдите к пункту «Legacy support», отвечающему за совместимость с другими операционными системами.

Переведите его в состояние [Enabled] , так как по умолчанию данная функция отключена.

На ваши действия система выдаст предупреждение, которое необходимо проигнорировать и выбрать пункт «Yes».

Далее жмете на кнопку Enter , после чего происходит стандартная перезагрузка.

В ее процессе откроется окно с предупреждением о том, что произведено изменение режима безопасной загрузки операционной системы.

Для завершения произведенных настроек будет предложено ввести четырехзначный код и нажать на клавишу Enter .

При его новом запуске необходимо удерживать Esc на клавиатуре, которая позволит войти в загрузочное меню.

Материнская плата ASUS

Для удобства работы на некоторых моделях предусмотрено наличие русского языка, делающего интерфейс UEFI BIOS Utility понятным и доступным.

Также имеется возможность использовать компьютерную мышь для проведения настроек.

Вид UEFI BIOS Utility

Чтобы отключить функцию Secure Boot необходимо удерживать кнопку F2 или Delete в момент загрузки компьютера.

Это позволит открыть окно «UEFI BIOS», находясь в котором следует нажать клавишу F7 .

Открыв окно настроек вам понадобится перейти в пункт меню «Загрузка» и выбрать в нем параметр «Безопасная загрузка».

В строке «Тип ОС» выбираете «Other OS» (другая ОС) вместо установленной по умолчанию «Windows UEFI mode».

После этого необходимо вернуться в начальное окно раздела «Загрузка» и выбрать пункт CSM (Compatibility Support Module).

Выделив данный пункт и нажав клавишу Enter , вы попадете в окно его настроек, в котором выбираете «Запуск CSM».

Далее выбираете пункт «Параметры загрузочных устройств» и устанавливаете ему свойство «UEFI и Legacy OpROM» либо «Только Legacy OpROM».

Перейдите в пункт «Загрузка с устройств хранения» и установите один из двух вариантов — «Both, Legacy OpROM first» либо «Сначала Legacy OpROM».

Затем нажмите клавишу F10 , чтобы сохранить все произведенные изменения.

Протокол безопасной загрузки Secure Boot, основанный на специальных сертифицированных ключах, имеющихся только у Windows 8 и выше, не даст установить операционную систему на ваш компьютер с какого-либо установочного носителя, кроме носителя с «восьмеркой» или «десяткой». Поэтому, чтобы начать установку другой системы на ваш стационарный компьютер или ноутбук, потребуется отключить Secure Boot в UEFI-BIOS .

Параметр «Secure Boot», ответственный за отключение протокола безопасной загрузки, в большинстве случаев находится в разделах « Security », « System Configuration » или « Boot ». Но хочу сказать, что для установки, к примеру, Windows 7 на новый ноутбук с UEFI-BIOS мало будет отключить только « Secure Boot » в UEFI-BIOS, нужно еще включить режим совместимости с другими операционными системами.

Называется ответственный за это параметр у всех производителей по разному: « Launch CSM », « CMS Boot », « UEFI and Legacy OS », « CMS OS ». И находится, в подавляющем большинстве, в разделе « Advanced », а в нем, в подразделах « Boot Mode » или « OS Mode Selection ».

На ноутбуке :

Как отключить Secure Boot и UEFI на ноутбуке Toshiba

(Утилита Insydeh30 Setup Utility)

При загрузке ноутбука нажмите клавишу F2 и войдите в UEFI-BIOS. Зайдите в раздел «Security» и, найдите параметр «Secure Boot», переключите его в положение «Disabled».

Таким нехитрым способом мы смогли отключить Secure Boot в UEFI-BIOS. Но это еще не все. Теперь вам нужно включить режим совместимости с другими операционными системами. Идем в раздел «Advanced» находим подраздел «System Configuration» и заходим в него.

Здесь выбираем параметр «Boot Mode» или «OS Mode Selection», и переключаем его из положения «UEFI OS» (возможно «UEFI Boot») в положение «CSM Boot» (возможно «UEFI and Legacy OS» или «CMS OS»).

Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав пункт «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.

Как отключить Secure Boot и UEFI на ноутбуке HP

Иногда бывает все не столь очевидно. Например, на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно произвести еще несколько дополнительных операций.

Нажимаем при загрузке ноутбука клавишу F10 (возможно ESC, затем F10) и входим в UEFI-BIOS. Заходим в раздел «System Configuration», находим подраздел «Boot Options» и заходим в него.

Находим параметр «Secure Boot» и переключаем его в положение «Disabled» (Выключено). А параметр режима совместимости с другими операционными системами «Legacy support», напротив, переключаем в положение «Enabled» (Включено).

На предупреждение отвечаем согласием «Yes».

Для того чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение данных изменений, выбрав «Yes». Перезагрузка компьютера. После перезагрузки выходит окно с предупреждением «A change to the operating system secure boot mode is pending…». По-английски нам предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код, конечно, будет другим) и нажать Enter. После этого изменения в настройках UEFI-BIOS будут сохранены и ноутбук опять перезагрузится.

При включении ноутбука HP нажмите клавишу ESC и попадете в стартовое меню. В нем выбираем «F9 Boot Device Options» и, зайдя в меню загрузки, выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с дистрибутивом операционной системы.

Как отключить Secure Boot и UEFI на ноутбуке Asus

(Утилита Aptio Setup Utility)

При загрузке ноутбука нажмите клавишу DELETE и войдите в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключаем его в положение «Disabled».

Затем переходим в раздел «Boot» и, найдя параметр «Fast Boot», переключаем его в положение «Disabled».

Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Опять входим в UEFI-BIOS. Заходим в раздел «Boot» и, найдя параметр «Launch CSM», переключаем его в положение «Enabled» (Включено).

Опять нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. При включении ноутбука Asus жмем клавишу ESC и попадаем в меню загрузки. В нем выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с операционной системой.

Как отключить Secure Boot и UEFI на ноутбуке Samsung

(Утилита Aptio Setup Utility)

Нажимаем при загрузке ноутбука клавишу F2 и входим в UEFI-BIOS. Заходим в раздел «Boot» и находим параметр «Secure Boot».

Переключите его в положение «Disabled» (Выключено).

На предупреждение о том, что компьютер может загрузиться с ошибкой нажмите Enter.

В этом же разделе ниже появится параметр «OS Mode Selection».

Переключите его в положение «CMS OS» или «UEFI and Legacy OS».

Опять появится предупреждение о возможности следующей загрузки ноутбука с ошибкой. Жмем Enter. Чтобы изменения вступили в силу, нажмите клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Теперь мы сможем загрузить на наш ноутбук любую операционку, если не получается, обращайтесь в КомпрайЭкспресс.

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire

(Утилита Insydeh30 Setup Utility)

Нажмите при загрузке ноутбука клавишу F2 и войдите в UEFI-BIOS. Здесь заходим в раздел «Main» и, найдя параметр «F12 Boot Menu», переключаем его в положение «Enabled». Этим действием мы разрешили появление загрузочного меню ноутбука при нажатии клавиши F12.

Далее переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter. В верхнем поле задаем пароль (в дальнейшем мы его сбросим) и нажимаем Enter. В нижнем поле вводим этот же пароль и опять жмем Enter.

На сообщение «Changes have been saved» еще раз нажмите клавишу Enter.

Дальше переходим в раздел «Boot» и, найдя параметр «Boot Mode», переключите его из положения «UEFI» в положение «Legacy».

Для того чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Так как имеет смысл убрать ранее заданный нами пароль (возможность отключения/включения «Secure Boot» останется), снова по F2 входим в UEFI-BIOS, переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter. В верхнем поле вводим ранее заданный нами пароль и нажимаем Enter. Во втором и третьем поле ничего не вводим, просто нажимая Enter.

На сообщение «Changes have been saved» еще раз нажмите Enter. Вот и все! Пароль сброшен, а возможность отключения/включения «Secure Boot» сохранилась. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.

На стационарном Компьютере :

Как отключить Secure Boot и UEFI на материнской плате Asus

Нажимаем при загрузке ноутбука клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Нажимаем F7 для перехода в «Advanced Mode».

Заходим в раздел «Boot», находим там подраздел «Secure Boot» и заходим в него.

Переключите параметр «Secure Boot» в положение «Other OS».

Далее вернитесь в корень раздела «Boot» и перейдите в подраздел «CSM (Compatibility Support Module)».

Переключите параметр «Launch CSM» в положение «Enabled».

В открывшихся дополнительных опциях выбираем «Boot Device Control» и переключаем в положение «Legacy OpROM only» или «UEFI and Legacy OpROM».

Переходим к параметру «Boot from Storage Devices» и переключаем его в положение «Legacy OpROM first» или «Both, Legacy OpROM first».

Этими действиями мы смогли отключить Secure Boot и включили режим расширенной загрузки. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.

Как отключить Secure Boot и UEFI на материнской плате Asrock

Нажимаем при загрузке компьютера клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключите его в положение «Disabled».

Для того чтобы изменения вступили в силу, нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь вы сможете загрузить на PC любую операционную систему.

Как отключить Secure Boot и UEFI на материнской плате Gigabyte

Нажимаем при загрузке ПК клавишу DELETE и входим в UEFI-BIOS. Заходим в раздел «BIOS Features» и, найдя параметр «Windows 8 Features», переключаем его в положение «Other OS».

Затем параметр «Boot Mode Selection» переключаем в положение «Legacy only» или «UEFI and Legacy». И, наконец, параметр «Other PCI Device ROM Priority» переключаем в положение «Legacy OpROM».

Для сохранения изменений нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.

Как отключить Secure Boot и UEFI на материнской плате MSI

При загрузке PC нажмите клавишу DELETE и зайдите в UEFI-BIOS. Здесь заходим в раздел «SETTINGS», переходим в подраздел «Boot», и найдя параметр «Boot Mode Select», переключаем его в положение «Legacy+UEFI».

Чтобы изменения вступили в силу, нажимайте клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.

Пишите в комментариях, помогла ли вам данная инструкция решить проблему с установкой операционной системы на персональный компьютер или ноутбук.

► Если у вас возникают сложности с настройкой БИОСа, вы можете обратиться к нам за консультацией или помощью компьютерного мастера. Звоните по тел:

☎ 8 (495) 902-72-01 ☎ 8 (915) 320-33-97

Мы быстро и недорого поможем вам, выезд на дом у нас бесплатно.

Система комментариев DISQUS была отключена, старые комментарии скопированы простым текстом. В дальнейшем, будет установлена др. система комментирования.

• Артур Пирошков • год назад:

не получилось найти Secure Boot в EFI BIOS Utility — Advanced Mode версии 2.00.1201. Copyright (c) 2010 American Megatrends, Inc отсутствуют параметры в Boot и Advanced: Secure Boot просто нет!

• Виталий Вощатинский • 2 года назад:

Огромное спасибо за проделанную работу. Но в моем случае ноутбук Acer Aspire возможность поменять BOOT MODE просто отсутствует. Есть ли решение этого вопроса?

• Zoro Виталий Вощатинский • 2 года назад:

Доброго времени суток! И у меня такое чудо )) Может нашли решение?

• Виталий Вощатинский Zoro • 2 года назад:

В сервисном центре «высера». ой асера. мне сказали. что эта модель имеет поддержку только для винды 10. Пригласил по обьявлению парня и он часа за 3, установил мне убунту 17, нно при этомм комп не выключается. то еть все прогитормозятся. но физическиотключить итание можно только нажав на кнопку повер.

• Андрей • 2 года назад:

ноутбук acer aspire. поставил пароль а boor mode не разблочилось, только secure boot. как дальше быть не знаю Max Chu

• Андрей • год назад:

Та же проблема. Как быть не знаю. Может только перепрошивка BIOS поможет. но опять как это сделать. 10-ка не даёт установить другую версию.

• Денис Купцов • 2 года назад:

ЧУВАААК ОГРОМНОЕ СПАСИБО . так то давно меняю себе и друзьям виндосы! но 1 раз решил переустановить на ноутбуке! и пипец думал сломал комп)) блин что бы я без тебя делал))) Люблю тебя)))

• Иван Здравствуйте • 2 года назад:

• Блииииин спасибооо!По крайней мере этот секьюрити отключил!Счас на работе поэтому тестануть встанет ли семерка не смогу но после смены попробую. Огромное спасибо.Сайт ушел в закладки.

• Dalai Lama • 2 года назад:

Спасибо Бро за труды в помощь неразумным юзерам! Зае..мучился искать ответы! Твоя статья великолепна!

• Ирина Юсупова • 2 года назад:

маялась никак не могла разобраться, уже весь инет перерыла пока нашла эту статью — вполне доступно и понятно описано. Спасибо.

• Станислав • 2 года назад:

Огромное, человеческое спасибо, помогла подробная статья для ноутбуков HP, долго мучился, а потом с помощью Вас всё удалось за 5 минут, и вот Windows 7 уже завершает установку, благодарю!

• Станислав • 2 года назад:

Спасибо за развернутую инструкцию! очень долго ломал голову, а тут оказалось все предельно просто! Сайт ушел в закладки, так сказать на будущее!

• Павел • 2 года назад:

Как нарочно, у самого возникла такая проблема, после того как произвел активацию десятки с 8ки. Но нужные проги в ней не работали, решил установить семерку 64 бита, но, как и многие, столкнулся с пресловутым секьюри бут, который не давал сделать это. инструкции к Тошиба помогли, спасибо

• Симона Маркина • 3 года назад:

Хотела на новом ноутбуке поставить Линукс. Но не получалось ничего с этим новым для меня БИОСом. Статья помогла на все сто. Теперь у меня есть Ubuntu.

• Дмитрий Верник • 3 года назад:

Вот у меня как раз ASUS! Спасибо за статью, очень помогла! Давно искал подробную инструкцию!

• Иван • 3 года назад:

Статья спасла, очень подробно все расписано и показано на фото. Прочитав смог установить Win 7 вместо предустановленного Win 8.1)))

• Юрий Шокин • 3 года назад:

Хорошо, когда есть такие подробные статьи и руководства по функциям Биоса. Мне не понятно было как отключить secure boot на ноутбуке lenovo, сделал по аналогии с другими марками. С такими своевременными подсказками справился с переустановкой операционной системы быстро, благодарю за ценный совет.

• Evgeniy Maslennikov • 3 года назад:

Жесть, ребята, другими словами просто не описать то как я намучался за прошлыые выходные, спасибо вам большое за советы!

• Иван • 3 года назад:

Уважение автору! Вот наконец-то попалась статья в которой нормально описано как отключить Secure boot в разных UEFI биосах. А то вечно весь интернет прочешешь, пока соберешь полную картину. Спасибо, очень облегчил переустановку Виндовс 8.

• Иван Щепелин • 3 года назад:

Спасибо вам! Я в этом полный ноль, но с вашими рекомендациями и с помощью своего друга, Windows 7 на ноутбук Асер установить сумели )

Добавьте страницу в Закладки «ctrl + D»

Поделиться с друзьями:

★ Москва, ул. Краснобогатырская, 13

☎ +7 (915) 320-33-97 (дежурный специалист)

☎ +7 (495) 902-72-01 (статус ремонта, гарантия)

Компьютерная Помощь ВАО, ЦАО, СВАО, ЮВАО, ЮАО, ЮЗАО, ЗАО, СЗАО, ЗелАО.

Ремонт Компьютеров, ноутбуков в Балашихе, Мытищи, Перово, Новогиреево, Химки, Одинцово, Марьино, Солнцево, Домодедово, Новопеределкино, Узловая, Каширская, Студенченская, Кожухово, Щелковская, Измайлово, Люблино, Сергиев Посад, Багратионовская, Сходненская, Тушино, Аннино, Строгино, Гольяново, Отрадное, Проспект Вернадского, Павловский Посад, Павшинская Пойма, Зуево, Кунцевская, Реутове, Фрязино, Фили, Пролетарская, Алтуфьево, Войковская, ВДНХ, Переделкино, Ленинский Проспект, Фрунзенская, Преображенская Площадь, Сокольники, Соколиная Гора, Чертаново, Академическая, Авиамоторная, Жулебино, Коломенская, Щербинка, Юго Западная, Свиблово, Водный Стадион, Черкизовская, Кузьминки, Динамо, Крылатское, Красногвардейская, Сокол, Университет, Рязанский Проспект, Филевский Парк, Аэропорт, Бауманская, Бабушкинская, Красносельская, Котельники, Раменки, Теплый Стан, Ховрино, Царицыно, Щелково, Щекино, 1905 года, Беговая, Бирюлево, Вешняки, Дегунино, Звездная, Матвеевкая, Кантемировская, Пражская, Преображенское, Черемушки, Шоссе Энтузиастов и др. станции метро, районы Москвы. Выезд компьютерщика в любой район Москвы!

Сервисный центр КомпрайЭкспресс.ру © 2010-2019 Все права защищены

Копирование материалов сайта разрешено только при указании активной, прямой ссылки на сайт ComprayExpress.ru.

Вся информация на этом сайте, включая цены, носит характер исключительно информационный и ни при каких обстоятельствах не является публичной офертой, определяемой положениями Статьи 437 (2) Гражданского кодекса РФ.

Secure boot control — Английский

Английский

initial work will focus on the trusted platform module mobile (tpm mobile) — a tcg-specified security component for mobile devices that supports secure boot, and secures root secrets and immutable data, and globalplatform’s trusted execution environment (tee) — a secure area that resides in the main processor of a device and ensures that sensitive data is stored, processed and protected in a trusted environment.

Русский

На начальном этапе работа будет сосредоточена на модуле trusted platform module mobile (tpm mobile) – tcg-заданном компоненте безопасности для мобильных устройств, который поддерживает безопасную загрузку, а также обеспечивает безопасность передаваемых данных.

Последнее обновление: 2018-02-21
Частота использования: 1
Качество:

secure boot — русский перевод

Shoot the boot, shoot the boot, shoot the boot.

Выпей туфельку, выпей туфельку, выпей туфельку.

Boot.

Ботинок!

Boot!

Бут!

Boot

Шкаф…

Boot?

Ботинок?

Boot!

Мой сапог!

Boot

Багажник.

Boot.

Обувь.

BOOT schemes

Механизмы СВЭП

BOOT schemes

СВЭП

Boot desert

Ботинки для условий пустыни

Boot, desert

Ботинки для условий пустыни Свисток

Boot images

Загрузочные образы

Boot catalog

Загрузочный каталог

Boot Images

Загрузочные образы

Boot catalog

Загрузочный каталог

Boot manager

Диспетчер загрузки

Boot licker.

Подлиза.

Mr Boot?

Мистер Бут?

Mr Boot!

Мистер Бут!

Where’s Boot?

Где Бут?

Another boot.

Другой ботинок

Dee Boot?

Ди Бут?

Give boot.

Спасибо, сам справлюсь.

Boot it!

Проверяй!

Boot it.

Проверь ее!

Boot buttons!

Пуговицы от ботинок!

Dee Boot.

Ди Бут.

Boot cupboard?

Шкаф для обуви?

One boot?

Один ботинок?

Boot Booth?

Бут… Бут?

Boot stomps!

Топчем сапогами!

Computer, boot.

Компьютер загружается!

Boot camp?

Тренировочный центр?

Stiletto boot?

Сапог стриптизерши?

16. BOOT schemes

16. Механизмы СВЭП

6. BOOT schemes

6. Механизмы СВЭП

14. BOOT schemes

14. Механизмы СВЭП

X (1) (BOOT)

iii) строительство собственность передача (СЭП)

Boot, desert combat

Боевые ботинки для условий пустыни

Treatment of BOOT

Порядок учета баланса передачи прав собственности

no boot manager

Нет диспетчера загрузки

Grub boot manager

Загрузчик Grub

Default boot label

Загрузочная метка по умолчанию

No boot image

Нет загрузочного образа

О UEFI | Русскоязычная документация по Ubuntu

Вообще, представленный в статье материл не относятся исключительно к Ubuntu. В статье освящены и вопросы на прямую не зависящие от ОС.

Статья сфокусирована на объяснении понятий и принципов, а также важных и интересных возможностях UEFI. Более детально сам процесс установки и настройки загрузки Ubuntu в UEFI режиме описан в этой статье или в этой.

Практически все современные компьютеры оснащены системной прошивкой позволяющей загрузиться через UEFI. На более старых компьютерах за загрузку отвечал BIOS. В чем разница и как с этим всем жить — давайте разберемся.

BIOS

Старый добрый BIOS отвечает за первичное тестирование (POST), инициализацию практически всего аппаратного обеспечения компьютера и за инициализацию загрузки ОС с дискового носителя (хотя сегодня уже не все носители имеют в своей конструкции диск ). Собственно вся процедура инициализации загрузки ОС заключалась в двух шагах:

  1. по настройкам BIOS найти устройство (диск) с которого надо загрузиться.

  2. считать в память MBR, т.е. первый сектор (512 байт) диска и запустить находящийся там код на исполнение.

За все остальное (даже за работу с таблицей разделов, которая располагается в конце MBR) отвечает тот самый маленький код, который расположен в первых 446 байтах MBR.

Проблемой BIOS принято считать то, что много работы он делает зря (чем затягивает процесс загрузки системы). Практически всю его работу по инициализации и поддержке оборудования компьютера все современные ОС попросту игнорируют и повторно инициализируют и далее работают через свои драйвера. Все, что дает BIOS, было реально востребовано только в ранних версиях DOS…

Другой проблемой являются ограничения, которые установлены для поддержки BIOS: это 16-разрядный реальный режим работы процессора с набором команд i8086, 1Мб адресуемого пространства памяти и периферия (клавиатура, видео адаптер, контроллер прямого доступа в память) совместимая с IBM AT. На сегодняшний день, требовать от 64-х разрядного многоядерного, многопоточного процессора совместимости с одноядерным и однопоточным 16-разрядным i8086 — уже немного смешно, а требование совместимости по периферии с IBM PC-AT(компьютер 1984-го года выпуска) уже даже не смешно, а очень грустно.

(U)EFI

Идеи отказаться от всего того ненужного, что делает BIOS, снять архаичные ограничения BIOS и сделать процесс инициализации и загрузки более гибким возникали уже очень давно, и различные попытки сделать это предпринимались, но IT-индустрия реально созрела к принятию нового общего стандарта загрузки персональных компьютеров только в начале этого века. В 2005 был создан консорциуму UEFI Forum, которому INTEL передал свою наработки по проекту Intel Boot Initiative (позже переименованному в EFI — Extensible Firmware Interface), начатому еще середине 90-х. Помимо Intel в консорциум вошли AMD, Apple, IBM, Microsoft и многие другие крупные IT-компании. Вместе с созданием консорциума спецификация EFI была переименована в UEFI (Unified Extensible Firmware Interface)1).

Основные концепции положенные в основу UEFI — «минималистичность», «модульность» и поддержка разных процессоров. Прошивка UEFI может быть собрана под 32-битный или 64-битный процессоры Intel, 32- или 64-битный процессор ARM, а также для процессоров Intel Itanium. Кроме того UEFI имеет собственный менеджер загрузки и умеет работать с файловыми системами на диске (по умолчанию только FAT32), а также умеет загружать драйверы для поддержки различного оборудования и любых файловых систем.
После включения компьютера и проведения первичного теста оборудования (на этом этапе разницы с BIOS нет) инициализируются только те подсистемы, которые необходимые для загрузки.

В некоторых режимах загрузки, которые обычно называют Fast-boot (или Fast-Startup), даже клавиатура может оставаться не инициализированной, пока не загрузится ОС. Некоторые настройки Fast-boot могут отключать работу со всеми USB устройствами и не будет возможности даже выбрать с чего грузиться компьютеру, ведь клавиатура не работает до тех пор, пока не загрузится ОС.

Причем, в отличии от BIOS, все компоненты которого записаны в постоянную (флеш) память, UEFI может хранить часть своего кода на диске — в специальном разделе ESP2). Это позволяет легко расширять, менять и обновлять код поддерживающий различные устройства компьютера без необходимости перепрограммировать постоянное ЗУ компьютера. А кроме драйверов для поддержки устройств на ESP разделе может хранится и поддержка протоколов, утилиты и даже собственная EFI-оболочка (shell), из-под которой можно запускать собственные EFI-приложения. Т.е. UEFI по сути — маленькая ОС (или псевдо-ОС). При этом загрузчик операционной системы становится обычным приложением, которое исполняется в окружении, предоставляемом псевдо-ОС UEFI. Подробнее о EFS разделе мы поговорим в главе ESP раздел.

UEFI реализует свой менеджер загрузки, он поддерживает мульти-загрузку: позволяет выбирать загрузку из нескольких ОС и/или утилит. Загрузчик ОС — это просто efi-приложение, которое хранится на ESP разделе. В ESP может храниться много приложений, и пункты меню загрузки могут ссылаться каждый на свое приложение (или на одно, но с передачей разных параметров). Кроме того, UEFI поддерживает ассоциацию нажатия клавиш с пунктами загрузки (выбор пункта загрузки осуществляется в зависимости от того какая нажата клавиша в момент загрузки). Т.о. UEFI берет на себя большую часть задач, которые раньше могли решать только загрузчики ОС (типа GRUB). Более подробно мы поговорим о менеджере загрузки UEFI в разделе Менеджер загрузки UEFI

Архитектура UEFI позволяет также загрузить драйвера устройств (необходимые для работы ОС и для процедуры загрузки). Да и само ядро ОС можно загрузить (по крайней мере ядро Linux, собранное с опцией UEFISTUB) непосредственно из UEFI (т.е. устранить загрузчик из процесса загрузки). Такую возможность мы разберем более детально чуть позже в разделе Загрузка ядра Linux непосредственно из UEFI.

Как и в случае с BIOS, UEFI — это стандарт, практической реализацией которого занимаются разные поставщики решений. Поэтому в реализации стандарта UEFI в прошивках разных поставщиков могут значительно отличаться (как визуально так и функциональным наполнением). Могут встречаться сильно урезанные по функционалу реализации (чаще в компьютерах выпущенных в 2000-х годах). Но базовые принципы работы UEFI в процессе загрузки различаться сильно не должны (он был определен и зафиксирован в самых ранних стандартах UEFI). Интерфейсы утилиты настройки могут сильно различаться, но значение имеет не способ оформления интерфейса, а те настройки, которые доступны для изменения через этот интерфейс.

Совместимость

Само собой, современные прошивки умеют эмулировать работу BIOS. Отвечает за совместимость с BIOS модуль CSM (Compatibility Support Module иногда он еще называется Legasy support). Когда CSM включен и при загрузке загрузиться в UEFI не удалось, то CSM пытается найти загрузчик ОС в первом секторе диска (MBR) или в специальном служебном разделе (при GPT разбивке диска). Если код загрузчика найден, то CSM считает, что установлена ОС, требующая поддержки режима BIOS, и, прежде чем загрузить и запустить код из MBR, CSM проделывает все те же шаги инициализации оборудования, что предусмотрены для BIOS.

Если вы планируете использовать только загрузку в варианте UEFI, то работу этого модуля лучше запретить в системной утилите вашей материнской платы (Firmware setup utility). Кроме того, загрузка в режиме SecureBoot (о ней будет рассказано ниже) явно требует, что бы работа модуля CSM была запрещена.

Собственно использовать сразу оба варианта загрузки (для разных ОС) — не стоит. Лучше для всех ОС установленных на данном компьютере использовать один вариант загрузки: через CSM или UEFI.

ESP раздел

Отдельно стоит рассмотреть служебный раздел UEFI. Раздел обязательно должен иметь специальный идентификатор UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B (или тип EF если он создан на диске с таблицей разделов в MBR). По стандарту этот раздел должен иметь файловую систему FAT32 (в принципе стандарт допускает использование других ФС, но на практике это не распространено). Предусмотренная в стандарте структура каталогов довольно проста.

  • В корне системного раздела могут располагаться системные утилиты (например тот же шелл-интерпретатор).
  • В каталогах EFI\3) должны лежать загрузчики ОС указанного поставщика.
  • Если у UEFI нет явного указания какой загрузчик загружать, то он загружает файл EFI\BOOT\BOOTx64.EFI (…x32.EFI для 32-х битных платформ).

При установке UBUNTU (с загрузкой через UEFI) служебный раздел ESP монтируется в /boot/efi. И на ESP разделе создается каталог EFI\ubuntu в котором размещается загрузчик4) GRUB и/или Shim (о них — чуть позже).

EFS раздел лучше создавать из установщика. Когда вы делаете его сами через gparted/parted/fdisk, то есть шанс сделать что-то не так (например выберете FAT16 вместо FAT32) и тогда UEFI не поймет, что это EFS раздел и не будет с него загружаться. Доверьте установщику выполнить работу, которую он умеет делать хорошо — делайте EFS раздел из установщика.

MBR и GPT

Еще одно «новшество» в индустрии относится к таблице разделов диска.

Во времена IBM-PC/AT и BIOS таблица разделов размещалась в первом секторе на диске, т.е. в MBR (Master Boot Record). В MBR хранится и исполняемый код загрузчика ОС и таблица разделов. Т.к. в 5125) байт много не запихнешь, то таблица разделов была рассчитана только на 4 раздела.21 байт (на сегодня этот размер вновь выглядит астрономически большим… )

К чему я упомянул про таблицы разбиения дисков? А к тому, что, несмотря на то, что первоначально UEFI планировалось использовать только с GPT, а BIOS умел работать с MBR (вернее код в MBR работает с таблицей разделов расположенной в конце MBR), но в реальной жизни и BIOS (вернее сказать CSM) научили понимать GPT, и для UEFI предусмотрели использование таблицы разделов из MBR.

EFS раздел может быть также создан в таблице разделов формата ISO9660 (стандарт используемый для разметки CD/DVD оптических лисков). Это позволяет загружаться в режиме UEFI и с CD/DVD.

Получившаяся в результате «солянка» (из 4-х допустимых вариантов: UEFI + MBR, UEFI + GPT, BIOS/CSM + MBR и BIOS/CSM + GPT) создает некоторую путаницу и недопонимание. Давайте попробуем во всем этом разобраться более детально.

Что нужно для того что бы ОС грузилась через BIOS?

Несмотря на то, что загрузка в режиме BIOS уже не современна, не модна , а главное — технологически устарела, но, уверен, будет еще много сторонников этого пути, на протяжении долгих лет… Однако я не могу найти ни одного разумного довода использовать этот вариант если и ОС и компьютер поддерживают загрузку через UEFI.

В первую очередь, для загрузки через BIOS, в утилите настройки вашего компьютера должна быть разрешена работа модуля CSM. Само собой, режим SecureBoot (о нем рассказано чуть ниже) в таком варианте организовать невозможно в принципе.

Если разбивка диска — c таблицей разделов в MBR (вариант «BIOS/CSM + MBR»), то ничего дополнительно не нужно (это сочетание собственно и есть оригинальная конфигурация для варианта загрузки через BIOS).

А вот если у вас диск размечен через GPT (вариант «BIOS/SCM + GPT»), то возникают некоторые сложности.
В первую очередь: не совсем ясно — куда разместить код, который ранее размещался в MBR. Да, в GPT первый блок размером в 512 байт зарезервирован и в нем даже есть защитная версия таблицы разделов (в формате принятом для MBR). В защитной таблице разделов записан единственный раздел размером на все адресуемое пространство диска8) и с типом EE. Само собой, с единственной фейковой записью в таблице разделов никакой код в MBR не сможет корректно отработать процесс загрузки9).
Еще одно проблемное место возникает когда загрузчик использует для размещения своего кода сектора на первом треке диска за MBR (к примеру так поступает GRUB). В GPT на этом месте уже идут служебные записи (заголовок таблицы разделов и сами записи о разделах).
Для решения обоих этих проблем предусмотрен специальный бинарный (он не форматируется ни в какую ФС) раздел BIOS-Boot (Тип = EF02 или UUID = 21686148-6449-6E6F-744E-656564454649). Установщик ОС может прописать на этот раздел весь тот код, который ранее размещался в MBR и на незанятом пространстве за MBR. Этот раздел должен иметь установленный флаг boot. Размер этого раздела может быть совсем маленьким, ведь MBR — это всего 512 байт, а размер неиспользуемого пространства за MBR, составляет всего 31Кb или 1023,5Кb10). Однако, некоторые современные загрузчики требуют раздел BIOS-Boot размером в 10-30Мb.
В процессе загрузки CSM модуль (эмулирующий работу BIOS) отвечает за то, что находит в GPT раздел BIOS-Boot, загружает первые 512 байт с этого раздела, и передает управление загруженному коду. За дальнейший процесс загрузки отвечает этот код, а CSM берет на себя задачу эмулировать обращение к секторам диска за MBR (вместо этих секторов производится подстановка секторов из раздела BIOS-Boot).


Пожалуй вот на этом и закончим обсуждать CSM и BIOS, все дальнейшее будет относится только к UEFI.

Что нужно для установки ОС, что бы она грузилась через UEFI?

На самом деле все не так сложно как кажется. Как уже было сказано UEFI требует специального раздела ESP (с файловой системой FAT32 и флагами boot и esp). И, несмотря на то, что для этого раздела был предусмотрен специальный длинный идентификатор (UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B) для GPT, который в таблицу разделов MBR ну никак не запихнешь, этому разделу дали еще и короткий идентификатор (EF), который можно «впихнуть» в таблицу разделов в MBR. Т.е. ESP раздел можно создать и на диске с GPT и на диске с таблицей разделов в MBR (однако такой вариант поддерживает не любая ОС).

Т.о. при установке системы, помимо создания нужных для работы ОС разделов, нужно создать специальный раздел ESP:

— для варианта «UEFI + MBR» : c типом EF

— для варианта «UEFI + GPT» : c типом EF00 и UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B

Этот раздел должен быть отформатирован в FAT32 и иметь установленные флаги boot и esp. Размер раздела можно выбрать небольшим 200-300Мб (занято там будет, скорее всего, гораздо меньше, но делать его совсем маленьким, при современных объемах дисков — просто бессмысленно).

Если ESP раздел создается из установщика Ubuntu, то нужный формат, точку монтирования и необходимые флаги установщик сделает сам: нужно только выбрать тип раздела «EFI Boot» и задать его размер.

Если на компьютере уже стоит ОС загружающаяся через UEFI, то ESP раздел уже должен быть на диске и новый ESP создавать не нужно. В установщике Ubuntu надо только убедиться, что этот раздел используется как «EFI Boot». Более того, если создать несколько разделов ESP (на одном диске), то некоторые прошивки UEFI могут «окриветь» из-за такого неожиданного разнообразия. Общее правило — на диске должен быть только один раздел ESP. На разных устройствах ESP разделов может быть несколько — это вполне штатная ситуация для UEFI.

Ядро Linux загруженное не через UEFI не обеспечивает доступа к переменным UEFI, а это не позволяет изменять настройки загрузки UEFI. Поэтому, поставить новый Linux (что бы он загружался через UEFI) можно только предварительно загрузившись с установочного носителя через UEFI.

Некоторые дистрибутивы не умеют загружаться через UEFI, если у вас таблица разделов в MBR.

Для загрузки через UEFI модуль CSM не нужен, и, если все установленные на компьютере ОС грузятся через UEFI, то CSM лучше отключить. А вот если вы организуете загрузку в режиме SecureBoot, то CSM модуль отключить просто необходимо: без этого, обычно, просто не включить режим SecureBoot или включение SecureBoot автоматически запрещает работу CSM.

Менеджер загрузки UEFI

Кроме кода отвечающего за первичную инициализацию системы UEFI имеет свой менеджер загрузки. Работу менеджера загрузки задают переменные UEFI, хранящиеся в энергонезависимой памяти NVRAM11).

Переменные, которые задают работу менеджера загрузки это:

  • Driver####

  • DriverOrder

  • SysPrep####

  • SysPrepOrder

  • Boot####

  • BootOrder

  • OsRecovery####

  • PlatformRecovery####

  • BootNext

, где #### — шестнадцатеричный номер записи.

Переменные Driver#### инициализируют загрузку UEFI драйверов. Переменная DriverOrder определяет последовательность загрузки драйверов.

Драйвера остаются в памяти после своей инициализации. Однако загруженные драйвера сразу не связываются с устройствами, которые они обслуживают. Процесс такого связывания необходимо инициализировать отдельно. Но нужно отметить, что происходит не просто связывание загруженных драйверов, а повторное связывание, т.к. некоторые драйвера уже были связаны со своими устройствами в процессе первичной инициализации системы. За запуск процесса инициализации отвечает флаг LOAD_OPTION_FORCE_RECONNECT, который можно установить в поле атрибутов загрузочной записи Driver####. Если хоть у одного из загруженных драйверов этот флаг установлен, то после окончания загрузки всех драйверов менеджер загрузки UEFI инициализирует процедуру пере-связывания всех драйверов и устройств.

Переменные SysPrep#### инициализируют загрузку системных утилит. Переменная SysPrepOrder определяет последовательность утилит. Системных утилита должна выполнить свои действия и вернуть управление менеджеру загрузки UEFI. Утилиты не остаются в памяти, если нужен резидентный код, то его нужно загружать как Driver####.

Переменные Boot#### отвечают за загрузку загрузчиков ОС. Переменная BootOrder определяет приоритет загрузки загрузчиков ОС. Загрузчик обязан определить возможность загрузки ОС и принять решение — будет он загружать ОС или нет. Если ОС не будет загружаться, то загрузчик должен просто вернуть управление менеджеру загрузки UEFI. Если же ОС будет загружаться, то загрузчик должен уведомить об этом менеджера загрузки UEFI специальным вызовом. Этот вызов имеет принципиальное значение, т.к. те услуги которые UEFI обеспечивает для ОС гораздо уже и более ограничены чем те, которые доступны в процессе инициализации системы. И Именно для переключения режима услуг необходимо такое уведомление от загрузчика.

На работу менеджера загрузки влияют как переменные DriverOrder, SysPrepOrder и BootOrder, так и значение флага LOAD_OPTION_ACTIVE устанавливаемого в поле атрибутов загрузочной записи (Driver####, SysPrep#### или Boot####). Загрузочные записи с неактивным флагом LOAD_OPTION_ACTIVE игнорируются менеджером загрузки UEFI даже если эти записи указаны в переменной задающей порядок/приоритет (DriverOrder, SysPrepOrder или BootOrder). Также игнорируются записи с активным флагом LOAD_OPTION_ACTIVE, но не включенные в переменную задающую порядок/приоритет.

Менеджер загрузки UEFI в нормальном режиме работы сначала загружает все активные Driver#### упомянутые в DriverOrder и в том порядке, в котором они записаны в DriverOrder, затем загружает все активные SysPrep####, указанные в SysPrepOrder, в указанном там порядке, а после этого пытается загрузить активный загрузчик ОС (Boot####) в порядке указанном в BootOrder. А вот если ни одна из активных записей упомянутых BootOrder не смогла загрузить ОС (все вернули управление менеджеру загрузки UEFI), то запускается процесс восстановления.

Процесс восстановления настраивается переменными OsRecovery#### и PlatformRecovery####. Если эти переменные не заданы, то менеджер загрузки UEFI пытается произвести загрузку по умолчанию: загружается загрузчик хранящийся по пути \EFI\BOOT\BOOT{machine type short-name}.EFI, где {machine type short-name} — одно из:

  • IA32 — для 32-х битной платформы c INTEL-подобным процессором

  • x64 — для 64-х битной платформы c INTEL-подобным процессором

  • IA64 — для 64-х битной платформы с INTEL Itanium процессором

  • ARM — для 32-х битной платформы c ARM процессором

  • AA64 — для 64-х битной платформы c ARM процессором

Если загрузка по умолчанию не прошла, то менеджер загрузки UEFI сдается и выводит сообщение о невозможности дальнейшей загрузки системы.

Если заданы OsRecovery#### и/или PlatformRecovery####, то сначала выполняются OsRecovery#### и после этого менеджер загрузки UEFI пробует снова загрузить одну из Boot#### указанных в BootOrder и пробует загрузку по умолчанию.

Если и после этого ни один загрузчик не начал загрузку ОС, то выполняются PlatformRecovery####, но после выполнения записей PlatformRecovery#### загрузка начинается сначала: с Driver####, затем SysPrep####, а только после этого пробует снова загрузить одну из Boot#### указанных в BootOrder и загрузку по умолчанию. И вот если уже и после этого не удалось запустить загрузку ОС, то менеджер загрузки UEFI сдается и выводит сообщение о невозможности дальнейшей загрузки системы.

Отдельно нужно упомянуть возможность манипуляции приоритетом загрузки ОС заданным в BootOrder. Если задана переменная BootNext (в ней указывается номер одной из записей Boot####, которая должна быть активной), то менеджер загрузки пробует сначала загрузить запись Boot#### указанную в BootNext, и только если загрузить ОС по этой записи не удалось, то менеджер загрузки переходит к загрузке в соответствии с BootOrder. При этом BootNext удаляется в любом случае.

Еще один способ изменения приоритета загрузки ОС — выбор записи Boot#### по нажатию кнопки на клавиатуре в процессе загрузки. Для реализации такого механизма нужно привязать кнопку к записи Boot####. И если кнопка будет нажата, то менеджер загрузки пробует сначала загрузить запись Boot#### привязанную к кнопке, и только если загрузить ОС по этой записи не удалось, то менеджер загрузки переходит к загрузке в соответствии с BootOrder.

Практически все функции и настройки менеджера загрузки UEFI позволяет настроить утилита efibootmgr (смотрите man efibootmgr что бы узнать как).


Вот такие серьезные возможности обеспечивает менеджер загрузки UEFI. Фактически в нем реализован весь функционал классических менеджеров загрузки ОС поддерживающих мультизагрузку (загрузку нескольких ос или нескольких версий одной ОС). Причем в вопросах восстановления функционал менеджера загрузки UEFI даже шире за счет того, что он реализуется в процессе инициализации системы.

Таким образом UEFI делает такие загрузчики (например GRUB) фактически ненужными. И ниже мы поговорим о том, как можно организовать загрузку ОС Linux из UEFI без дополнительных загрузчиков.

Secure Boot

Особого упоминания требует такая особенность UEFI как Secure Boot.

Как уже было сказано EFI раздел (ESP) находится на диске, к которому может быть организован доступ во время работы ОС. Это означает не только легкость в изменении загрузки и инициализации оборудования системы, но и то, что туда можно подсунуть заведомо зловредный код, который (О!!! УЖАС!!!) будет загружен еще ДО!! загрузки ОС. На самом деле, перепрограммировать микросхемы BIOS или подменить код в MBR из запущенной ОС тоже можно было, но на это практически никто раньше не обращал внимания .

Закрыть эту «ужасающую дыру» в безопасности и призван Secure Boot. Вот как он работает:

При программировании системной памяти UEFI загрузчика (firmware), производители, вместе с кодом, записывают и сертификаты (содержащие ключи), и при загрузке в режиме Secure Boot UEFI проверяет по этим ключам подписи у любого исполняемого кода, который он загружает из ESP раздела (подписи добавляются к коду). Если верификация не прошла — такому коду отказывают в запуске.

Большая шумиха поднялась когда Microsoft заявили, что производители оборудования, желающие получить сертификат совместимости с Windows 8, обязаны исключить возможность загрузки с отключенным режимом Secure Boot. Дело в том, что это бы не позволило загрузить ни одну ОС, которая была бы не подписана колючем Microsoft.

Однако, довольно быстро шумиха улеглась. Во-первых Secure Boot практически все производители компьютеров разрешают отключать (Microsoft позже насколько переформулировал свои требования: от оборудования сертифицированного под Windows 8 не требуется запрещать загрузку без Secure Boot, зато требуется сообщить загрузчику Windows 8, что загрузка была не в SecureBoot режиме, и уже самой Windows решать — грузится ей дальше или нет). А во-вторых, в рамках консорциума UEFI были предусмотрены интерфейсы для управления ключами. «Подсуетились» и Canonical, и RedHat вместе с фондом FSF (Free Software Foundation). Как результат всех этих мероприятий и событий — и GRUB, и другие загрузчики обзавелись методами загрузки в режиме Secure Boot, а кроме того, стали доступны утилиты по управлению ключами UEFI. Вы даже можете свой собственный код подписать своим собственным ключом, загрузить ключ в UEFI (утилитами из пакета efitools) и это позволит загружать ваш собственный код в Secure Boot режиме.

Чуть хуже дело обстоит с планшетами и телефонами с предустановленной Windows — в прошивках этих устройств SecureBoot может быть не отключаем, а иногда нет и управления ключами.

Все дистрибутивы Ubuntu поддерживающие загрузку через UEFI уже имеют в своем составе все необходимое для загрузки в Secure Boot режиме практически на любом компьютере. Но, если загрузка с установочной флешки или диска не идет, то Secure Boot следует отключить (конечно же Secure Boot — не единственная причина по которой может не происходить загрузка с установочной флешки или диска).

В Ubuntu раздел ESP монитруется (при стандартной установке) в каталог /boot/efi/. Но правами доступа туда обладает только root (остальные пользователи даже прочитать из этого каталога ничего не могут). Т.е. даже без Secure Boot защита от атак через доступ в ESP раздел предусмотрена на том же уровне, на котором защищена и вся система: если рута взломали — то уже в принципе ничего не помешает злоумышленнику сделать с системой все, что он пожелает.

Обратите внимание: режим SecureBoot включается для всего компьютера, а это означает, что правильно подписанными должны быть все загрузчики (всех установленных ОС), утилиты и драйвера, которые загружаются с ESP раздела.

Ключи системы Secure Boot

На самом деле в энергонезависимой памяти компьютера (NVRAM) рассчитанного на работу с UEFI предусмотрено место не на один сертификат, более того, сертификаты хранятся в специально организованной, иерархической системе. Давайте рассмотри этот вопрос более детально, но начнем с того, что определим — что такое сами ключи, о которых мы тут говорим.

Ключи

Что же представляют собой эти ключи? На самом деле хранятся все ключи UEFI в сертификате — бинарном файле контейнере специального формата (специальное расширение стандарта x.509). Внутри сертификата могут содержаться открытый ключ, информация о владельце ключа, удостоверяющий ключ подписи и иная информация. Сами используемые ключи — это пары ключей (открытый/публичный и закрытый/секретный) сформированные алгоритмом RSA. UEFI стандарт рекомендует использовать ключи длинной 2048 bit.

Набор ключей системы SecureBoot

UEFI стандарт предусматривает следующие ключи (или списки ключей):

  • PK (Platform Key) — Это основной (единственный) ключ системы. Часто это ключ производителя оборудования.

  • KEK (Key Exchange Keys) — Ключ используемый для обмены ключами. Этих ключей может быть несколько.

  • db (база разрешенных ключей) — А вот в этом списке и хранятся те самые ключи, которые используются для проверки подписи загружаемых UEFI программ.

  • dbx (база отозванных ключей) — Здесь хранятся скомпрометированные ключи. Программный код подписанный такими ключами не будет загружаться и исполняться.

  • dbt (база временных меток) — тут хранятся ключи с отметкой времени 12)) (оставим пока детальное рассмотрение вопроса использования этих ключей за рамками статьи).
  • dbr (база ключей для восстановления) — тут хранятся ключи восстановления системы (оставим пока детальное рассмотрение вопроса использования этих ключей за рамками статьи).

В зависимости от реализации часть ключей может отсутствовать (или даже все, если система вовсе не поддерживает SecureBoot). В самых старых реализациях (поддерживающих SecureBoot) набор ключей мог быть: PK и db. В более свежих могут отсутствовать dbr и/или dbt.

Кроме того в NVRAM UEFI могут быть созданы кастомные списки ключей. Примером такого списка служит список ключей MOK (Mashine Owner Keys). MOK ключи используются не самим UEFI, а загрузчиком Shim. Shim (подписанный ключем из db) загружается как обычное UEFI приложение и сам проверяет подпись загружаемого им кода по ключам из MOK.

Если вам неохота/лень разбираться в режимах работы UEFI и ключей описанных далее, то можете условно считать, что PK ключ должен быть само-подписанным, KEK ключ — должен быть подписан ключем PK, а db (dbx|dbt|dbr) ключ должен быть подписан ключем KEK или PK. Если вас устраивает такая упрощенная модель (на самом деле там все несколько сложнее, что и описано далее), то вы можете смело пропустить остаток этого раздела и перейти сразу к разделу Собственные ключи

Состояния системы SecureBoot

Работа с ключем PK сильно зависит от состояния в котором находится UEFI. В спецификации UEFI v2.5 предусмотрено 4 состояния, на два из них наиболее важны, а еще два — служебные (они могут быть вовсе не реализованы в некоторых прошивках UEFI). Состояния определяются значениями глобальных переменных UEFI (хранящимися в NVRAM). При этом, в разных состояниях меняется не только значение переменных, но и возможность записать в эти переменные новое значение. Далее будет использоваться следующая нотация: <Переменная>=<значение>/[RO|RW], где признаки RO и RW говорят о доступности переменной для изменения (RO, от ReadOnly — только чтение; RW, от ReadWrite — чтение и запись).

  • Setup — Режим настройки системы (SetupMode = 1/RO): PK — не определен, SecureBoot — не разрешен (SecureBoot = 0/RO), переход в состояние Audit разрешен (AuditMode == 0/RW), а переход в состояние Deployed запрещено (DeployedMode = 0/RO).
    В этом режиме можно задать PK: он должен иметь удостоверяющую подпись своим собственным секретным ключем (т.е. он должен быть само-подписанным). При задании PK система сразу переходит состояние User.
    Можно также перейти в состояние Audit, присвоив переменной AuditMode значение 1.

  • User — Рабочий режим (SetupMode = 0/RO): в этом режиме можно включить или выключить режим SecureBoot (SecureBoot=0/RW) или13) он включается автоматом, при переходе из состояния Setup (SecureBoot=1/RW), а может включаться и фиксироваться (SecureBoot=1/RO).
    В этом режиме тоже можно поменять PK, но новый PK должен иметь удостоверяющую подпись секретным ключем текущего PK.
    Из этого режима можно перейти в Audit (AuditMode = 0/RW) или в Deployed (DeployedMode == 0/RW). Так же можно удалить или очистить PK (реализация зависит от платформы) с автоматическим переходом в состояние Setup.
  • Audit — служебное состояние для проведения аудита системы — в этом режиме возможна загрузка любых модулей без проверки подписи, но о каждой загрузке создается запись в специальной таблице. При присвоении переменной AuditMode значения 1 (возможно в User и Setup) сразу происходят несколько действий: система переходит в состояние аналогичное состоянию Setup (SetupMode = 1/RO), отключается SecureBoot (SecureBoot = 0), текущий PK сбрасывается (очищается), DeployedMode = 0/RO.
    Фактически это сброс системы SecureBoot в состояние Setup (что разрешает записать само-подписанный PK). Однако выход из этого режима иной чем из состояния Setup: При установке нового PK — состояние меняется на Deployed (AuditMode = 0/RO, DeployedMode = 1/RO, SetupMode = 0/RO). При этом в состоянии Deployed будет отключен SecureBoot.

  • Deployed — служебное состояние в котором запрещена любая работа с ключами, состояние SecureBoot тоже нельзя изменить (если включено — не отключить и наоборот). Как раз в этот режим переведены производителями UEFI на виндо-планшетах и виндо-смартфонах. Перевести в этот режим можно: из состояния User, присвоив глобальной переменной UEFI «DeployedMode» значение 1 или из состояния Audit, задав PK. Как вы правильно понимаете после этого и саму переменную «DeployedMode» уже будет не изменить.
    Выход из этого режима возможен в User или Setup, а вот механизм выхода — зависит от реализации UEFI (Platform specific DeployedMode clear — как написано в спецификации). Т.е. либо какие-то шаманские действия (возможно и недокументированные) либо вовсе — никак (по крайней мере без аппаратного обнуления NVRAM).

KEK ключ может быть добавлен в состояниях Setup (без подписи или само-подписанный) и User (обязательно подписанный секретным ключем от PK).

С ключами в db* (db, dbx, dbt, dbr) — все значительно проще и одновременно сложнее: Т.к. существует огромное количество операционных систем и их различных версий, а также загрузчиков этих ОС, драйверов и утилит от разных поставщиков, то поставить (от производителя) систему сразу со всеми нужными ключами — просто нереально. То же касается и ключей, которые были скомпрометированы и ключей восстановления. Поэтому предусмотрен режим добавления этих ключей. При этом если система находится в состоянии Setup, то ключи в db* можно добавлять без подписей или само-подписанные, а если в User, то добавляемые ключи должны быть подписаны приватной ключем от одного из KEK ключей или от PK.

Причем в ключи в db (dbt) могут добавляться и автоматически (если это предусмотрено конкретной реализацией UEFI): когда подпись загружаемого модуля не может быть проверена, то могут быть предусмотрены механизмы (поиск в массиве на диске или интерактивное подтверждение от авторизованного пользователя), которые разрешат добавить публичный ключ от подписи (подпись содержит публичный ключ для своей проверки) в db (или dbt).

Собственные ключи

Так как все ключи/сертификаты UEFI (PK, KEK, db) построены на основе открытых стандартов, то и весь набор этих ключей можно сформировать самостоятельно. Далее рассмотрим как это можно сделать, а вот тут описано все тоже другим толковым автором.

Прежде чем вы приступите к манипуляциям с ключами, настоятельно рекомендуется убедится в том, что ваша прошивка UEFI позволяет отключить SecureBoot из утилиты настройки или удалить/обнулить PK. Если этой возможности прошивка не предоставляет, то подумайте десять раз прежде чем что-либо делать с ключами — ваши шансы трансформировать ваш компьютер/ноутбук в кирпич крайне высоки!

Для работы нам потребуются утилита openssh (практически во всех дистрибутивах Linux эта утилита уже установлена) и утилиты из пакета efitools (доступна в репозиориях ubuntu14)).

Создание ключей

Для начала создадим наш тестовый ключ и само-подписанный сертификат:

$ openssl genrsa -out test-key.rsa 2048
$ openssl req -new -x509 -sha256 -subj '/CN=test-key' -key test-key.rsa -out test-cert.pem
$ openssl x509 -in test-cert.pem -inform PEM -out test-cert.der -outform DER 

Как показали мои эксперименты с UEFI прошивкой от AMI — срок действия сертификата в db не имеет значения для загрузки в режиме SecureBoot (подписанный моим собственным ключем UEFI-Shell продолжал загружаться в режиме SecureBoot и после окончания срока действия сертификата). Однако я не берусь гарантировать, что это не может быть важно для какой-либо другой реализации UEFI. Если это окажется важно, то нужно задать разумное время действия сертификата во второй команде через опцию -days <n> : где <n> — число дней в течении которых сертификат действует (по умолчанию задается — один месяц, чего самом собой — маловато…).

Для дальнейших действий нам потребуется GUID для идентификации нашего ключа. Его очень просто сформировать через утилиту uuidgen, а для удобства новый GUID мы запишем в переменную.

$ guid=$(uuidgen)
$ echo $guid
c752155d-093f-4441-87c3-20e2352205ac
Создание UEFI ключей

Для того что бы установить наш ключ в базу ключей UEFI, нам потребуется специальны контейнер EFI_SIGNATURE_LIST, в котором будет задана переменная EFI_VARIABLE_AUTHENTICATION_2. Для упрощения, ключи в контейнере будут само-подписанными.

Сначала мы создаем контейнер EFI_SIGNATURE_LIST содержащий сертификат:

$ sbsiglist --owner $guid --type x509 --output test-cert.der.siglist test-cert.der

Далее создадим подписанные ключи для последующей загрузки в энергонезависимую память UEFI. Наши файлы будут содержать сертификат с префиксом в виде EFI_VARIABLE_AUTHENTICATION_2 описателя. Описатель будет подписывать ключ, и содержать название переменной и другие атрибуты. Т.к. в файл будет включено название переменной (PK, KEK and db), нам придется создать отдельный контейнер для каждой переменной.

$ for n in PK KEK db
> do
>   sbvarsign --key test-key.rsa --cert test-cert.pem \
>     --output test-cert.der.siglist.$n.signed \
>     $n test-cert.der.siglist
> done
Здесь мы несколько упрощаем стандарт работы ключей UEFI: у нас не будет выстроена цепочка удостоверяющих подписей различающихся ключей: PK → KEK → db. Все три ключа у нас — само-подписанные и в PK, KEK и в db будет записан одинаковый ключ (чисто формально они удостоверяют подписи друг друга по цепочке). Ключ который мы будем записывать — тот самый rsa ключ, который мы сформировали самой первой командой. Можно, конечно, сформировать различающиеся ключи для PK, KEK и db, но не совсем понятно — зачем нужно такое усложнение в нашем случае.

Кроме того, все известные сертификаты от разработчиков linux (Canonical, Fedora, AltLinux, openSUSE и др.) — тоже само-подписанные, их вы можете найти в на сайте проекта rEFInd или в проекте UEFI-Boot на github

Создание хранилища ключей

Далее нам потребуется создать хранилище ключей в стандартном месте, где утилита sbkeysync будет их искать.

$ sudo mkdir -p /etc/secureboot/keys/{PK,KEK,db,dbx}
$ sudo cp *.PK.signed /etc/secureboot/keys/PK/
$ sudo cp *.KEK.signed /etc/secureboot/keys/KEK/
$ sudo cp *.db.signed /etc/secureboot/keys/db/

На самом деле вы можете создать хранилище где угодно и указать утилите sbkeysync где оно находится в значении ключа –keystore.

Загрузка ключей
Через утилиту прошивки

Загрузка ключей в UEFI может быть выполнена из утилиты настройки вашей материнской платы. Там нужно будет найти раздел (обычно Security) где задаются параметры SecureBoot. Возможно потребуется явно разрешить работу с ключами — выбрать режим управления ключами custom или как либо еще. Попав в окно утилиты по управлению ключами, первым делом сохраните (на всякий случай) фабричные ключи15). После этого удалите все фабричные ключи, и по одному добавляйте ключи из вашего хранилища ключей (скорее всего, его придется перенести на ESP раздел, т.к. только этот раздел доступен для UEFI).

PK ключ желательно записывать последним (почему? — детально описано в финальной части раздела «Ключи системы SecureBoot»).

Следует также отметить, что формат, в котором прошивка умеет загружать ключи может разниться в разных прошивках UEFI. Например прошивка AMI из недавно купленного мини-PC может взять сертификат и из подготовленного контейнера, и непосредственно из файла .pem. Т.о. вся эта возня со специальными контейнерами, в этом случае, вовсе не нужна: один и тот же само-подписанный сертификат можно загрузить и в PK, и в KEK, и в db.

Используя sbkeysync

Если UEFI находится в Setup режиме, то ключи можно загрузить и из ОС, используя утилиту sbkeysync. Но для начала воспользуйтесь опцией –dry-run, что бы убедится, что у вас все верно настроено и готово к этому важному процессу:

$ sbkeysync --verbose --pk --dry-run
Filesystem keystore:
  /etc/secureboot/keys/db/test-cert.der.siglist.db.signed [2116 bytes]
  /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed [2116 bytes]
  /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed [2116 bytes]
firmware keys:
  PK:
  KEK:
  db:
  dbx:
filesystem keys:
  PK:
    /CN=test-key
     from /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed
  KEK:
    /CN=test-key
     from /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed
  db:
    /CN=test-key
     from /etc/secureboot/keys/db/test-cert.der.siglist.db.signed
  dbx:
New keys in filesystem:
 /etc/secureboot/keys/db/test-cert.der.siglist.db.signed
 /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed
 /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed

Вывод покажет списки ключей найденных в базе данных UEFI, ключей найденных в хранилище ключей и список синхронизации (какой ключ куда будет загружен).

Если все выглядит правильно, удалите –dry-run параметр из команды для фактического обновления ключей в UEFI базе данных.

Будьте предельно осторожны выполняя загрузку ключей, т.к. как только PK будет записан прошивка UEFI перейдет в режим User, а в некоторых прошивках это еще автоматом включит SecureBoot режим. Вы должны быть уверены, что прошивка UEFI позволит вам вернутся в Setup режим и/или удалить PK.

Некоторые прошивки требуют перезагрузки для применения этих изменений в переменных UEFI. Прежде чем вы выполните перезагрузку, обязательно подпишите ваш загрузчик, иначе просто ничего не загрузится, ведь SecureBoot активирован и в db прописан ключ, которым будет проверяться подпись любого кода, который будет загружаться UEFI.

Подписывание загрузчика

Т.к. мы активировали SecureBoot, то теперь нам нужно подписать наш загрузчик что бы он мог быть загружен UEFI в этом режиме. В нашем примере мы подпишем код загрузчика GRUB2.

Это не рекомендуется в работающих системах, т.к. код этого загрузчика довольно регулярно обновляется, подписывать его придется каждый раз после обновления!

$ sbsign --key test-key.rsa --cert test-cert.pem \
        --output grubx64.efi /boot/efi/EFI/ubuntu/grubx64.efi
$ sudo cp /boot/efi/EFI/ubuntu/grubx64.efi{,.bak}
$ sudo cp grubx64.efi /boot/efi/EFI/ubuntu/

Теперь, можно скрестить пальцы, плюнуть три раза через левое плечо и попробовать перегрузиться

Возврат в режим Setup

Переключаться обратно в режим Setup лучше всего из прошивки UEFI, однако теоретически это возможно и внутри OS. Т.к. мы имеем секретный ключ от нашего PK, мы можем попробовать вернуть UEFI из режима User в режим Setup. Для этого потребуется подготовить пустой ключ и записать его в переменную PK:

$ : > empty
$ sbvarsign --key test-key.rsa --cert test-cert.pem \
        --attrs NON_VOLATILE,BOOTSERVICE_ACCESS,RUNTIME_ACCESS \
        --include-attrs --output empty.PK.signed PK empty
$ sudo dd bs=4k if=empty.PK.signed \
        of=/sys/firmware/efi/vars/PK-8be4df61-93ca-11d2-aa0d-00e098032b8c

Хотя лучше убедиться, что вернуть UEFI в режим Setup можно из самой прошивки (утилиты настройки) перед тем как прописывать PK.

Как Ubuntu загружается в режиме Secure Boot

Как уже было сказано выше, сертификаты с ключами для загрузки в режиме Secure Boot записываются производителем оборудования (довольно подробно о ключах UEFI (англ.)). И, как правило, набор сертификатов состоит из: сертификата производителя, KEK и db ключей от Microsoft (конечно же). Крайне редко, но все же попадаются такие машины, у которых в db есть и ключ от Canonical и/или RedHad. Как же на машине c ключами только от Microsoft загрузить Ubuntu в режиме SecureBoot?
Решение было найдено: Microsoft согласился (не без активности со стороны Canonical) подписать своим ключом простенький загрузчик от Red Hat — shim (есть еще мини-загрузчик — PRELoader, о его подписании ключом Microsoft похлопотал фонд FSF). Shim, в свою очередь, содержит (в MOK) UEFI сертификат от Canonical и проверяет подпись GRUB2 (версия которого, распространяемая через репозитории Ubuntu, подписана ключем Canonical). А GRUB2 проверяет подпись ядра (из пакета linux-signed-generic, которое подписано Canonical).

Введение дополнительного звена в виде shim продиктовано тем, что GRUB довольно часто обновляется и каждый раз после обновления его надо подписывать. Само собой, его гораздо проще подписать собственным ключом Canonical нежели каждый раз снова договариваться с Microsoft.

Если вы не хотите оставлять сертификаты Microsoft и производителя на своей машине16), то из утилиты настройки вашей материнской платы или с помощью утилит efitools можно стереть сертификаты прописанные производителем, и записать в UEFI (db) ключ от Canonical, тогда уже Grub (так же как и само ядро Linux) сможет загружаться в режиме Secure Boot, и shim (со своим MOK) — не нужен.

Если вам не хочется даже сертификат от Canonical оставлять в своем компьютере17), то вы можете создать свои собственные ключи и сертификаты (как описано выше), подписать grub или само ядро Linux (утилитой sbsign из пакета sbsigntool) и записать ключи в базу данных ключей EFI (утилитами efitools). Подробно этот процесс описан выше и тут (англ.).

ВНИМАНИЕ, если ваш компьютер не позволяет отключить Secure Boot режим, то все манипуляции с ключами и подписями нужно проделывать с предельной осторожностью, т.к. любая ошибка может привести к тому, что ваш компьютер превратится в «кирпич»!!!

Проверяйте все ваши настройки, проверяйте, что в UEFI записаны именно те ключи, что вы хотели и не забудьте проверить правильность подписей.

Хорошая идея: проделать все сначала на виртуальной машине.

ВНИМАНИЕ, если вы организовали загрузку GRUB (или другого загрузчика что вы используете) на основе только своего собственного ключа, то внимательно следите за обновлениями: при обновлении GRUB вам необходимо подписать новую версию GRUB своим ключом, иначе он не загрузится в Secure Boot режиме.

Несколько слов о ISO образе UBUNTU. Он — гибридный, на нем в мастер запись стандарта ISO9660 (CD/DVD формат дисков) внедрена MBR запись. Используется одновременно два загрузчика:
  1. isolinux (вариант загрузчика syslinux) он используется для загрузки в BIOS режиме и размещается в MBR и специальной загрузочной записи ISO9660 стандарта, подробнее — тут).
  2. grub (вариант grub-efi) он используется для загрузки в UEFI режиме.

EFS раздел (необходимый для загрузки в UEFI режиме) прописан и в таблицу разделов в MBR, и в каталог разделов iso9660 формата. По UEFI стандарту загрузчик по умолчанию должен находится в EFS разделе по пути: EFI\BOOT\BOOTx64.EFI

Такой «винегрет» позволяет грузиться с такого образа в следующих режимах:

  1. в режиме BIOS/SCM

    1. как с CD/DVD (код isolinux берется из загрузочной записи ISO9660 стандарта)

    2. как с HDD/USB-Flash (код isolinux берется из MBR)

  2. в режиме UEFI

    1. как с CD/DVD (EFS раздел находится в каталоге записей ISO9660, и оттуда запускается EFI\BOOT\BOOTx64.EFI)

    2. как с HDD/USB-Flash (EFS раздел находится в таблице разделов MBR, и оттуда запускается EFI\BOOT\BOOTx64.EFI)

Кстати в EFI\BOOT\BOOTx64.EFI (EFI\BOOT\BOOTia32.EFI для 32-х битных платформ) лежит не сам GRUB, а SHIM. Сам grubx64.efi/grubia32.efi (начальная стадия grub-efi) лежит рядом (в EFI\BOOT\) и его запускает SHIM. SHIM имеет валидную подпись ключом от Microsoft для загрузки в режиме SecureBoot, что позволяет загрузиться из образа на большинстве компьютеров.

Такой образ легко записать на флешку простой командой:

ВНИМАНИЕ! запись таким способом приводит к потере данных ранее хранившихся на флешке

sudo cp <путь и имя образа UBUNTU>.iso /dev/sd<буква девайса под которой в компьютере видна флешка>

Второй параметр — именно девайс, а не раздел. Посмотреть диски и разделы можно в выводе команды

sudo fdisk -l 

Образ Ubuntu копируется начиная с первого сектора устройства, MBR и таблица разделов ISO9660 стандарта попадают в необходимые для их правильной работы места, что позволяет с загрузиться с такой флешки как c USB-СD/DVD и как с USB-HDD/USB-Flash. Причем в обоих вариантах доступна загрузка как в UEFI, так и в BIOS/CSM режимах.

Другие интересные возможности UEFI

UEFI Shell

UEFI shell часто уже установлен в разделе ESP или прямо в прошивке UEFI. Некоторые UEFI прошивки умеют загружать командный интерпретатор UEFI прямо из консоли настройки UEFI (BIOS).

Если вы ставили Ubuntu на чистый диск, а в прошивке нет встроенного UEFI shell, то его можно доставить руками. Сам бинарный файл легко находится через любой поисковик. Вам нужно будет только скопировать его в корень ESP раздела с именем shellx64.efi (для 32-х битных платформ: shellx32.efi). Само собой копировать надо через sudo (т.е. с правами root).

В режиме загрузки SecureBoot для загрузки UEFI Shell потребуется:
  • Либо отключать для его загрузки режим SecureBoot

  • Либо подписать бинарный код UEFI Shell парным секретным ключем от одного из ключей записанных в переменной db базы данных ключей UEFI.

Если из настроек UEFI нет возможности запустить UEFI shell, то можно его прописать как вариант загрузки (как вы помните UEFI поддерживает мульти-загрузку). Для этого воспользуемся утилитой efibootmg:

# efibootmgr -c -l \\shellx64.efi -L UEFIshell

После этой команды у вас появится новый пункт меню загрузки UEFI, и это новый пункт станет первым по приоритету. Если такой приоритет загрузки вас не устраивает, то поменяйте его с помощью опции «-o» утилиты efibootmgr.

Справочник по командам UEFI shell встроенный — команда help. Если вы хотите останавливать вывод постранично (некий аналог more) то используйте в командах ключ -b. Кроме того поддерживается история вывода на 3 страницы которые можно просмотреть используя кнопки PageUp и PageDown.

Команда map покажет известные UEFI диски и разделы. Обычно диск fs0: — это и есть раздел ESP. Для того, что бы просмотреть содержимое каталогов ESP раздела (ls) выполните переход на ESP раздел — введите в строке приглашения fs0: — это очень похоже на dos команды типа а: с: (если кто еще помнит такое).

Разделитель в путях тоже в стиле DOS — обратный слеш (\).

EFI shell имеет довольно обширный набор команд, все их тут описывать смысла нет — если не достаточно встроенной подсказки, то есть краткие руководства в Internet. Наиболее полное писание UEFI Shell и его команд я нашел только в спецификации UEFI Shell 2.0 на сайте UEFI.org.

Загрузка ядра Linux непосредственно из UEFI

Если вы взгляните в файловом менеджере на ядро (/boot/vmlinuz*) то вы можете немало удивиться, заметив что тип будет указан как «DOS/Windows executable» — не удивляйтесь. Все последние ядра в Ubuntu собираются с опцией UEFISTUB (поддержка загрузки в режиме UEFI). А это добавляет заголовок аналогичный ДОСовскому .exe (именно так должны собираться все UEFI приложения). Т.е. само ядро можно загрузить как UEFI приложение. Для этого нужно разобраться с двумя основными вопросами:

1. Как правильно передать ядру параметры? Т.е. указать на корневую файловую систему, образ initrd, и указать опции загрузки ядра.
2. Как обеспечить UEFI доступ к самому ядру (и initrd)?

По первому пункту все достаточно просто: параметры, которые нужно передать ядру для загрузки можно подсмотреть в /boot/grub/grub.cfg, в команде загрузки linux (там стандартно передаются указание на корневой раздел и опции типа «ro», «quiet» и «splash»). Дополнительно ядру надо будет сообщить, где найти initrd (в ядрах версии 3.3 и выше это можно сделать через параметр intrd). В итоге, та команда, которую должен выполнить UEFI будет выглядеть примерно так:

vmlinuz.efi root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet splash initrd=initrd

В этом примере ядро и initrd лежат непосредственно в корне ESP раздела. Ядро переименовано в «vmlinuz.efi», а соответствующий ему образ рамдиска начальной инициализации ядра в «initrd». В команде указан UUID (моего корня, вам нужно прописать свой UUID) как путь к корневому разделу, но можно написать и что-то типа root=/dev/sda2 (UUID все же — лучше).

Если нужно организовать загрузку в режиме SecureBoot, то придется решить еще вопрос и с подписью ядра. Возможны два варианта:
  • Использовать подписанное Canonical ядро (пакет linux-signed-generic из репозитоиев Ubuntu). В этом случае сертификат от Canonical должен быть помещен в переменную db базы данных ключей UEFI.

  • Подписывать ядро своим собственным ключем, сертификат (с публичной частью ключа) которого размещен переменной db базы данных ключей UEFI.

В первом варианте — для загрузки из UEFI нужно использовать подписанный вариант ядра (vmlinuz*.efi.signed).
Во втором варианте нужно организовать (это можно даже автоматизировать) подписывание каждого нового ядра, которое приходит с обновлениями системы.

Некоторые сложности может вызвать указание пути к initrd. Ядра выше 3.3 вообще не различают прямые и обратные слеши в параметре initrd, но нужно указать такой путь, что бы ядро смогло найти initrd при загрузки в окружение UEFI.

В целом, нам необходимо организовать доступ из UEFI и к ядру, и к initrd (напомню: UEFI имеет доступ только к ESP разделу и умеет работать только с файловой системой FAT32). Это может быть решено одним из трех вариантов:

Вариант 1: Загрузить ядро и intrd непосредственно из корневого раздела или раздела boot

Для этого нужно загрузить в UEFI драйвер для поддержки той файловой системы, в которую отформатирован ваш корень или /boot. (UEFI «из коробки» знает только FAT32, драйвера для чтения других FS можно найти например тут).

Вот какие команды надо выполнить в UEFI Shell для загрузки ядра прямо из корня, находящегося на разделе с EXT4 (boot не вынесен в отдельный раздел).
— загрузить драйвер поддержки ext2-3-4 (в нашем примере он был предварительно размещен на ESP разделе в каталоге EFI/drivers)

load fs0:\EFI\drivers\ext2_x64.efi 

ВНИМАНИЕ: Если UEFI функционирует в режиме SecureBoot, то драйвер также необходимо подписать одним из ключей находящихся в списке ключей db, иначе ему будет отказано в загрузке!

— смонтировать корневую FS (эта команда пытается все доступные устройства смапить всеми доступными драйверами)

map -r

— перейти (изменить текущий путь) в новую FS

fs1:

— запустить ядро с параметрами

vmlinuz root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro queit initrd=initrd.img

В этом примере я воспользовался тем, что в корне корневой FS автоматически создаются линки на самую свежую версию установленного ядра и его initrd. Перейдя (сменив текущий путь) в корневую ФС мне уже не нужно мудрить с указанием полного пути к ядру и initrd — они находятся в текущем каталоге (из которого и запускается ядро).

Все эти действия можно записать в скрипт (для скриптов UEFI Shell принято расширение .nsh), и запускать ОС вызвав его. К сожалению, непосредственно скрипт файл нельзя указать как исполняемый файл в пункте меню загрузки UEFI. Согласно спецификации UEFI Shell может исполнить скрипт, имя которого передано ему как параметр, но мне это сделать не удалось. UEFI Shell может автоматом исполнить (после паузы) скрипт startup.nsh, находящийся в корне ESP раздела (можно записать эту последовательность команд туда).

Но можно пойти другим путем. Спецификация UEFI поддерживает автоматическую загрузку драйверов при загрузке системы. А это собственно и есть то, что нам нужно для того, что бы получить доступ к файловой системе с ядром без скрипта. Однако и тут есть один подводный камень.

Дело в том, что просто загрузить драйвер — недостаточно, нужно еще вызвать процедуру ремаппинга устройств (т.е. выполнить ту самую команду map -r). При ремапинге каждый драйвер пытается «прицепиться» ко всем доступным устройствам, т.е. наш драйвер EXT2-4 сделает доступными все разделы на всех дисках с файловыми системами EXT2-4.

Добавить автоматическую загрузку драйвера можно командой

sudo efibootmgr -crl "EFI\drivers\ext2_x64.efi" -L "EXT2-4 Driver"

То же самое можно сделать командой bcfg из UEFI-Shell. Следующая команда добавит пункт загрузки Driver0000 (номер задает первый аргумент команды add), который будет загружать драйвер из файла EFI\drivers\ext2_x64.efi (с ESP раздела). Драйвер получит описание «EXT2-4 Driver»:

bcfg driver add 0 EFI\drivers\ext2_x64.efi "EXT2-4 Driver"

Все замечательно и этот драйвер, при каждом запуске системы, будет загружаться во время инициализации UEFI автоматически, но ремапинга не будет. Для того, чтобы после загрузки драйвера инициировать ремапинг нужно в опции загрузки драйвера указать специальный атрибут LOAD_OPTION_FORCE_RECONNECT, однако ни одной командой UEFI-Shell или опцией efibootmgr этот атрибут не установить (по крайней мере мне не удалось найти такой команды). Перелопатив спецификацию UEFI можно понять, что нужно то всего прописать значение 3 вместо 1 в первом 32-битном слове UEFI переменной отвечающей за загрузку драйвера (той самой Driver0000, что мы создали командой bcfg или efibootmgr). Сделать это изменение можно любым HEX редактором (из загруженной системы), запущенным с правами рута, в котором на редактирование открывается файл /sys/firmware/efi/efivars/Driver0000-8be4df61-93ca-11d2-aa0d-00e098032b8c (это маппинг в файловую систему sys переменной UEFI). В редакторе нужно 5-й байт от начала поменять с значения 01 на 03 и сохранить файл.

После серии окирпиченных патчем Бармина машин (см. ниже эту замечательную историю) все UEFI переменные теперь защищены от изменений специальным атрибутом. Снять его перед редактированием можно командой chattr -i от рута.

Хорошим тоном будет вернуть защиту после редактирования командой chattr +i

Я конечно понимаю, что такой хакерский метод — это уже просто за гранью разумного для большинства пользователей UBUNTU, но пока мне не удалось найти другого пути задать атрибут LOAD_OPTION_FORCE_RECONNECT в опции загрузки драйвера. Поэтому я завел ишью на гитхабе с просьбой авторам efibootmgr реализовать эту возможность. Позднее я даже оформил PR (Pull Request) с реализацией этой возможности. Однако этот PR добавили в мастер ветку только 7 месяцев спустя. И, видимо, эта новая возможность efibootmgr появится в версии 17.

После нашей хакерской атаки на UEFI можно перегрузиться в UEFI-Shell и там прямо при запуске увидеть, что все EXT4 разделы уже отмаплены в FS<n> «диски», а значит на них можно сослаться при задании команды загрузки для опции загрузки ОС. В моем примере EXT4 раздел с корневой FS отмапился в FS2. А это позволяет задать в опции загрузки (используя команду bcfg из UEFI-Shell или efibootmgr из загруженной системы) команду такого вида:

FS2:\vmlinuz root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro queit initrd=FS2:\initrd.img

Если вы все сделали правильно и не забыли подписать драйвер (если у вас включен SecureBoot), то поле перезагрузки система успешно должна загрузится прямо с вашего корневого раздела.

В принципе, несмотря на некоторую сложность этого метода в реализации, это САМЫЙ ПРАВИЛЬНЫЙ вариант загрузки ядра Linux из UEFI. Дополнительные удобства создают постоянно обновляемые ссылки на последнее и предыдущее ядра и их initrd в корне файловой системы Linux. На них можно однократно создать пункты загрузки UEFI и не нужно никаких обновлений после установки/удаления ядер и обновления initrd. Также однократно надо скопировать в EFS раздел драйвер для ФС корня и однократно настроить его загрузку.

Вариант 2: Скопировать ядро и intrd в ESP раздел

Преимущество в том, что не нужно мудрить с организацией поддержки другой FS. Однако, каждый раз при обновлении ядра или initrd их нужно вновь копировать в ESP раздел. Решить задачу автоматизации этого процесса можно одним из методов описанных в этой статье (англ.) или подобно тому как это реализовано в проекте UEFI Boot.

Вы можете выполнить команду запуска ядра из UEFI Shell, или записать ее в командный файл и запускать его из UEFI Shell, или, воспользовавшись утилитой efibootmgr, записать эту команду как пункт меню загрузки UEFI:

# efibootmgr -c -l vmlinuz.efi -u "root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet initrd=initrd" -L LinuxKernel

Эта команда добавит пункт загрузки LinuxKernel и сделает его первым в списке приоритета загрузки.

Вариант 3: Смонтировать ESP раздел как /boot

Преимущества этого решения в том, что новые ядра и initrd будут находится (устанавливаться и обновляться) прямо на ESP раздел (который станет одновременно boot разделом). Правда, неприятность в том, что название файла с ядром и initrd есть версия, и для каждого нового ядра нужно заново прописывать команду в пункт загрузки UEFI. Можно, конечно, переименовать в короткие имена (которые однократно будут записаны в пункты загрузки UEFI), однако переименование приводит нас к ситуации близкой к предыдущему случаю — initrd будет при обновлении снова получать номер версии и его каждый раз придется переименовывать. Воспользоваться автоматически создаваемыми ссылками в корневом разделе — не получится (они останутся в файловой сиcтеме корневого раздела, к которому нет доступа без доп. драйверов), а создать ссылки на FAT разделе — невозможно (этого FAT просто не умеет от рождения).

Команда для записи пункта загрузки UEFI через утилиту efibootmgr не отличается принципиально от той, что указана для способа с копированием ядра в ESP раздел:

# efibootmgr -c -l vmlinuz-3.12.0-22-generic -u "root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet initrd=initrd.img-3.12.0-22-generic" -L Ubuntu-3.12.0-22-generic

Более детальная проработка этого варианта описана в отдельной статье UEFI Boot. Там реализовано автоматическое обновление пунктов загрузки UEFI при установке, обновлении и удалении ядер.

Загрузка, организованная одним из вышеописанных способов, не требует наличия загрузчика (GRUB и Shim можно и нужно удалить из системы), ведь мы передаем UEFI все функции загрузчика ОС.

Устранение из процесса загрузки загрузчиков (оригинально это цепочка из двух: shim + GRUB) заметно (но не так что бы очень значительно) сокращает время загрузки ОС. Вот как это выглядит в цифрах на примере одного mini-pc (I5 5257U, 8Gb RAM, SSD): утилита systemd-analyze сообщает, что на стадию работы загрузчиков в случае цепочки UEFI-Shim-GRUB-Kernel требуется чуть меньше секунды — 967ms, а на прямую загрузку UEFI-Kernel — 153ms. При полной (холодной) загрузке системы за ~14 секунд выигрыш составляет порядка 6%.

Полезные утилиты для UEFI

В стандартных репозиториях Ubuntu есть несколько полезных пакетов с утилитами для работы с настройками UEFI.

  • efibootmgr — утилита, которой можно менять настройки загрузки UEFI, в частности: настраивать приоритет загрузки, создавать/изменять/удалять загрузочные записи UEFI.

  • efivar — простая утилита для работы с переменными UEFI.

  • efitool — набор утилит и efi-приложений для работы с ключами/сертификатами, используемыми при загрузке в режиме Secure Boot.

  • sbsigntool — утилиты для подписывания и проверки подписей UEFI-приложений, для организации загрузки в Secure Boot режиме.

У всех этих утилит есть вполне толковые man-руководства и есть примеры использованию в Интернете, поэтому я не стану останавливаться на деталях использования этих утилит.

🙂 Патч Бармина живе всех живых

Ну и напоследок, последняя «веселая» история связанная с бородатым (по некоторым сведениям 1996 года рождения) патчем Бармина.

В конце января 2016 некий арчевод решил посмотреть — как работает этот известный патч. И он старательно вписал в команду даже специальный ключ, без которого этот патч уже не запускается… Ну… и получил кирпич из своего MCI нетбука — он даже после сброса не включился!

Как нетрудно догадаться корень беды — в кривой прошивке UEFI. Патч вытер вместе с корнем еще и переменные UEFI в NVRAM, которые монтируются в /sys/firmware/efi/efivars/, но принципиально это не могло быть проблемой, потому как стандартом UEFI предусматривается нарушение целостности данных в NVRAM: при обнаружении такой ситуации прошивка ОБЯЗАНА осуществить инициализацию NVRAM до состояния настроек по умолчанию/фабричных (Factory Default). Но вот в MCI решили забить на проверку целостности NVRAM, и незадачливый арчевод потащил свой нетбук кирпич в сервис.

После этой новости состоялся наезд на разработчиков SystemD (ну на них многие любят наезжать и ругаться, а те собственно сами довольно часто дают повод для вполне обоснованной и справедливой ругани в свой адрес): мол какого лешего, SystemD монтирует эти переменные с возможностью записи!? Давайте типа быстро переделайте на монтирование в режиме только-чтение. На что был дан резонный ответ — доступ на запись нужен утилитам, и разрешена запись только руту, который при желании премонтирует эти переменные в режиме записи. Так что, это не защитит от идиотов дураков «умников», которые экспериментируют с патчем Бармина.

Правда позже некоторые контрмеры все-таки были предприняты: теперь все UEFI переменные монтируются со специальным атрибутом, который запрещает запись и удаление этих файлов даже руту. Однако root в состоянии снять эти флаги (сhattr -i <имя файла>). Так что теперь для повторения судьбы арчевода с ноутбуком MCI нужно не только специальный ключ в команде rm -rf задавать, но еще и предварительно снять защиту с перемнных UEFI.

Самое же примечательное в этой ситуации ИМХО в том, что 20 лет назад отпущенная шутка, до сих пор стреляет, да еще с невиданной доселе мощью.

Т.е. если раньше патч успешно уничтожал ОС на компьютере, то теперь стало возможным еще и вывести из строя компьютер (при кривой реализации UEFI).

Ссылки

Как переключить UEFI BIOS на Legacy BIOS

Все компьютеры поставляются с базовой файловой системой, загруженной в память. Эта файловая система может управлять некоторыми аппаратными компонентами на базовом уровне и позволяет вам вносить изменения в систему, например устанавливать пароль, прежде чем вы сможете увидеть экран загрузки установленной ОС.

Долгое время эта файловая система называлась BIOS. Большинство пользователей не будут активно с ним взаимодействовать, потому что он не появляется, если установлена ​​операционная система. Поскольку с этой файловой системой взаимодействуют не многие пользователи, они могут не знать, что во многих системах BIOS заменен на UEFI BIOS.

UEFI BIOS заменил старый BIOS, который мы теперь называем Legacy BIOS. Между ними есть небольшая разница, если вы производитель компонентов для настольных компьютеров или ноутбуков. Для обычных пользователей разница в том, что UEFI BIOS более безопасен.

Переключите UEFI BIOS на устаревшую версию BIOS

UEFI BIOS — это новая файловая система, которая используется на современных настольных компьютерах и ноутбуках. Современные операционные системы предпочитают UEFI BIOS, однако бывают исключения. Для этих исключений может потребоваться устаревшая версия BIOS вместо UEFI BIOS, например, если вы пытаетесь установить дистрибутив Linux, который не устанавливается в UEFI BIOS.

В этом случае вы можете переключить UEFI BIOS на Legacy BIOS. Для этого нет никаких сложных инструментов. Все, что вам нужно, уже есть в вашей системе, и вам нужно только знать, какие настройки нужно изменить. Для этого нужно сделать следующее:

  1. Выключите компьютер.
  2. Включите систему и нажмите клавиши F2 или Delete, чтобы загрузить BIOS. Если данные клавиши не работают, узнайте, как получить доступ к BIOS / UEFI на вашем ПК из нашей статьи.
  3. Перейдите на вкладку Boot (может отличаться в зависимости от конфигурации BIOS).
  4. Найдите параметр под названием Secure Boot.
  1. Выберите его и нажмите Enter.
  2. Измените его значение на Disabled.
  3. Нажмите клавишу F10, чтобы сохранить изменения и выйти из BIOS.
  4. Выключите вашу систему, а затем включите.
  5. Нажмите клавиши F2 или Delete, чтобы загрузиться в BIOS.
  6. После этого вы загрузитесь в Legacy BIOS.

Как вернуться в UEFI BIOS

Если вам нужно вернуться в UEFI BIOS, все, что вам нужно сделать, это включить Secure Boot из устаревшего BIOS. Для этого выполните несколько шагов:

  1. Включите компьютер.
  2. Нажмите клавиши F2 или Delete, чтобы получить доступ к BIOS.
  3. Перейдите на вкладку Boot.
  4. Найдите Secure Boot и выберите его.
  5. Нажмите Enter.
  6. Выберите Enabled.
  7. Нажмите F10, чтобы сохранить и выйти.
  8. При следующей загрузке BIOS вы увидите UEFI BIOS.

Примечание. Настройки BIOS никогда не бывают одинаковыми для разных систем. В некоторых BIOS может не отображаться вкладка Boot. Он может называться как-то иначе, или опция Secure Boot может находиться на другой вкладке.

Теперь вы знаете, как быстро и просто можно переключить UEFI BIOS на Legacy BIOS, если даже вы не слишком разбираетесь в компьютерных технологиях.

Поделиться

Как в биосе поменять uefi на legacy?

На чтение 4 мин Просмотров 1.1к. Опубликовано

UEFI Secure Boot — это стандартная защита на BIOS, которая ограничивает возможности по запуску USB-носителей в качестве загрузочного диска. Данный защитный протокол можно встретить на компьютерах с Windows 8 и новее. Его суть заключается в том, чтобы не дать пользователю загрузиться с установщика Windows 7 и ниже (или операционной системой из другого семейства).

Информация по UEFI Secure Boot

Данная функция может быть полезна для корпоративного сегмента, так как позволяет предотвратить несанкционированную загрузку компьютера с неавторизованных носителей, которые могут содержать различное вредоносное и шпионское ПО.

Обычным же пользователям ПК эта возможность ни к чему, наоборот, в некоторых случаях она может даже мешать, например, если вы хотите установить Linux совместно с Windows.

Также из-за неполадок с настройками UEFI во время работы в операционной системе может вылазить сообщение об ошибке.

Чтобы узнать, включена ли у вас данная защита, необязательно переходить в BIOS и искать информацию по этому поводу, достаточно сделать несколько простых шагов, не выходя из Windows:

  • Откройте строку «Выполнить» , используя комбинацию клавиш Win+R, затем введите туда команду «cmd»
  • После ввода откроется «Командная строка», куда нужно прописать следующее:

В зависимости от производителя материнской платы, процесс отключения данной функции может выглядеть по-разному. Рассмотрим варианты для самых ходовых производителей материнских плат и компьютеров.

Способ 1: Для ASUS

  • Войдите в BIOS.
  • В главном верхнем меню выберите пункт «Boot». В некоторых случаях главного меню может не быть, вместо него будет приведён список различных параметров, где нужно найти пункт с таким же названием.
  • Перейдите в «Secure Boot» или и найдите параметр «OS Type». Выберите его при помощи клавиш со стрелочками.
  • Нажмите Enter и в выпавшем меню поставьте пункт «Other OS».

  • Выйдите при помощи «Exit» в верхнем меню. При выходе подтвердите изменения.

Способ 2: Для HP

Оттуда войдите в раздел «Boot Option» и найдите там «Secure Boot». Выделите его и нажмите Enter. В выпавшем меню нужно поставить значение «Disable».

  • Выйдите из BIOS с сохранением изменений, используя клавишу F10 или пункт «Save & Exit».

Способ 3: Для Toshiba и Lenovo

Здесь, после входа в BIOS, вам нужно выбрать раздел «Security». Там должен быть параметр «Secure Boot», напротив которого нужно установить значение «Disable».

Способ 4: Для Acer

Если с предыдущими производителями всё было относительно просто, то тут изначально нужный параметр будет недоступен для внесения изменений. Чтобы разблокировать его, понадобится поставить пароль на BIOS. Сделать это можно по следующей инструкции:

  • После входа в BIOS, перейдите в раздел «Security».
  • В нём нужно найти пункт «Set supervisor password». Чтобы поставить пароль суперпользователя, вам нужно лишь выбрать этот параметр и нажать Enter. После этого открывается окно, куда требуется вписать придуманный пароль. Требований к нему нет практически никаких, поэтому это вполне может быть что-то вроде «123456».

  • Для того, чтобы все параметры BIOS разблокировались наверняка, рекомендуется произвести выход с сохранением изменений.

Чтобы снять режим защиты, воспользуйтесь этими рекомендациями:

  • Повторно войдите в BIOS с использованием пароля и перейдите в раздел «Authentication», что в верхнем меню.
  • Там будет параметр «Secure Boot», где нужно поменять «Enable» на «Disable».

  • Теперь выйдите из BIOS с сохранением всех изменений.

Способ 5: Для материнских плат Gigabyte

После запуска БИОС вам нужно перейти во вкладку «BIOS Features», где необходимо поставить значение «Disable» напротив «Secure Boot».

Выключить UEFI Secure Boot не так сложно, как может показаться на первый взгляд. К тому же, как таковой пользы для обычного пользователя данный параметр в себе не несёт.

Спецификации и политики программы совместимости оборудования Windows

  • Статья
  • 2 минуты на чтение
  • 10 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Когда продукты соответствуют минимальным требованиям, определенным в приведенных ниже документах, это гарантирует совместимость приложений и устройств. В системах должны использоваться компоненты, которые также прошли тестирование на совместимость. Продукты, представленные с удовлетворительными результатами, будут по-прежнему включены в список сертифицированных продуктов и каталог Windows Server.

Спецификации и документы политики

Спецификации определяют, как создавать совместимые с Windows устройства, системы и драйверы фильтров для всех платформ Windows. Они были разработаны в сотрудничестве с партнерами и ориентированы на обеспечение совместимости, функциональной совместимости, безопасности и надежности.

Политики и процессы содержат рекомендации по квалификационному тестированию и представлению продуктов, а также полезные требования к бизнес-процессам.

Сертификация

для Windows Server 2016 и более поздних версий, дополнительные квалификации для программно-определяемого центра обработки данных (SDDC), программы Windows Server для программно-определяемого центра обработки данных (WSSD) и Azure Stack.

Продукты, желающие пройти сертификацию и квалификацию для вышеуказанных продуктов и программ, должны:

  • Соответствие спецификациям совместимости оборудования Windows для соответствующей версии Windows Server и других программ
  • Следуйте документу политики Windows Server
  • Используйте соответствующую версию с соответствующим паллистом и дополнительным содержимым для создания журналов

Вопросы о программах Azure Stack или WSSD и дополнительных квалификациях SDDC, а также о том, как отправить результаты для проверки решения, следует направлять соответствующему менеджеру по техническим вопросам Майкрософт или контактному лицу по управлению партнерами.

Скачать документы о совместимости



Требования к прошивке UEFI | Документы Майкрософт

  • Статья
  • 2 минуты на чтение
  • 8 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

При запуске устройств интерфейс прошивки управляет процессом загрузки ПК, а затем передает управление Windows или другой операционной системе. UEFI является заменой старого интерфейса прошивки BIOS и спецификаций Extensible Firmware Interface (EFI) 1.10.В форуме Unified EFI участвуют более 140 ведущих технологических компаний, в том числе AMD, AMI, Apple, Dell, HP, IBM, Insyde, Intel, Lenovo, Microsoft и Phoenix Technologies.

Преимущества UEFI

Прошивка, соответствующая спецификациям UEFI 2.3.1, обеспечивает следующие преимущества:

  • Возможность поддержки функций безопасности Windows 10, таких как безопасная загрузка, Credential Guard в Microsoft Defender и Exploit Guard в Microsoft Defender. Все требуют прошивки UEFI.
  • Более быстрое время загрузки и возобновления работы.
  • Возможность более простой поддержки больших жестких дисков (более 2 терабайт) и дисков с более чем четырьмя разделами.
  • Поддержка многоадресного развертывания, что позволяет производителям ПК транслировать образ ПК, который может быть получен несколькими ПК без перегрузки сети или сервера образов.
  • Поддержка драйверов встроенного ПО UEFI, приложений и дополнительных ПЗУ.

Чтобы загрузить Windows, перейдите на страницу загрузки Windows 10. Если вы хотите использовать такие носители, как флэш-накопитель USB, DVD или ISO, загрузите инструмент для создания Windows Media.

Загрузка и минимальные требования безопасности

Как OEM-производитель вы должны обеспечить поддержку функций, описанных в Спецификациях и политиках программы совместимости оборудования Windows, в частности следующих элементов, которые разделены на две группы: требования к загрузке и минимальные требования безопасности.

Требования к среде выполнения UEFI

Для различных версий Windows требуются некоторые или все следующие службы среды выполнения UEFI. Рекомендуется, чтобы они все были реализованы для максимальной совместимости:

  • GetTime
  • Установка времени
  • UpdateCapsule
  • Сброс системы

Требования перехода в состояние гибернации (S4)

Встроенное ПО платформы должно обеспечивать согласованность физической памяти операционной системы при переходах из состояния сна S4 как по размеру, так и по местоположению.Физическая память операционной системы определяется в соответствии со спецификацией ACPI 3.0 как любая память, которая описывается интерфейсом системной карты адресов микропрограммы с типом памяти, отличным от AddressRangeReserved [2], AddressRangeUnusable [5] или Undefined [любое значение больше 5]. .

На платформе UEFI оперативная память встроенного ПО должна быть согласованной при переходах состояния сна S4 как по размеру, так и по местоположению. Память среды выполнения определяется в соответствии со спецификацией UEFI как любая память, описанная службой загрузки GetMemoryMap() с атрибутом EFI_MEMORY_RUNTIME.

secure boot — Перевод на испанский язык – Linguee

Обеспечивает полную аппаратную и программную безопасность

[…] Архитектура

, соответствующая отраслевым стандартам: AES, DES, 3DES, RSA, ECC, SHA-1/2, DRM, 1000 бит

[…] OTP и ena bl e s безопасная загрузка .

пентиум.fr

Разрешение на архитектуру безопасности оборудования и программного обеспечения в соответствии с

[…]

с промышленными стандартами: AES, DES, 3DES, RSA, ECC, SHA-1/2, DRM, 1000 бит от

[…] OTP, y p er mite el inicio seguro .

пентиум.fr

Для защиты

[…] Багажная отсека от отсека от грязи или повреждения, вы C N N 9 T H E T U B / U грязезащитный бак на пол багажного отделения с […]

с помощью липучки.

fq101.co.uk

La Cub et et A et A A Maletero / DEP / DEP S ITO De Se DickoS SE E Sujetar C на Cintas de Vellcro Al Fondo De L Малено P AR протее […]

gerlo de la suciedad o de posibles daos.

fq101.co.uk

К сожалению, это решение делает

[…] Не мешайте злоумышленнику O O M M 9 9 I N до 9 N O N Безопасный O P P ER ER Boot E N VI Ronment.

тсервисс.aenix.fr

Lamentablemente, esta solucin no previene a

[…] un atac te de te de rarancar E E S Istema Operativo Inseguro, SI SE EST EN UN BI ENTE DE Arranque Du Al .

tservices.aenix.fr

Модель Toshiba MKxx61GSYD также

[…] Обеспечивает функции для SUP R R T T 9 , R OL E P R E Boot a c ce проверка подлинности […]

например, который используется

[…]

ведущими независимыми поставщиками программного обеспечения в области управления безопасностью в области безопасности клиентов, администрирования корпоративных клиентов и сред единого входа.

storage.toshiba.eu

El modelo Toshiba MKxx61GSYD для ресепшена, характеристики

[…]

пункт приема

[…] autenticacin de a cces o segura b asad a en funciones anteri или la al inicio, co […]

использование основных средств

[…]

ISV de administracin de seguridad en su seguridad cliente, administracin cliente empresarial y en entornos de autenticacin simple.

storage.toshiba.eu

T H H E 9 Z O Ne Страница Устанавливает 56 Мбайт Hi DD E N P A rt ион на […]

управляемых машин.

kaseya.com

L a pgina Zo na segura instala una partici n de inicio ocu lt a de 56 […]

МБ для администраторов.

касея.es

Испытательный срок не всегда означает, что вы останетесь на

[…] дома; Может включать вещи SUC H H S S 9 C A MP A N D R E и стоматологические услуги.

texasappleseed.net

La libertad condicional no siempre quiere decir que permanecer en su

[…]

hogar, ya que puede incluir

[…] cosas c om o campamentos d e entrenamiento estilo militar y facilidades residenciales […]

защита.

texasappleseed.net

По завершении отбора проб в

[…] selected sec to r , boot s w ab s должны быть […]

осторожно удаляют, чтобы не сместить прилипший материал.

eur-lex.europa.eu

Уна Вез Терминадо Эль Муэстрео

[…] en el s ec tor escogido, la s calzas […]

se quitarn con cuidado para que no se les caiga el material que llevan adherido.

eur-lex.europa.eu

По счетам в швейцарских франках процентная ставка, как правило, довольно низкая, и есть удержание ta x t o boot .

швейцарский банк-accounts.com

Las cuentas en francos suizos suelen tener un tipo de inters bastante bajo y se cobra un impuesto anticipado.

швейцарский банк-accounts.com

Это освобождение также распространяется на бывшие в употреблении товары

[…] продается через c a r багажник a n d гаражные продажи, […]

барахолки, блошиные рынки и прочие рыночные прилавки.

europarl.europa.eu

Esta excepcin se aplicar tambin a bienes usados ​​vendidos a

[…]

travs de ventas realizadas por частности, mercadillos de

[…] бенефициар нк ia, rastros y p ue stos de […]

venta de diferente typeo.

europarl.europa.eu

Смарт 6? позволяет ускорить систему

[…] Performance, Re Du C E E 9 U P T IME, Mana GE A Безопасный P л и формы и восстановления […]

предыдущие настройки системы

[…]

легко одним нажатием кнопки мыши.

giga-byte.com.my

Смарт 6? Разрешить инкрементный номер

[…]

передача системы,

[…] Уменьшение IR LOS Ti Ti Empos Empose DE AR AD Ministra R UNA P R ORM Segura Y R Ecuperar […]

конфигураций пасады

[…]

con facilidad con el click de un botn.

giga-byte.com.ar

Т ч я сек ботинка м О де Использование ул или е д безопасный к е и для телефонов.

Dreambox.hk

Este modo de b oot u sa las ll aves al macenadas de […]

seguridad (безопасные ключи) для мобильных устройств.

es.dreambox.hk

Чтобы разрешить запуск программы во время загрузки по нажатию клавиши F11, добавьте запись в

[…] конфигурационный файл, алло Wi н г ботинка F г ом Аа по я с Безопасный Z о пе .

скачать2.acronis.com

Pulse la tecla F11 для активации программы al

[…]

момент инициализации, соединение с архивом конфигурации и

[…] permi ta que se inicie des de Acro nis Secure Zon

скачать2.acronis.com

Внутренняя часть t h e багажника i s l покрыта тканью […]

материал.

eur-lex.europa.eu

El in te rior de la bota es t f orra do 903 […]

ткань текстиль.

eur-lex.europa.eu

Еще тысячи лет назад люди в Европе считали эти вещи дарами, из которых

[…]

человек проявил себя достойным только тем, что использовал их на полную катушку и, если нужно,

[…] сражаясь снова и снова

europarl.europa.eu

Hace milenios, los europeos ya рассматривать esas cosas como dones de los que

[…]

сольная эра возможная возможность использовать merecedor utilizndolos plenamente y lucando una

[…] y otra v ez pa ra Defenderlos en caso n ecesario.

europarl.europa.eu

Это должно выполняться также, когда t h e boot i s o наш рынок, когда есть избыток покупателя.

europarl.europa.eu

Debemos perseguirlo tambin cuando se invierte la situacin, cuando exists un exceso de la oferta y un mercado del comprador.

europarl.europa.eu

Он полностью ожидает, что они wi l l обеспечат a la rger доли улучшенного энергетического баланса.

europarl.europa.eu

Y confa plenamente en que estas energas logren una mayor cuota en la distribucin energtica gracias a las soluciones tecnolgicas perfeccionadas que se obtengan.

europarl.europa.eu

Это единственный wa y t o безопасный f u ll для автоматических сумм и счетов.

eur-lex.europa.eu

Slo de tal modo se podr autotizar plenamente la asignacin a partidas abiertas o a crditos.

eur-lex.europa.eu

Secure F l ig ht’ находится только на стадии тестирования.

europarl.europa.eu

Secure Flight соло encuentra en fase de pruebas.

europarl.europa.eu

Это срочно как никогда

[…] восстановить a n d безопасный t h e […]

между мыслью и делом.

unesdoc.unesco.org

Эс мс срочно, что нунка

[…] reivind ic ar y procurar la r el […]

entre pensamiento y accin.

unesdoc.unesco.org

P S A Безопасность s e ek s идеальные условия для обеспечения качества.

proteccion-laboral.com

P SA Secure bu sca las condiciones idneas para of recer calidad.

proteccion-laboral.com

Когда вы подаете заявку на открытие счета в швейцарском банке на нашем сайте, ваши данные

. […] зашифровано с использованием SS L ( Secure s o ck et уровень) […]

на 128 бит, чтобы никто не смог перехватить ваше приложение.

швейцарский банк-accounts.com

Cuando solicita una cuenta en un banco

[…]

suizo en nuestra web, sus datos se

[…] encriptan medi an te S SL ( secure soc ket la yer) hasta […]

128 бит, форма, которую можно использовать для перехвата по запросу.

швейцарский банк-accounts.com

Вы можете увидеть это по символу замка в верхней или нижней правой части экрана, а также по адресной строке (https = Hyper Text Transfer Prot oc o l Secure ) .

ccvision.de

Это может быть определено для того, чтобы получить доступ к хранилищу или абахо, а-ля derecha as como tambin por la lnea de direccin (https = безопасный протокол передачи гипертекста).

ccvision.de

Безопасный i s i сделка для использования […]

в школе, в офисе, в поезде или в другом месте.

dicota.kz

Secure es ext raord в ariamente […]

idneo para su empleo en la escuela, en la oficina o en muchos otros lugares.

dicota.com

Его дополнительный эффект iv e , безопасный s e al […]

отличная стойкость к утечкам и коррозии.

duracell.in

Su sellado ms ef icaz y seguro o frece u na Resistance […]

excelente a las fugas y a la corrosin.

duracell.es

F Безопасный M o bi le Безопасность позволяет пользователям смартфонов использовать весь потенциал своих устройств, не опасаясь мобильных угроз.

europe.nokia.com

F-Secure Mobile Security позволяет использовать интеллектуальные средства защиты от потенциальных угроз, которые могут быть нарушены.

nokia.es

Эти службы безопасности используют t h e Secure S o ck 2-уровневые алгоритмы шифрования с ключами-битами et8.

bankaja.es

Службы защиты используют протокол Secure Socket Layer с алгоритмом шифрования 128-битных ключей.

bankaja.es

Заказ услуг, предлагаемых RESA на этой странице, осуществляется в безопасной среде

[…]

через реализацию данных

[…] система шифрования SS L ( Secure S o ck ets Layers), […]

гарантирует защиту связи через Интернет с этой страницей.

resa.es

La contratacin de los servicios ofrecidos por RESA en esta pgina, se realiza en un entorno seguro a travs de la

[…]

внедрение системы шифрования

[…] от до s SSL (Secure S socket s Layers) qu e garantiza l a […]

proteccin de las comunicaciones va internet con la misma.

resa.es

Если определенная часть веб-сайта Nokia поддерживает онлайн-транзакции, мы будем использовать стандартные для отрасли меры безопасности, например меры безопасности, доступные через ug h » Secure S o ck ets Layer» («SSL») для защиты конфиденциальности и безопасности онлайн-транзакций.

my.nokia.com

Si una parte de un siteio web de Nokia soporta tran-sacciones on-line, utilizaremos medidas de seguridad estndar en elector, tales como las propor-cionadas por «SSL» («Secure Sockets Layer»), pa ra proteger la confidencialidad y seguridad de dichas transacciones.

my.nokia.com

Для оплаты кредитной или дебетовой картой выберите свою валюту, выберите тип лицензии, введите количество лицензий, а затем нажмите кнопку «Купить сейчас», чтобы перейти в мир. P a ym ent site.

scantopdf.co.uk

Si desea pagar con tarjeta de crdito o dbito; seleccione su moneda, elija el tipo de licencia, introduzca el nmero de las licencias y, a continuacin, haga clic en el botn Comprar ahora para continuar con la pgina Worldpay Secur e Payment .

scantopdf.co.uk

secure boot — Перевод на французский — примеры русский

Эти примеры могут содержать нецензурные слова, основанные на вашем поиске.

Эти примеры могут содержать разговорные слова на основе вашего поиска.

В способе устройство генерирует псевдослучайное число, характерное для конкретного выполнения процесса безопасной загрузки .

Selon le procédé, le dispositif génère un numéro pseudo-aléatoire spécifique à une exécutione particulière d’un processus de démarrage sécurisé .

Раскрываются способы и системы для безопасного подключения клиентского компьютера, имеющего устройство защищенной загрузки , к удаленному серверу по сети связи.

Изобретение относится к процедурам и системам, обеспечивающим постоянное соединение в целях обеспечения безопасности в отношении клиента, использующего устройство , обеспечивающее безопасность , на удаленном сервере связи.

Способ и система для обеспечения процесса безопасной загрузки для персонального компьютера.

сопоставления с предопределенной информацией о терминальной среде во время безопасной загрузки и данных второй печати

корреспондент à des information d’environnement de terminal prédéterminées durant un amorçage sécurisé et des secondes données scellées

система и способ обеспечения защищенной загрузки архитектуры

простая масштабируемая и настраиваемая безопасная загрузка для надежных мобильных телефонов

В раскрытом способе удаленный сервер использует ключи шифрования, связанные с уникальным идентификатором из устройства защищенной загрузки .

В ходе процесса изобретения, удаленного использования служб шифрования ассоциаций с уникальным идентификатором, относящимся к части диспозитивного устройства , защищенному демарражу .

AMD Secure Processor — это аппаратная технология, которая обеспечивает безопасную загрузку из уровня BIOS в TEE.

Процессор AMD Secure представляет собой технологическое оборудование, позволяющее выполнять выполнение с защитой на уровне BIOS в TEE.

На практике единственным ключом, принятым по умолчанию в большинстве систем UEFI с безопасной загрузкой , является ключ от Microsoft, используемый для подписи загрузчика Windows.

На практике, по умолчанию используется ключ, принятый для подключения к системам UEFI с , защищенный от брака , который используется Microsoft для подписания платежа за любовь к Windows.

Устройство для безопасной загрузки позволяет внутреннему компоненту криптографически разделять данные и шифровать данные для передачи на другие устройства по защищенному каналу связи.

Le dispositif de démarrage sécurisé permet au composant dorsal de diviser les données au plan cryptographique et de crypter des données pour transfer vers d’autres dispositifs, par le biais d’une liaison de Communication sécurisée.

Устройство может изменить синхронизацию по меньшей мере одного этапа процесса безопасной загрузки на основе значения разнесения.

Le dispositif peut modifier un moment d’au moins une étape du processus de démarrage sécurisé d’après la valeur de diversité.

Кроме того, устройство имеет надежное шифрование, настраиваемую функцию безопасной загрузки и несколько механизмов защиты устройства, которые стирают данные с устройства, если кто-то пытается их взломать.

En outre, le dispositif comporte une forte cryptée, une fonctionnalité de démarrage sécurisé personnalisé et plusieurs mecanismes de protection des dispositifs qui effacent l’appareil si quelqu’un essaie de falsifier les.

Начиная с аппаратного корня доверия, каждый этап цепочки безопасной загрузки должен сначала проверить, что следующий компонент полностью неповрежден, прежде чем продолжить.

À beginer par la racine de confiance matérielle, chaque étape de la chaîne de démarrage sécurisé doit au préalable verifier que le composant suivant est totalement intained avant de continuer.

В течение этого месяца Debian присоединился к кампании FSF по безопасной загрузке , а DuckDuckGo прислал первый отчет о пожертвовании после соглашения о разделе доходов.

Ce mois-ci, Debian объединил кампанию FSF с amorçage sécurisé и DuckDuckGo в качестве премьер-министра по сюите de l’accord de partage de revenus.

Безопасность IoT включает в себя множество различных аспектов безопасности: безопасная загрузка , аутентификация устройства, шифрование, безопасная связь, авторизованные транзакции и управление жизненным циклом.

L’Internet des Objets couvre de nombreux аспекты de la sécurité : démarrage sécurisé , аутентификация одежды, шифрование, sécurisées связи, авторизация транзакций и т.д.

Каждое из соединений, независимо от различных протоколов или физических соединений, может использовать защищенные каналы связи через устройство защищенной загрузки (604а, 606а, 622а, 624а, 626а).

Chacune des connexions, indépendamment des protocoles ou des connexions physiques qui peuvent différer, peut работодатель des liaisons de Communications sécurisées через un dispositif (604a, 606a, 622a, 624a, 626a) de démarrage sécurisé .

Согласно одному аспекту способа, когда прикладной процессор устройства SoC обнаруживает сбой периферийной подсистемы, прикладной процессор загружает агент безопасной загрузки в память SoC.

Selon ип аспект дю procédé, lorsqu’un процессор d’application du dispositif SoC détecte une panne du sous-systeme périphérique, le processeur d’application charge un agent de démarrage sécurisé dans la memoire du SoC.

Агент безопасной загрузки настроен на доступ к защищенной области памяти периферийной подсистемы, содержащей данные дампа памяти, связанные с периферийной подсистемой.

L’agent de démarrage sécurisé est configuré pour accéder à une région de memoire sécurisée du sous-periphérique qui contient des données de vidage de memoire associées au sous-systeme périphérique.

Новые устройства хранения данных, расположенные удаленно от старых устройств хранения данных, могут быть клонированы через безопасный канал передачи данных, установленный с устройством безопасной загрузки , расположенным в устройстве хранения данных.

Настоящее изобретение касается новых запасов запасов, находящихся на расстоянии d’anciens dispositifs de stockage, qui peuvent être clones sur une liaison de Communication de données sécurisée, établie avec un dispositif de démarrage sécurisé dans le dispositif de stockage.

метод и система защиты содержимого путем обеспечения безопасной загрузки среды процессора

un procédé et un dispositif effectuant une protection de contenu en garantissant un amorçage sécurisé de l’environnement d’un processeur

безопасная загрузка — арабский перевод

توقف, لقد أوقعت ال ذذاء أوقعت ال ذوقعت ال ذذاء

7

7

4

4

Обработка Boot

4

7

Mr Boot ! Сапог ! Мистер Ботинок !

Boot Das Ботинок !

ال حذاء

Остальные хранятся в безопасном стеклянном смотровом багажнике наверху башни.

المتبقي يكون في حجره ززاجيه في اعلي المبني وبينديكت قال بأمكانا اضضارهم

Boot .

حذاء

Стоп. Вы уронили ботинок . Скинул ботинок .

На мой Boot .Железный ботинок со свастикой!

على ذذائى ذذاء حديدى مرسوم عليه شارة النازين

Итак, у меня Boot для вас. Ботинок ?

لذلك لدى صندوق لك صندوق

Загрузка менеджер

مدير الإقلاع

загрузки Опции

خيارات الإقلاع

Загрузка загрузчик

م ح م ل الإقلاع

Еще один ботинок .

حذاء آخر .

Чехол вверх.

ارفع رجلك

Где Boot ?

أين (بوت )

Багажник побольше !

اهدأ يا (بات )

Багажник ит.

ألقي بال حذاء

Ммм, багажник !

ممم , كندرة !

5 6

ال ذذاء

Boot .

ـ سيأخذون مقلبا

Багажник гусениц.

اثار جزمات

Stiletto ботинок ?

جزمة

Ботинок отпечатков.

آثار أقدام

Ботинок лагерь?

معسكر التدريب

Чехол .

في حقيبة السيارة

пыльник ?

قارب

Ботинок принт.

طبعة حذاء

Das Boot !

ال حذاء !

Das Багажник !

! ال حذاء

Das Boot !

! Номер Номер !

Das Багажник !

ال ذذاء

Boot не похоже на пешие походы Boot , за исключением горел-восхождения Boot , в то время как прогулка Boot просто имеет прочный протектор.

احذيه تسلق الجبال ليست مثل احذيه الذهاب في نزهه لان احذيه التسلق بها اسنان حديديه من اسفل بينما احذيه التنزه لها قاعده متينه

Давайте загрузки его. Посмотрите, сможете ли вы загрузить его.

دعها تقلع انظر إذا كنت تستطيع جعلها تستطيع جعلها تقلع

Я должен идти получить мой Boot . Забудьте про свой ботинок .

يجب أن أذهب لجلب ذذائي أنسى أمر ذذائئ

, Boot , Boot Up, Boot Manager, Linux, Другие ОС, MBR, Startup, Start

الشبكة DNS interfacesKeywords

Загрузка с диска

الإقلاع من القرص

Загрузка Интерфейс Подкласс

صنف واجهة إقلاع فرعي

Изменение загрузки Disk

غي ر قرص الإإلاع

7

معاملة البناء فالامتلاك فالتشغيل فنقل الملكية (بووت) Quote

6. Boot Schemes

6 خطط البناء فالامتلاك فالتشغيل فنقل الملكية

9

в Boot .

في الصندوق.

Мисс Бетти Сапоги .

أنسة بيتى بوت

где я загрузки ?

شيك) أين هو حذائي )

К багажнику .Какой?

أيضا ماذا

Крепление к багажнику .

مجنون أيضا

Мистер Багажник ? Татум.

سيد (بوت) (تاتوم)

Здравствуйте, мистер Boot .

مرحبا سيد (بوت)

Перевести enable secure boot на французский с примерами

Компьютерный перевод

Пытаюсь научиться переводить на примерах человеческого перевода.

Английский

включить безопасную загрузку

Человеческий вклад

От профессиональных переводчиков, предприятий, веб-страниц и свободно доступных репозиториев переводов.

Добавить перевод

Французский

Micrologiciel d’Amorce Securise

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Французский

Micrologiciel d’Amorce Sécurisé

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Французский

демарраж секюрисе

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Французский

dÉmarrage sÉcurisÉ

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:

Французский

dÉmarrage sÉcurisÉ

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:

Французский

Micrologiciel d’Amorce Securise

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:
Предупреждение: Содержит невидимое форматирование HTML

Французский

Micrologiciel d’Amorce Securise

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:
Предупреждение: Содержит невидимое форматирование HTML

Французский

dÉmarrage sÉcurisÉ

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:

Французский

Micrologiciel d’Amorce Securise

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:
Предупреждение: Содержит невидимое форматирование HTML

Английский

реализация быстрой безопасной загрузки

Французский

Mise en oeuvre d’un dÉmarrage Rapide SÉcurisÉ

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Английский

метод безопасной загрузки с дополнительными компонентами

Французский

procÉdÉ d’amourÇage sÉcurisÉ с дополнительными компонентами

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Английский

использование хеширования в защищенном загрузчике

Французский

использование функций хранения в системе обеспечения безопасности при демарже d'un ordinateur

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:
Предупреждение: Содержит невидимое форматирование HTML

Английский

использование хеширования в защищенном загрузчике

Французский

использование функций хранения в системе обеспечения безопасности при демарже d'un ordinateur

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:
Предупреждение: Содержит невидимое форматирование HTML

Английский

использование хеширования в защищенном загрузчике

Французский

использование функций хранения в системе обеспечения безопасности при демарже d'un ordinateur

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:
Предупреждение: Содержит невидимое форматирование HTML

Английский

эти технологии удобны для пользователя и обеспечивают безопасный и контролируемый вход.

Французский

ces технологий sont comviviales et permettun un accès sécurisé et control.

Последнее обновление: 2018-02-13
Частота использования: 1
Качество:

Английский

компьютерная система, содержащая механизм безопасной загрузки

Французский

Информационная система, обеспечивающая защиту от любви

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Английский

способ обеспечения безопасных и плавных транзакций с использованием мобильных устройств связи

Французский

procÉdÉ permettant d’effectuer des transaction sÉcurisÉes et Harmonieuses au moyen de dispositifs де коммуникация мобильная

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Английский

система и способ обеспечения архитектуры безопасной загрузки

Французский

система и процедура реализации архитектуры безопасности инициализации

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Английский

система и способ обеспечения архитектуры безопасной загрузки

Французский

система и процедура реализации архитектуры безопасности инициализации

Последнее обновление: 27 июля 2011 г.
Частота использования: 1
Качество:

Английский

система и способ обеспечения архитектуры безопасной загрузки

Французский

система и процедура реализации архитектуры и инициализации безопасности

Последнее обновление: 2014-11-25
Частота использования: 1
Качество:
Предупреждение: Содержит невидимое форматирование HTML

Получите лучший перевод с


4 401 923 520 человеческий вклад

Пользователи сейчас просят о помощи:

Мы используем файлы cookie, чтобы улучшить ваш опыт.Продолжая посещать этот сайт, вы соглашаетесь на использование нами файлов cookie. Узнать больше. Ok

Что такое экранированная виртуальная машина? | Облако Google

На этой странице обсуждаются основные понятия и терминология экранированных виртуальных машин. К приступить к работе с защищенной виртуальной машиной, попробуйте краткое руководство или см. Изменение параметров экранированной виртуальной машины.

Shielded VM обеспечивает проверяемую целостность вашей виртуальной машины Compute Engine. экземпляров, поэтому вы можете быть уверены, что ваши экземпляры не были скомпрометированы загрузочный уровень или уровень ядра вредоносное ПО или руткиты.

Поддающаяся проверке целостность экранированной виртуальной машины достигается за счет использования следующие характеристики:

Безопасная загрузка

Безопасная загрузка помогает гарантировать, что в системе работает только аутентичное программное обеспечение. проверка цифровой подписи всех загрузочных компонентов и остановка загрузки процесс, если проверка подписи не удалась.

Защищенные экземпляры ВМ запускают встроенное ПО, которое подписано и проверено с помощью Центр сертификации Google, гарантирующий, что прошивка экземпляра без изменений и установление корень доверия для безопасной загрузки.Унифицированный расширяемый интерфейс встроенного ПО (UEFI) 2.3.1 прошивка, безопасно управляет сертификатами, содержащими ключи, используемые программным обеспечением производителям подписать микропрограмму системы, системный загрузчик и любые двоичные файлы, которые они загружают. Экземпляры экранированных виртуальных машин используют встроенное ПО UEFI.

При каждой загрузке микропрограмма UEFI проверяет цифровую подпись каждой загрузки. компонента против безопасного хранилища утвержденных ключей. Любой загрузочный компонент, который не подписан должным образом или вообще не подписан, не разрешен к запуску.

В этом случае экземпляр ВМ журнал последовательной консоли будет иметь запись, содержащую строки UEFI: не удалось загрузить изображение и Статус: нарушение безопасности вместе с описанием загрузки вариант, который не удался. Чтобы устранить сбой, отключите безопасную загрузку, следуя инструкциям в разделе Изменение экранированной виртуальной машины параметры, чтобы вы могли загрузить экземпляр виртуальной машины, диагностируйте и устраните проблему, а затем снова включите безопасную загрузку.

Виртуальный доверенный платформенный модуль (vTPM)

vTPM — это виртуализированная доверенная платформа. модуль, это специализированный компьютерный чип, который вы можете использовать для защиты объектов, таких как ключи и сертификаты, которые вы используете для аутентификации доступа к вашей системе.То Экранированная виртуальная машина vTPM полностью совместима с Trusted Computing Group. (TPM) спецификация библиотеки 2.0 и использует BoringSSL библиотека. Библиотека BoringSSL использует модуль BoringCrypto. Для деталей FIPS 140-2 о модуле BoringCrypto см. NIST Сертификат программы проверки криптографических модулей № 3678.

Виртуальный доверенный платформенный модуль экранированной виртуальной машины включает измеряемую загрузку по выполнение измерений, необходимых для создания известной базовой линии хорошей загрузки, называемой базовый уровень политики целостности .Базовый уровень политики целостности используется для сравнение с измерениями при последующих загрузках ВМ, чтобы определить, изменилось.

Вы также можете использовать vTPM для защиты секретов посредством экранирования или уплотнение. См. проект Go-TPM на Примеры языка GitHub for Go, которые иллюстрируют, как использовать виртуальный доверенный платформенный модуль для этого. цель.

Измеренная загрузка

Во время измеряемой загрузки хэш каждого компонента (например, прошивки, загрузчик или ядро) создается при загрузке компонента, и этот хеш затем объединяется и повторно хэшируется с хэшами любых компонентов, которые уже загружен, как показано здесь:

Эта информация идентифицирует как загруженные компоненты, так и их порядок загрузки.

При первой загрузке экземпляра виртуальной машины измеряемая загрузка создает целостность базовый уровень политики на основе первого набора этих измерений и надежно сохраняет эти данные. Каждый раз, когда после этого загружается экземпляр ВМ, эти измерения взяты снова и сохранены в защищенной памяти до следующей перезагрузки. Имея эти два наборы измерений позволяют контролировать целостность, который вы можете использовать, чтобы определить, были ли изменения в экземпляре виртуальной машины последовательность загрузки.

Контроль целостности

Мониторинг целостности помогает понять и принять решение о состоянии ваши экземпляры ВМ.

Мониторинг целостности основан на измерениях, созданных измеряемой загрузкой, которые используют регистры конфигурации платформы (PCR) для хранения информации о компонентах и ​​порядке загрузки компонентов как базовый уровень политики целостности (известная правильная последовательность загрузки), и самая последняя последовательность загрузки.

Мониторинг целостности сравнивает самые последние измерения загрузки с целостностью базовый план политики и возвращает пару результатов «годен/не годен» в зависимости от того, они совпадают или нет, один для последовательности ранней загрузки и один для поздней загрузки последовательность.Ранняя загрузка — это последовательность загрузки с самого начала прошивки UEFI. пока не передаст управление загрузчику. Поздняя загрузка — это последовательность загрузки из загрузчик, пока он не передаст управление ядру операционной системы. Если либо часть самой последней последовательности загрузки не соответствует базовому уровню, вы получаете сбой проверки целостности.

Если ожидается сбой, например, если вы применили обновление системы на этом VM, вам следует обновить базовый уровень политики целостности. Обновление базового уровня политики целостности устанавливает базовый уровень для измерений захваченный из самой последней последовательности загрузки.Если этого не ожидается, следует остановиться этого экземпляра виртуальной машины и выясните причину сбоя.

Вы можете просматривать отчеты о целостности в Cloud Monitoring и устанавливать оповещения на нарушения целостности. Вы можете просмотреть детали результатов мониторинга целостности в облачном журналировании. Дополнительные сведения см. в разделе Мониторинг целостности на Экранированные экземпляры ВМ.

События контроля целостности

Экранированная виртуальная машина создает записи журнала для следующих типов событий:

  • clearTPMEvent : определяет, был ли очищен vTPM, что удаляет все секреты, хранящиеся в нем.Это не влияет ни на какие аспекты защищенной виртуальной машины. поэтому вы будете заботиться об этом только в том случае, если вы используете vTPM для защиты конфиденциальных данных. как описано в Virtual Trusted Platform Module (вТПМ).
  • EarlyBootReportEvent : определяет, была ли целостность последовательности ранней загрузки проверка пройдена и предоставляет подробную информацию о значениях PCR от исходного уровня и самая последняя последовательность загрузки, которая сравнивалась, чтобы сделать это определение.
  • lateBootReportEvent : определяет, является ли целостность последовательности поздней загрузки проверка пройдена и предоставляет подробную информацию о значениях PCR от исходного уровня и самая последняя последовательность загрузки, которая сравнивалась, чтобы сделать это определение.
  • setShieldedInstanceIntegrityPolicy : регистрируется каждый раз, когда вы обновляете целостность базовый уровень политики.
  • shutdownEvent : регистрируется каждый раз, когда экземпляр виртуальной машины останавливается.
  • startupEvent : регистрируется каждый раз при запуске экземпляра виртуальной машины. интересное информацией в этом событии является значение bootCounter , которое определяет, как много раз этот экземпляр перезапускался.
  • updateShieldedInstanceConfig : регистрируется каждый раз, когда вы включаете или отключаете один из Варианты экранированных виртуальных машин.

Типичная последовательность событий, которую вы видите в журналах, — это startupEvent , EarlyBootReportEvent , LaterBootReportEvent и, наконец, shutdownEvent , все с одинаковым значением bootCounter , чтобы идентифицировать их как описывающие одно и то же Последовательность загрузки экземпляра ВМ.

Если вы обновите базовый план политики целостности в ответ на ожидаемый сбой целостности экземпляра ВМ, вы увидите дополнительные EarlyBootReportEvent События и lateBootReportEvent , описывающие новые базовые измерения политики целостности.В следующем примере показано ожидаемая последовательность:

Windows

EarlyBootReportEvent

EarlyBootReportEvent содержит следующие разделы и элементы:

  • factMeasurements : Содержит конфигурацию платформы регистр (PCR) для последней последовательности загрузки. Значения PCR — это то, что определить загрузочные компоненты и порядок загрузки компонентов, используемые последней последовательность загрузки и то, что сравнивается с базовой линией политики целостности. (значения которых фиксируются в разделе policyMeasurements ) для определить, были ли какие-либо изменения в последовательности загрузки экземпляра виртуальной машины.Раздел factMeasurements содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки. Этот PCR не реализован и вместо этого содержит статическое значение. Не используется при проверке последней загрузки последовательность в соответствии с базовым планом политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о Код диспетчера загрузки UEFI и попытки загрузки.
    • 2 : Содержит значение для PCR5, которое содержит информацию о таблица разделов GUID диска.Не используется при проверке последней последовательность загрузки в соответствии с базовым планом политики целостности.
    • 3 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.
  • policyEvaluationPassed : определяет, является ли данный раздел загрузки последовательность прошла проверку на соответствие базовой линии политики целостности.

  • policyMeasurements : Содержит значения PCR для политики целостности baseline Раздел policyMeasurements содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки.Этот PCR не реализован и вместо этого содержит статическое значение. Не используется при проверке последней загрузки последовательность в соответствии с базовым планом политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о Код диспетчера загрузки UEFI и попытки загрузки.
    • 2 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.

Чтобы узнать, как использовать значения PCR EarlyBootReportEvent для диагностики загрузки ошибка проверки целостности, см. Определение причины целостности загрузки Проверка отказ.

позднебутрепортевент

lateBootReportEvent содержит следующие разделы и элементы:

  • factMeasurements : Содержит конфигурацию платформы регистр (PCR) для последней последовательности загрузки. Значения PCR — это то, что определить загрузочные компоненты и порядок загрузки компонентов, используемые последней последовательность загрузки и то, что сравнивается с базовой линией политики целостности. (значения которых фиксируются в разделе policyMeasurements ) для определить, были ли какие-либо изменения в последовательности загрузки экземпляра виртуальной машины.Раздел factMeasurements содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки. Этот PCR не реализован и вместо этого содержит статическое значение. Он не используется при проверке последней последовательности загрузки. против базового уровня политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о Код диспетчера загрузки UEFI и попытки загрузки.
    • 2 : Содержит значение для PCR5, которое содержит информацию о таблица разделов GUID диска.Не используется при проверке последней последовательность загрузки в соответствии с базовым планом политики целостности.
    • 3 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.
    • 4 : Содержит значение для PCR11, которое содержит информацию о Контроль доступа к шифрованию диска BitLocker.
    • 5 : Содержит значение для PCR12, которое содержит информацию о данных Мероприятия. Не используется при проверке последней последовательность загрузки в соответствии с базовым планом политики целостности.
    • 6 : Содержит значение для PCR13, которое содержит информацию о Ядро Windows и загрузочные драйверы.
    • 7 : Содержит значение для PCR14, которое содержит информацию о Загрузочные органы Windows.
  • policyEvaluationPassed : определяет, является ли данный раздел загрузки последовательность прошла проверку на соответствие базовой линии политики целостности.

  • policyMeasurements : Содержит значения PCR для политики целостности baseline Раздел policyMeasurements содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки.Этот PCR не реализован и вместо этого содержит статическое значение. Не используется при проверке последней загрузки последовательность в соответствии с базовым планом политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о Код диспетчера загрузки UEFI и попытки загрузки.
    • 2 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.
    • 3 : Содержит значение для PCR11, которое содержит информацию о Контроль доступа к шифрованию диска BitLocker.
    • 4 : Содержит значение для PCR13, которое содержит информацию о Ядро Windows и загрузочные драйверы.
    • 5 : Содержит значение для PCR14, которое содержит информацию о Загрузочные органы Windows.
Важно: Элементы 4 и 5 появляются только после первой перезагрузки после создания экземпляра ВМ. Во время этой перезагрузки эти значения PCR захвачены и добавлены к базовой линии политики целостности. А пока загрузись проверка целостности использует только элементы 1-3 и связанные с ними PCR.

Чтобы узнать, как использовать значения PCR lateBootReportEvent для диагностики загрузки ошибка проверки целостности, см. Определение причины целостности загрузки Проверка отказ.

Linux

EarlyBootReportEvent

EarlyBootReportEvent содержит следующие разделы и элементы:

  • factMeasurements : Содержит конфигурацию платформы регистр (PCR) для последней последовательности загрузки. Значения PCR — это то, что определить загрузочные компоненты и порядок загрузки компонентов, используемые последней последовательность загрузки и то, что сравнивается с базовой линией политики целостности. (значения которых фиксируются в разделе policyMeasurements ) для определить, были ли какие-либо изменения в последовательности загрузки экземпляра виртуальной машины.Раздел factMeasurements содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки. Этот PCR не реализован и вместо этого содержит статическое значение. Он не используется при проверке последней последовательности загрузки. против базового уровня политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о прошивка операционной системы.
    • 2 : Содержит значение для PCR5, которое содержит информацию о таблица разделов GUID диска.Не используется при проверке последней последовательность загрузки в соответствии с базовым планом политики целостности.
    • 3 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.
  • policyEvaluationPassed : определяет, данный раздел последовательности загрузки прошел проверку на соответствие Базовый уровень политики целостности.

  • policyMeasurements : Содержит значения PCR для политики целостности baseline Раздел policyMeasurements содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки.Этот PCR не реализован и вместо этого содержит статическое значение. Не используется при проверке последней загрузки последовательность в соответствии с базовым планом политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о прошивка операционной системы.
    • 2 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.

Чтобы узнать, как использовать значения PCR EarlyBootReportEvent для диагностики загрузки ошибка проверки целостности, см. Определение причины целостности загрузки Проверка отказ.

позднебутрепортевент

lateBootReportEvent содержит следующие разделы и элементы:

  • factMeasurements : Содержит конфигурацию платформы регистр (PCR) для последней последовательности загрузки. Значения PCR — это то, что определить загрузочные компоненты и порядок загрузки компонентов, используемые последним загрузочным последовательность и то, что сравнивается с базовой линией политики целостности (значения которых фиксируются в разделе policyMeasurements ) для определить, были ли какие-либо изменения в последовательности загрузки экземпляра виртуальной машины.То Секция фактических измерений содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки. Этот PCR не реализован и вместо этого содержит статическое значение. Не используется при проверке последней загрузки последовательность в соответствии с базовым планом политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о загрузчик второго этапа и ядро.
    • 2 : Содержит значение для PCR5, которое содержит информацию о таблица разделов GUID диска.Не используется при проверке последней последовательность загрузки в соответствии с базовым планом политики целостности.
    • 3 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.
  • policyEvaluationPassed : определяет, данный раздел последовательности загрузки прошел проверку на соответствие Базовый уровень политики целостности.

  • policyMeasurements : Содержит значения PCR для политики целостности baseline Раздел policyMeasurements содержит следующие элементы:

    • 0 : Содержит значение для PCR0, которое содержит информацию о компоненты прошивки.Этот PCR не реализован и вместо этого содержит статическое значение. Не используется при проверке последней загрузки последовательность в соответствии с базовым планом политики целостности.
    • 1 : Содержит значение для PCR4, которое содержит информацию о загрузчик второго этапа и ядро.
    • 2 : Содержит значение для PCR7, которое содержит информацию о политика безопасной загрузки экземпляра.

Чтобы узнать, как использовать значения PCR lateBootReportEvent для диагностики загрузки ошибка проверки целостности, см. Определение причины целостности загрузки Проверка отказ.

Использование BitLocker с образами экранированных виртуальных машин

Вы можете включить BitLocker для загрузочных дисков Windows, которые являются частью Экранированные образы ВМ. Экранированные образы ВМ предлагают функции безопасности такие как микропрограмма, совместимая с UEFI, безопасная загрузка, измеряемая загрузка с защитой vTPM и мониторинг целостности. vTPM и мониторинг целостности включены по умолчанию, и Google рекомендует включить безопасную загрузку, если возможно.

Если вы решите включить BitLocker на загрузочном диске Windows, который является частью Экранированный образ виртуальной машины, мы настоятельно рекомендуем сохранить ключ восстановления в безопасном месте, потому что если у вас нет ключа восстановления, вы не сможете восстановить данные.

Примите во внимание следующее, прежде чем включать BitLocker на загрузочном диске Windows. который является частью образа защищенной виртуальной машины:

  • На загрузочных дисках экранированных виртуальных машин BitLocker использует vTPM для хранения ключи шифрования, а виртуальный доверенный платформенный модуль постоянно связан с виртуальной машиной, на которой он был создан. Это означает, что вы можете восстановить моментальный снимок Экранированный загрузочный диск виртуальной машины на другой постоянный диск, но вы не можете расшифровать это связано с тем, что vTPM, содержащий ключи BitLocker, недоступен.Если у тебя есть ключ восстановления, вы можете восстановить данные, следуя инструкциям в Руководство по восстановлению BitLocker. Если у вас нет ключа восстановления, данные на диске невозможно восстановить.

  • На защищенных дисках данных виртуальных машин данные постоянного диска шифруются По умолчанию. Включение BitLocker поверх постоянного шифрования диска не влияет пропускную способность, но это может немного увеличить загрузку виртуального ЦП. Включение BitLocker на дисках данных, которые подключены к виртуальной машине, не представляет такого же восстановления проблемы с загрузочными дисками.Это связано с тем, что ключи шифрования BitLocker для диски данных не хранятся на vTPM. Если вы потеряли возможность разблокировать диск в обычном режиме и иметь ключ восстановления, вы можете подключить диск к другому незашифрованную виртуальную машину и восстановить ее оттуда. Если у вас нет ключа восстановления, данные на диске не подлежат восстановлению.

Авторизация управления идентификацией и доступом

Экранированная виртуальная машина использует IAM для авторизации.

Операции с экранированными виртуальными машинами используют следующий вычислительный движок разрешения:

  • вычисл.instances.updateShieldedInstanceConfig : позволяет пользователю изменять параметры экранированной виртуальной машины на экземпляре виртуальной машины.
  • Compute.instances.setShieldedInstanceIntegrityPolicy : позволяет пользователю обновить базовый уровень политики целостности для экземпляра виртуальной машины.
  • Compute.instances.getShieldedInstanceIdentity : позволяет пользователю получать ключевая информация подтверждения из vTPM.

Разрешения экранированной виртуальной машины предоставляются следующему вычислительному движку роли:

  • ролей/вычислений.instanceAdmin.v1
  • ролей/compute.securityAdmin

Вы также можете предоставить разрешения экранированной виртуальной машине для пользовательских роли.

Ограничения политики организации для экранированной виртуальной машины

Вы можете установить политику организации limiteds/compute.requireShieldedVm ограничение на True , чтобы требовать, чтобы экземпляры ВМ Compute Engine были созданы в вашем организация может быть защищена экземплярами виртуальных машин.

Узнайте, как установить ограничения/вычисления .Ограничение requireShieldedVm в Использование логических ограничений в организации политика. Вы должны быть политикой организации администратор установить ограничение.

Что дальше

.

Добавить комментарий

Ваш адрес email не будет опубликован.