Режим windows uefi или другие ос: Следует ли устанавливать ОС в режиме загрузки UEFI или BIOS (legacy/CSM)? [дубликат]

Следует ли устанавливать ОС в режиме загрузки UEFI или BIOS (legacy/CSM)? [дубликат]

Я видел этот вопрос, заданный в разных местах, только с частичными ответами, поэтому я стремлюсь предоставить что-то вроде полного руководства по схемам загрузки 😉

прежде всего, некоторая справочная информация, которая вам понадобится:

• BIOS загрузка обычно требует MBR секционирование, хотя некоторые загрузчики поддерживают другие схемы разметки, как GPT.
• UEFI загрузки обычно требует bitness из ОС соответствует разрядности микропрограммы-и подавляющее большинство машин на основе UEFI имеют 64-разрядную микропрограмму.

сценарии, когда необходимо использовать BIOS

• вы устанавливаете старую ОС, которая не поддерживает загрузку UEFI (например, Windows Vista с пакетом обновления 1 или более ранней версии) или
• вам нужно установить ОС с другой разрядностью, чем у прошивки (т. е. 32-битную ОС на машине с 64-битным UEFI, или наоборот)

обратите внимание, что ОС это номинально требуют UEFI часто может быть принудительно загружена на машинах на базе BIOS с помощью специально разработанного загрузчика

1. Например, так обстоит дело с OS X — как может сказать любой энтузиаст Hackintosh.

если вы планируете двойную загрузку и устанавливаете вторую ОС…

в то время как трудно, можно конвертировать между MBR и GPT схем и переустановить загрузчик для другого режима.

Это тоже возможна загрузка одной ОС через UEFI, другой-через BIOS. Иногда у вас не будет выбора, например, если у вас уже есть 64-разрядная установка Windows на основе UEFI и вы хотите установить 32-разрядный Linux вместе с ним. Или какая-то старая и / или экзотическая ОС, которая не поддерживает UEFI. Но подумайте дважды, действительно ли вы

нужно сделать это.

Итак, итог:просто придерживаться схемы загрузки у вас уже есть на вашей машине, если вы не будете иметь тот выбор. Оно почти всегда в правильном направлении.

как узнать, какую схему загрузки использует моя машина?

правило такое:

• если это Mac, он использует UEFI; некоторые ранние модели на базе Intel использовали EFI32, все модели с 2008 года используют стандартный 64-разрядный UEFI.
• если это фирменный компьютер, поставляемый с Windows 8 или более поздней версии, он использует UEFI; Microsoft требует, чтобы Безопасная загрузка (для которой требуется UEFI) была включена по умолчанию на всех компьютерах, которые соответствуют спецификация логотипа Windows, начиная с Windows 8.
• если это ПК, поставляемый с Windows XP или более ранней версией, он использует BIOS.

с ПК которые грузили с Виндовс Виста или 7, или с Линуксом, так же, как ПК дии или те проданные небольшими местными предприятиями, вы можете никогда не быть уверены как раз визированием. Существует несколько способов определить режим загрузки в этом случае:

• вы можете изучить таблицу разделов. Если это GPT-диск и имеет » системный раздел EFI» (обычно перед основным объемом ОС), он загружается в режиме UEFI. В противном случае это режим BIOS.
• вы можете войти в программу настройки BIOS/UEFI и найти параметры приоритета загрузки. Если он отображает записи, говорящие EFI или UEFI, и/или они несколько описывают операционную систему (например, «Диспетчер загрузки Windows» или «Ubuntu»), он загружается в режиме UEFI. Если он показывает только номер модели диска в лучшем случае, это режим BIOS.

если вы устанавливаете первую ОС на новую машину или намереваетесь очистить жесткий диск…

прежде всего, проверьте, есть ли у вас выбор. Войдите в программу настройки BIOS / UEFI и найдите такие опции, как «режим загрузки», которые можно переключать между «UEFI», «Legacy», «UEFI+Legacy», что-то в этом роде. Его также можно назвать чем-то вроде «Enable UEFI Boot» или «Enable Legacy Boot», или упоминать термин CSM.

если нет такой опции в вашей прошивке, вам не повезло, и вы должны придерживаться того, что у вас есть есть — на старых машинах, которые будут в режиме BIOS; есть также некоторые новые машины (например, Microsoft Surface line), которые поддерживают только режим UEFI. Если вы все еще не уверены, что у вас есть – поиск «безопасной загрузки» в настройках – если он упоминается где-либо, это UEFI.

Если у вас есть выбор… Рассмотрим преимущества обоих режимов.

преимущества UEFI

• быстрее загружаться и лучше власть управление.² это особенно верно для Windows-в зависимости от различных факторов, UEFI с быстрой загрузкой может быть даже в два раза быстрее, чем legacy загрузки. С Linux разница будет меньше, но все же присутствует. Это связано с тем, что BIOS-загруженная ОС должна повторно инициализировать некоторое оборудование, которое, возможно, уже было инициализировано, исходный код ОС должен быть загружен в очень медленных устаревших режимах и т. д. С Linux вы также можете полностью избавиться от GRUB (или эквивалента) и загрузить ядро непосредственно из прошивки, что также может немного ускорить процесс. Кроме того, такие вещи, как перезагрузка, сон, спящий режим и т. д. может иногда частично или полностью обойти POST, далее повышая общую скорость загрузки и силовых операций.
• Безопасная загрузка. в зависимости от вашего варианта использования, это может быть больше хлопот, чем преимущество (но большинство аппаратных средств позволяет отключить его), а также его фактические достоинства безопасности ограничены – но все же, наличие дополнительной проверки подписи на уровне прошивки может стать дополнительной защитой от руткитов. Просто не предполагайте, что ваша система безопасна только потому, что она использует безопасную загрузку, она слишком ошибочна для таких предположений.
• улучшенная поддержка больших дисков. MBR схема секционирования не поддерживает диски размером более 2 Тиб. Вы все еще можете загрузиться с таких больших дисков в BIOS, используя гибридные таблицы разделов и дополнительный раздел загрузчика (который большинство ОС все равно создают по умолчанию), но это лучше поддерживается в UEFI. Кроме того, GPT не имеет этого 4-секционного ограничения MBR, освобождая вас от ерунды, такой как «расширенные разделы». Нет почти ничего, что вы не могли бы сделать поверх MBR с помощью пэчворка – но он поддерживается элегантно и изначально, без необходимости пэчворка;)
• родной мульти-загрузки. UEFI позволяет изначально объявить, что на одном жестком диске установлено более одной операционной системы drive-затем вы можете выбирать между ними из пользовательского интерфейса прошивки, без необходимости дополнительного загрузчика. Хотя это не всегда самый удобный вариант для работы с мультизагрузкой, это должно уменьшить количество проблем, таких как обновление ОС или перезапись загрузчика антивирусным программным обеспечением и т. д.
• лучшее программное управление. некоторые настройки UEFI (в частности, порядок загрузки) ОС может изменять стандартным способом. Это позволяет вам заказать такие вещи, как» завершение работы и перезагрузка с компакт-диска «(или» загрузка другой ОС » в случае, описанном выше) из операционной системы, без необходимости ввода пользовательского интерфейса прошивки.

преимущества BIOS

• более простой процесс загрузки. проще, как в simpler by design-не обязательно проще для современного оборудования (и именно поэтому он медленнее). с UEFI всегда можно последовательно загружать только съемные носители – записи загрузчика для ОС на внутренних дисках хранятся на материнской плате. Вот почему на машине на основе UEFI при замене жесткого диска или перемещении дисков между машинами вам понадобится среда восстановления на съемном носителе (или оболочка EFI в прошивке, которая иногда доступна на материнских платах DIY-market, но почти не существует на фирменных машинах), чтобы восстановить внутреннюю конфигурацию загрузчика для нового диска. Напротив, BIOS просто загружает первый сектор накопителя, что позволяет легко клонировать и перемещать жесткие диски между машинами (при условии, что, конечно, нет проблем с драйверами).
• более гибкие варианты ОС. версии Windows старше Vista SP1 не могут загружаться через UEFI. Аналогично для старых дистрибутивов Linux. Кроме того, в целом невозможно загрузить ОС с другой разрядностью, чем прошивка, — и подавляющее большинство систем на основе UEFI являются 64-разрядными, что означает, что без использования 32-разрядных ОС для устаревшей загрузки. Напротив, почти все можно загрузить через BIOS.¹
• меньше ошибок. реализации UEFI довольно часто имеют тонкие, но фатальные недостатки и ошибки, которые могут привести к кирпичам материнской платы удаление конфигурации прошивки или загрузки неправильного драйвера. В отличие от этого, BIOS существует с 1981 года, и, по крайней мере, способ его взаимодействия с ОС не сильно изменился за это время. В современном использование, это очень тонкий слой, который используется только во время загрузки, а также в основном однонаправленный, с ОС, не имеющей почти никакого доступа к тому, что остается внутри BIOS. Это означает, что смертельно сломать вещи намного сложнее.

нижняя строка

мой совет был бы для загрузки через наследие BIOS, Если вы:

• фактически настраивают виртуальную машину-UEFI на гипервизорах виртуальных машин, как правило, ограничены и экспериментальны; загрузка BIOS много лучше поддерживается
• необходимо загрузить 32-разрядную ОС на 64-разрядной машине
• есть прошивка, как известно, особенно глючит
• часто меняйте местами или перемещайте жесткие диски между машинами

в противном случае, лучше пойти с UEFI. Это быстрее, безопаснее и поставляется с лучшей функциональностью.

сноски

1. можно даже установить среду UEFI поверх BIOS. TianoCore дуэт строит делать специально, что-но такая установка, как правило, непрактично для реальных установок. Если у вас нет машины только для BIOS, и вы устанавливаете экспериментальную ОС, которая не может быть загружена никаким другим способом, кроме как через загрузчик UEFI-вы не хотите этого делать.
2. некоторые ранние прошивки UEFI могут иметь загрузчик UEFI «на болтах» поверх прошивки на основе BIOS. В таких редких случаях загрузка BIOS может выполняться быстрее, но это не представитель большинства аппаратных средств.

Boot List Option — выбор варианта загрузки UEFI — Legacy (с фото)

Опция  Boot List Option — Выбор варианта загрузки определяем режим загрузки и меет два значения «Legacy» — (наследуемый вариант загрузки — режим совместимости) BIOS или «UEFI» (Unified Extensible Firmware Interface — интерфейс между операционной системой и микропрограммами) режим загрузки. 

UEFI BIOS поддерживает два режима загрузки: режим загрузки Legacy («Наследие») BIOS и режим загрузки UEFI.

Некоторые устройства и операционные системы пока не поддерживают UEFI на основе BIOS и могут загружаться только с режиме загрузки — Legacy BIOS.

В зависимости от вашей ситуации, вы выбираете какой режим загрузки из UEFI BIOS вы хотите использовать: режим загрузки Наследия — Legacy BIOS или режим UEFI загрузки.

 

Значения опции:

1. Legacy  ( CMS OS или  CSM Boot,  UEFI and Legacy OS, Legacy OpROM) – выберите режим загрузки Legacy BIOS, чтобы HBAs-адаптеры и некоторые экспресс — модули могли использовать опции  ROMs — ПЗУ.   При выборе режима загрузки Legacy BIOS, только загрузочные кандидаты поддерживающие режим загрузки Legacy  BIOS будут перечислены в списке «Приоритет  — Параметры загрузки».  НЕ забываем при выборе данной опции
   1) отключить очень капризную опцию Secure Boot —  защищенной загрузки. А так же включить модуль
   2) Load Legacy Option Rom — CSM — загрузку модуля совместимости старых ОС.
2. UEFI (UEFI OS) – выберите режим загрузки UEFI что бы использовать драйверы UEFI.  Только устройства, поддерживающие выбранный режим загрузки перечислены на экране выбора источника загрузки BIOS  — экране в списке Приоритетов Параметры загрузки.

 

 

Более подробно о недостатках и достоинствах «нового БИОСА — UEFI —  интерфейс прошивки» написано здесь (uefi bios настройка).

Опция также может иметь другие названия:

1. Boot List Option
2. Launch CSM (Compatibility Support Module)
3. CMS Boot
4. UEFI and Legacy OS
5. CMS OS
6. Boot Mode
7. OS Mode Selection

 

Примечание 1. Если режим загрузки  (Boot List Option) изменяется, то выставленная последовательность опроса носителей — дисков — кандидатов от предыдущего режима загрузки  не сохраняется..

Примечание 2. Загрузчик операционной системы – это системная программа, которая подготовляет компьютер для загрузки операционной системы (загружает ядро операционной системы в оперативную память, формирует параметры работы ОС…). Запуск загрузчика выполняет BIOS.

Программа Aptio Setup Utility — BIOS фирмы American Megatrends Inc на системных платах Dell Inc.

Название данной опции у данного производителя в данной версии BIOS:

Boot List Option значение по умолчанию  [Legacy]

Возможное значение:

Обозначение опции BIOS	Описание опции в БИОСе	Переведенное значение опции БИОС
	This list specifies the order that the BIOS searches devices when trying to find an operating system to boot. To change the boot order select the device to be changed in the list on the right hand side, then use the keybaord PgUp/PgDn keys to change the boot order of the device. The boot devices can also be selectd or de-selectd from the list using the check boxes on left hand side.	Этот список определяет порядок, в котором BIOS ищет устройства при попытке найти операционную систему для загрузки. Чтобы изменить порядок загрузки выберите желаемое устройство в списке на правой стороне, а затем используя клавиши клавиатуры PgUp / PgDn, измените порядок загрузки устройства. Загрузочные устройства также могут быть выбраны из списка помощью флажков +/-
[ Legacy ]		Если операционная система установлена ​​с помощью режим загрузки «Наследие» BIOS (Legacy BIOS boot mode)  операционная система может быть запущена только в режиме загрузки  Legacy.
[UEFI]		Если операционная система установлена ​​с помощью режим загрузки UEFI, операционная система может быть запущена только в режиме загрузки UEFI  (UEFI boot mode).

Еще по настройке БИОС (БИОЗ) плат:

MSI Россия

Для установки операционной системы Windows с нуля (в отличие от предустановленной) выполните описанные ниже действия.

Примечание: Если новая версия Windows отличается от версии предустановленной на устройство MSI операционной системы, потребуется ввести лицензионный ключ.

Пожалуйста, следуйте инструкциям ниже.

Вначале убедитесь, что у вас имеется все нижеперечисленное:

• Ноутбук MSI
• Блок питания
• Установочный диск или USB-накопитель с Windows 10

Для установки Windows 10 выполните описанные ниже действия.
(Примечание: перед установкой ОС рекомендуется сохранить резервные копии всех данных.)

• Подключите к ноутбуку питание.
• Вставьте установочный диск в оптический привод или подключите USB-накопитель с Windows 10.
• Нажмите кнопку питания, чтобы включить ноутбук.
• После появления экрана с логотипом MSI начинайте нажимать клавишу Delete, пока не загрузится интерфейс BIOS.
• В интерфейсе BIOS перейдите на вкладку Boot («Загрузка»), используя клавиши со стрелками.
• В разделе “Boot mode select” («Выбор режима загрузки») выберите UEFI (данный режим поддерживается операционной системой Windows 10.
• Нажмите клавишу F10, чтобы сохранить изменения и выйти из интерфейса BIOS. После этого компьютер автоматически перезагрузится.
  
• Нажмите клавишу F10, чтобы сохранить изменения и перезагрузить компьютер.
• После появления экрана с логотипом MSI начинайте нажимать клавишу F11, чтобы отобразить меню загрузки.
• Выберите в меню подключенный ранее USB-накопитель и нажмите клавишу Enter. (На иллюстрации показан пример с USB-накопителем. Если нужно загрузиться с установочного диска, то выберите в этом меню оптический привод).
  
• Укажите предпочтительный язык и раскладку клавиатуры. Если вас устраивают те, что выбраны по умолчанию, просто щелкните по кнопке Next (Далее).
  
• Щелкните по кнопке Install Now («Установить»).
  
• Введите лицензионный ключ и щелкните по кнопке Next (Далее). Если у вас его нет, щелкните по кнопке “I don’t have a product key” («У меня нет лицензионного ключа») и затем по кнопке Next (Далее). Ввести лицензионный ключ можно будет позже, когда установка Windows будет завершена.
  
• Выберите Windows 10 Home («Windows 10 Домашняя») и щелкните по кнопке Next («Далее»). На иллюстрации показан пример соответствующего меню установщика Windows.
  
• Примите условия лицензионного соглашения и щелкните по кнопке Next («Далее»).
  
• Выберите опцию “Custom: Install Windows only (advanced)” («Установить только Windows»).
  

Данный этап связан с имеющимися на накопителе разделами. Для начала выберите раздел, на который желаете установить операционную систему. Если ни один из имеющихся разделов под ваши требования не подходит, то их следует удалить, чтобы затем распределить дисковое пространство в соответствии с вашими предпочтениями.

• Если нынешний вариант разделения накопителя вас устраивает, выделите нужный раздел. Он будет отформатирован, затем на него будет установлена операционная система. Данные на остальных разделах будут при этом сохранены. Для продолжения выберите нужный накопитель в столбце Name («Имя») и щелкните по кнопке Next («Далее»).
  
• Если нынешний вариант разделения накопителя вас не устраивает, то следует удалить существующие разделы и создать новые. (В этом случае будут потеряны все данные на удаляемых разделах.) Чтобы продолжить, выберите раздел, который требуется удалить, и щелкните по кнопке Delete (Удалить).
  
• После удаления всех разделов выберите Unallocated Space («Нераспределенное пространство») и щелкните по кнопке New (Создать).
  
• Укажите размер нового раздела в поле Size («Размер») и щелкните по кнопке Apply («Применить»). Размер задается в мегабайтах, поэтому если требуется, например 50 ГБ, следует ввести «50000».
• Распределив дисковое пространство нужным образом, выберите нужный раздел и щелкните по кнопке Next (Далее).
  
• Автоматически запустится установщик Windows и начнется установка операционной системы.
  
• После этого компьютер автоматически перезагрузится. Следуйте появляющимся на экране инструкциям, чтобы завершить установку. Затем можно войти в ОС.
  
  
• Зайдя в Windows в первый раз после установки, скачайте и установите свежие драйверы с официального веб-сайта MSI — официальный веб-сайт MSI.

О UEFI | Русскоязычная документация по Ubuntu

Вообще, представленный в статье материл не относятся исключительно к Ubuntu. В статье освящены и вопросы на прямую не зависящие от ОС.

Статья сфокусирована на объяснении понятий и принципов, а также важных и интересных возможностях UEFI. Более детально сам процесс установки и настройки загрузки Ubuntu в UEFI режиме описан в этой статье или в этой.

Практически все современные компьютеры оснащены системной прошивкой позволяющей загрузиться через UEFI. На более старых компьютерах за загрузку отвечал BIOS. В чем разница и как с этим всем жить — давайте разберемся.

BIOS

Старый добрый BIOS отвечает за первичное тестирование (POST), инициализацию практически всего аппаратного обеспечения компьютера и за инициализацию загрузки ОС с дискового носителя (хотя сегодня уже не все носители имеют в своей конструкции диск ). Собственно вся процедура инициализации загрузки ОС заключалась в двух шагах:

1. по настройкам BIOS найти устройство (диск) с которого надо загрузиться.

2. считать в память MBR, т.е. первый сектор (512 байт) диска и запустить находящийся там код на исполнение.

За все остальное (даже за работу с таблицей разделов, которая располагается в конце MBR) отвечает тот самый маленький код, который расположен в первых 446 байтах MBR.

Проблемой BIOS принято считать то, что много работы он делает зря (чем затягивает процесс загрузки системы). Практически всю его работу по инициализации и поддержке оборудования компьютера все современные ОС попросту игнорируют и повторно инициализируют и далее работают через свои драйвера. Все, что дает BIOS, было реально востребовано только в ранних версиях DOS…

Другой проблемой являются ограничения, которые установлены для поддержки BIOS: это 16-разрядный реальный режим работы процессора с набором команд i8086, 1Мб адресуемого пространства памяти и периферия (клавиатура, видео адаптер, контроллер прямого доступа в память) совместимая с IBM AT. На сегодняшний день, требовать от 64-х разрядного многоядерного, многопоточного процессора совместимости с одноядерным и однопоточным 16-разрядным i8086 — уже немного смешно, а требование совместимости по периферии с IBM PC-AT(компьютер 1984-го года выпуска) уже даже не смешно, а очень грустно.

(U)EFI

Идеи отказаться от всего того ненужного, что делает BIOS, снять архаичные ограничения BIOS и сделать процесс инициализации и загрузки более гибким возникали уже очень давно, и различные попытки сделать это предпринимались, но IT-индустрия реально созрела к принятию нового общего стандарта загрузки персональных компьютеров только в начале этого века. В 2005 был создан консорциуму UEFI Forum, которому INTEL передал свою наработки по проекту Intel Boot Initiative (позже переименованному в EFI — Extensible Firmware Interface), начатому еще середине 90-х. Помимо Intel в консорциум вошли AMD, Apple, IBM, Microsoft и многие другие крупные IT-компании. Вместе с созданием консорциума спецификация EFI была переименована в UEFI (Unified Extensible Firmware Interface)¹⁾.

Основные концепции положенные в основу UEFI — «минималистичность», «модульность» и поддержка разных процессоров. Прошивка UEFI может быть собрана под 32-битный или 64-битный процессоры Intel, 32- или 64-битный процессор ARM, а также для процессоров Intel Itanium. Кроме того UEFI имеет собственный менеджер загрузки и умеет работать с файловыми системами на диске (по умолчанию только FAT32), а также умеет загружать драйверы для поддержки различного оборудования и любых файловых систем.
После включения компьютера и проведения первичного теста оборудования (на этом этапе разницы с BIOS нет) инициализируются только те подсистемы, которые необходимые для загрузки.

В некоторых режимах загрузки, которые обычно называют Fast-boot (или Fast-Startup), даже клавиатура может оставаться не инициализированной, пока не загрузится ОС. Некоторые настройки Fast-boot могут отключать работу со всеми USB устройствами и не будет возможности даже выбрать с чего грузиться компьютеру, ведь клавиатура не работает до тех пор, пока не загрузится ОС.

Причем, в отличии от BIOS, все компоненты которого записаны в постоянную (флеш) память, UEFI может хранить часть своего кода на диске — в специальном разделе ESP²⁾. Это позволяет легко расширять, менять и обновлять код поддерживающий различные устройства компьютера без необходимости перепрограммировать постоянное ЗУ компьютера. А кроме драйверов для поддержки устройств на ESP разделе может хранится и поддержка протоколов, утилиты и даже собственная EFI-оболочка (shell), из-под которой можно запускать собственные EFI-приложения. Т.е. UEFI по сути — маленькая ОС (или псевдо-ОС). При этом загрузчик операционной системы становится обычным приложением, которое исполняется в окружении, предоставляемом псевдо-ОС UEFI. Подробнее о EFS разделе мы поговорим в главе ESP раздел.

UEFI реализует свой менеджер загрузки, он поддерживает мульти-загрузку: позволяет выбирать загрузку из нескольких ОС и/или утилит. Загрузчик ОС — это просто efi-приложение, которое хранится на ESP разделе. В ESP может храниться много приложений, и пункты меню загрузки могут ссылаться каждый на свое приложение (или на одно, но с передачей разных параметров). Кроме того, UEFI поддерживает ассоциацию нажатия клавиш с пунктами загрузки (выбор пункта загрузки осуществляется в зависимости от того какая нажата клавиша в момент загрузки). Т.о. UEFI берет на себя большую часть задач, которые раньше могли решать только загрузчики ОС (типа GRUB). Более подробно мы поговорим о менеджере загрузки UEFI в разделе Менеджер загрузки UEFI

Архитектура UEFI позволяет также загрузить драйвера устройств (необходимые для работы ОС и для процедуры загрузки). Да и само ядро ОС можно загрузить (по крайней мере ядро Linux, собранное с опцией UEFISTUB) непосредственно из UEFI (т. е. устранить загрузчик из процесса загрузки). Такую возможность мы разберем более детально чуть позже в разделе Загрузка ядра Linux непосредственно из UEFI.

Как и в случае с BIOS, UEFI — это стандарт, практической реализацией которого занимаются разные поставщики решений. Поэтому в реализации стандарта UEFI в прошивках разных поставщиков могут значительно отличаться (как визуально так и функциональным наполнением). Могут встречаться сильно урезанные по функционалу реализации (чаще в компьютерах выпущенных в 2000-х годах). Но базовые принципы работы UEFI в процессе загрузки различаться сильно не должны (он был определен и зафиксирован в самых ранних стандартах UEFI). Интерфейсы утилиты настройки могут сильно различаться, но значение имеет не способ оформления интерфейса, а те настройки, которые доступны для изменения через этот интерфейс.

Совместимость

Само собой, современные прошивки умеют эмулировать работу BIOS. Отвечает за совместимость с BIOS модуль CSM (Compatibility Support Module иногда он еще называется Legasy support). Когда CSM включен и при загрузке загрузиться в UEFI не удалось, то CSM пытается найти загрузчик ОС в первом секторе диска (MBR) или в специальном служебном разделе (при GPT разбивке диска). Если код загрузчика найден, то CSM считает, что установлена ОС, требующая поддержки режима BIOS, и, прежде чем загрузить и запустить код из MBR, CSM проделывает все те же шаги инициализации оборудования, что предусмотрены для BIOS.

Если вы планируете использовать только загрузку в варианте UEFI, то работу этого модуля лучше запретить в системной утилите вашей материнской платы (Firmware setup utility). Кроме того, загрузка в режиме SecureBoot (о ней будет рассказано ниже) явно требует, что бы работа модуля CSM была запрещена.

Собственно использовать сразу оба варианта загрузки (для разных ОС) — не стоит. Лучше для всех ОС установленных на данном компьютере использовать один вариант загрузки: через CSM или UEFI.

ESP раздел

Отдельно стоит рассмотреть служебный раздел UEFI. Раздел обязательно должен иметь специальный идентификатор UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B (или тип EF если он создан на диске с таблицей разделов в MBR). По стандарту этот раздел должен иметь файловую систему FAT32 (в принципе стандарт допускает использование других ФС, но на практике это не распространено). Предусмотренная в стандарте структура каталогов довольно проста.

• В корне системного раздела могут располагаться системные утилиты (например тот же шелл-интерпретатор).
• В каталогах EFI\³⁾ должны лежать загрузчики ОС указанного поставщика.

• Если у UEFI нет явного указания какой загрузчик загружать, то он загружает файл EFI\BOOT\BOOTx64.EFI (…x32.EFI для 32-х битных платформ).

При установке UBUNTU (с загрузкой через UEFI) служебный раздел ESP монтируется в /boot/efi. И на ESP разделе создается каталог EFI\ubuntu в котором размещается загрузчик⁴⁾ GRUB и/или Shim (о них — чуть позже).

EFS раздел лучше создавать из установщика. Когда вы делаете его сами через gparted/parted/fdisk, то есть шанс сделать что-то не так (например выберете FAT16 вместо FAT32) и тогда UEFI не поймет, что это EFS раздел и не будет с него загружаться. Доверьте установщику выполнить работу, которую он умеет делать хорошо — делайте EFS раздел из установщика.

MBR и GPT

Еще одно «новшество» в индустрии относится к таблице разделов диска.

Во времена IBM-PC/AT и BIOS таблица разделов размещалась в первом секторе на диске, т.е. в MBR (Master Boot Record). В MBR хранится и исполняемый код загрузчика ОС и таблица разделов. Т.к. в 512⁵⁾ байт много не запихнешь, то таблица разделов была рассчитана только на 4 раздела. Изначальное ограничение на 4 раздела позже было обойдено через внедрение расширенного раздела — внутри него можно было создать множество логических разделов ⁶⁾.

Другой недостаток⁷⁾: на указатели начала и конца раздела было зарезервировано 32 бита, что позволяло адресовать 2 терабайта (что в те давние времена казалось просто астрономически много ). 21 байт (на сегодня этот размер вновь выглядит астрономически большим… )

К чему я упомянул про таблицы разбиения дисков? А к тому, что, несмотря на то, что первоначально UEFI планировалось использовать только с GPT, а BIOS умел работать с MBR (вернее код в MBR работает с таблицей разделов расположенной в конце MBR), но в реальной жизни и BIOS (вернее сказать CSM) научили понимать GPT, и для UEFI предусмотрели использование таблицы разделов из MBR.

EFS раздел может быть также создан в таблице разделов формата ISO9660 (стандарт используемый для разметки CD/DVD оптических лисков). Это позволяет загружаться в режиме UEFI и с CD/DVD.

Получившаяся в результате «солянка» (из 4-х допустимых вариантов: UEFI + MBR, UEFI + GPT, BIOS/CSM + MBR и BIOS/CSM + GPT) создает некоторую путаницу и недопонимание. Давайте попробуем во всем этом разобраться более детально.

Что нужно для того что бы ОС грузилась через BIOS?

Несмотря на то, что загрузка в режиме BIOS уже не современна, не модна , а главное — технологически устарела, но, уверен, будет еще много сторонников этого пути, на протяжении долгих лет… Однако я не могу найти ни одного разумного довода использовать этот вариант если и ОС и компьютер поддерживают загрузку через UEFI.

В первую очередь, для загрузки через BIOS, в утилите настройки вашего компьютера должна быть разрешена работа модуля CSM. Само собой, режим SecureBoot (о нем рассказано чуть ниже) в таком варианте организовать невозможно в принципе.

Если разбивка диска — c таблицей разделов в MBR (вариант «BIOS/CSM + MBR»), то ничего дополнительно не нужно (это сочетание собственно и есть оригинальная конфигурация для варианта загрузки через BIOS).

А вот если у вас диск размечен через GPT (вариант «BIOS/SCM + GPT»), то возникают некоторые сложности.
В первую очередь: не совсем ясно — куда разместить код, который ранее размещался в MBR. Да, в GPT первый блок размером в 512 байт зарезервирован и в нем даже есть защитная версия таблицы разделов (в формате принятом для MBR). В защитной таблице разделов записан единственный раздел размером на все адресуемое пространство диска⁸⁾ и с типом EE. Само собой, с единственной фейковой записью в таблице разделов никакой код в MBR не сможет корректно отработать процесс загрузки⁹⁾.
Еще одно проблемное место возникает когда загрузчик использует для размещения своего кода сектора на первом треке диска за MBR (к примеру так поступает GRUB). В GPT на этом месте уже идут служебные записи (заголовок таблицы разделов и сами записи о разделах).
Для решения обоих этих проблем предусмотрен специальный бинарный (он не форматируется ни в какую ФС) раздел BIOS-Boot (Тип = EF02 или UUID = 21686148-6449-6E6F-744E-656564454649). Установщик ОС может прописать на этот раздел весь тот код, который ранее размещался в MBR и на незанятом пространстве за MBR. Этот раздел должен иметь установленный флаг boot. Размер этого раздела может быть совсем маленьким, ведь MBR — это всего 512 байт, а размер неиспользуемого пространства за MBR, составляет всего 31Кb или 1023,5Кb¹⁰⁾. Однако, некоторые современные загрузчики требуют раздел BIOS-Boot размером в 10-30Мb.
В процессе загрузки CSM модуль (эмулирующий работу BIOS) отвечает за то, что находит в GPT раздел BIOS-Boot, загружает первые 512 байт с этого раздела, и передает управление загруженному коду. За дальнейший процесс загрузки отвечает этот код, а CSM берет на себя задачу эмулировать обращение к секторам диска за MBR (вместо этих секторов производится подстановка секторов из раздела BIOS-Boot).

---

Пожалуй вот на этом и закончим обсуждать CSM и BIOS, все дальнейшее будет относится только к UEFI.

Что нужно для установки ОС, что бы она грузилась через UEFI?

На самом деле все не так сложно как кажется. Как уже было сказано UEFI требует специального раздела ESP (с файловой системой FAT32 и флагами boot и esp). И, несмотря на то, что для этого раздела был предусмотрен специальный длинный идентификатор (UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B) для GPT, который в таблицу разделов MBR ну никак не запихнешь, этому разделу дали еще и короткий идентификатор (EF), который можно «впихнуть» в таблицу разделов в MBR. Т.е. ESP раздел можно создать и на диске с GPT и на диске с таблицей разделов в MBR (однако такой вариант поддерживает не любая ОС).

Т. о. при установке системы, помимо создания нужных для работы ОС разделов, нужно создать специальный раздел ESP:

— для варианта «UEFI + MBR» : c типом EF

— для варианта «UEFI + GPT» : c типом EF00 и UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B

Этот раздел должен быть отформатирован в FAT32 и иметь установленные флаги boot и esp. Размер раздела можно выбрать небольшим 200-300Мб (занято там будет, скорее всего, гораздо меньше, но делать его совсем маленьким, при современных объемах дисков — просто бессмысленно).

Если ESP раздел создается из установщика Ubuntu, то нужный формат, точку монтирования и необходимые флаги установщик сделает сам: нужно только выбрать тип раздела «EFI Boot» и задать его размер.

Если на компьютере уже стоит ОС загружающаяся через UEFI, то ESP раздел уже должен быть на диске и новый ESP создавать не нужно. В установщике Ubuntu надо только убедиться, что этот раздел используется как «EFI Boot». Более того, если создать несколько разделов ESP (на одном диске), то некоторые прошивки UEFI могут «окриветь» из-за такого неожиданного разнообразия. Общее правило — на диске должен быть только один раздел ESP. На разных устройствах ESP разделов может быть несколько — это вполне штатная ситуация для UEFI.

Ядро Linux загруженное не через UEFI не обеспечивает доступа к переменным UEFI, а это не позволяет изменять настройки загрузки UEFI. Поэтому, поставить новый Linux (что бы он загружался через UEFI) можно только предварительно загрузившись с установочного носителя через UEFI.

Некоторые дистрибутивы не умеют загружаться через UEFI, если у вас таблица разделов в MBR.

Для загрузки через UEFI модуль CSM не нужен, и, если все установленные на компьютере ОС грузятся через UEFI, то CSM лучше отключить. А вот если вы организуете загрузку в режиме SecureBoot, то CSM модуль отключить просто необходимо: без этого, обычно, просто не включить режим SecureBoot или включение SecureBoot автоматически запрещает работу CSM.

Менеджер загрузки UEFI

Кроме кода отвечающего за первичную инициализацию системы UEFI имеет свой менеджер загрузки. Работу менеджера загрузки задают переменные UEFI, хранящиеся в энергонезависимой памяти NVRAM¹¹⁾.

Переменные, которые задают работу менеджера загрузки это:

• Driver####

• DriverOrder

• SysPrep####

• SysPrepOrder

• Boot####

• BootOrder

• OsRecovery####

• PlatformRecovery####

• BootNext

, где #### — шестнадцатеричный номер записи.

Переменные Driver#### инициализируют загрузку UEFI драйверов. Переменная DriverOrder определяет последовательность загрузки драйверов.

Драйвера остаются в памяти после своей инициализации. Однако загруженные драйвера сразу не связываются с устройствами, которые они обслуживают. Процесс такого связывания необходимо инициализировать отдельно. Но нужно отметить, что происходит не просто связывание загруженных драйверов, а повторное связывание, т.к. некоторые драйвера уже были связаны со своими устройствами в процессе первичной инициализации системы. За запуск процесса инициализации отвечает флаг LOAD_OPTION_FORCE_RECONNECT, который можно установить в поле атрибутов загрузочной записи Driver####. Если хоть у одного из загруженных драйверов этот флаг установлен, то после окончания загрузки всех драйверов менеджер загрузки UEFI инициализирует процедуру пере-связывания всех драйверов и устройств.

Переменные SysPrep#### инициализируют загрузку системных утилит. Переменная SysPrepOrder определяет последовательность утилит. Системных утилита должна выполнить свои действия и вернуть управление менеджеру загрузки UEFI. Утилиты не остаются в памяти, если нужен резидентный код, то его нужно загружать как Driver####.

Переменные Boot#### отвечают за загрузку загрузчиков ОС. Переменная BootOrder определяет приоритет загрузки загрузчиков ОС. Загрузчик обязан определить возможность загрузки ОС и принять решение — будет он загружать ОС или нет. Если ОС не будет загружаться, то загрузчик должен просто вернуть управление менеджеру загрузки UEFI. Если же ОС будет загружаться, то загрузчик должен уведомить об этом менеджера загрузки UEFI специальным вызовом. Этот вызов имеет принципиальное значение, т.к. те услуги которые UEFI обеспечивает для ОС гораздо уже и более ограничены чем те, которые доступны в процессе инициализации системы. И Именно для переключения режима услуг необходимо такое уведомление от загрузчика.

На работу менеджера загрузки влияют как переменные DriverOrder, SysPrepOrder и BootOrder, так и значение флага LOAD_OPTION_ACTIVE устанавливаемого в поле атрибутов загрузочной записи (Driver####, SysPrep#### или Boot####). Загрузочные записи с неактивным флагом LOAD_OPTION_ACTIVE игнорируются менеджером загрузки UEFI даже если эти записи указаны в переменной задающей порядок/приоритет (DriverOrder, SysPrepOrder или BootOrder). Также игнорируются записи с активным флагом LOAD_OPTION_ACTIVE, но не включенные в переменную задающую порядок/приоритет.

Менеджер загрузки UEFI в нормальном режиме работы сначала загружает все активные Driver#### упомянутые в DriverOrder и в том порядке, в котором они записаны в DriverOrder, затем загружает все активные SysPrep####, указанные в SysPrepOrder, в указанном там порядке, а после этого пытается загрузить активный загрузчик ОС (Boot####) в порядке указанном в BootOrder. А вот если ни одна из активных записей упомянутых BootOrder не смогла загрузить ОС (все вернули управление менеджеру загрузки UEFI), то запускается процесс восстановления.

Процесс восстановления настраивается переменными OsRecovery#### и PlatformRecovery####. Если эти переменные не заданы, то менеджер загрузки UEFI пытается произвести загрузку по умолчанию: загружается загрузчик хранящийся по пути \EFI\BOOT\BOOT{machine type short-name}.EFI, где {machine type short-name} — одно из:

• IA32 — для 32-х битной платформы c INTEL-подобным процессором

• x64 — для 64-х битной платформы c INTEL-подобным процессором

• IA64 — для 64-х битной платформы с INTEL Itanium процессором

• ARM — для 32-х битной платформы c ARM процессором

• AA64 — для 64-х битной платформы c ARM процессором

Если загрузка по умолчанию не прошла, то менеджер загрузки UEFI сдается и выводит сообщение о невозможности дальнейшей загрузки системы.

Если заданы OsRecovery#### и/или PlatformRecovery####, то сначала выполняются OsRecovery#### и после этого менеджер загрузки UEFI пробует снова загрузить одну из Boot#### указанных в BootOrder и пробует загрузку по умолчанию.

Если и после этого ни один загрузчик не начал загрузку ОС, то выполняются PlatformRecovery####, но после выполнения записей PlatformRecovery#### загрузка начинается сначала: с Driver####, затем SysPrep####, а только после этого пробует снова загрузить одну из Boot#### указанных в BootOrder и загрузку по умолчанию. И вот если уже и после этого не удалось запустить загрузку ОС, то менеджер загрузки UEFI сдается и выводит сообщение о невозможности дальнейшей загрузки системы.

Отдельно нужно упомянуть возможность манипуляции приоритетом загрузки ОС заданным в BootOrder. Если задана переменная BootNext (в ней указывается номер одной из записей Boot####, которая должна быть активной), то менеджер загрузки пробует сначала загрузить запись Boot#### указанную в BootNext, и только если загрузить ОС по этой записи не удалось, то менеджер загрузки переходит к загрузке в соответствии с BootOrder. При этом BootNext удаляется в любом случае.

Еще один способ изменения приоритета загрузки ОС — выбор записи Boot#### по нажатию кнопки на клавиатуре в процессе загрузки. Для реализации такого механизма нужно привязать кнопку к записи Boot####. И если кнопка будет нажата, то менеджер загрузки пробует сначала загрузить запись Boot#### привязанную к кнопке, и только если загрузить ОС по этой записи не удалось, то менеджер загрузки переходит к загрузке в соответствии с BootOrder.

Практически все функции и настройки менеджера загрузки UEFI позволяет настроить утилита efibootmgr (смотрите man efibootmgr что бы узнать как).

---

Вот такие серьезные возможности обеспечивает менеджер загрузки UEFI. Фактически в нем реализован весь функционал классических менеджеров загрузки ОС поддерживающих мультизагрузку (загрузку нескольких ос или нескольких версий одной ОС). Причем в вопросах восстановления функционал менеджера загрузки UEFI даже шире за счет того, что он реализуется в процессе инициализации системы.

Таким образом UEFI делает такие загрузчики (например GRUB) фактически ненужными. И ниже мы поговорим о том, как можно организовать загрузку ОС Linux из UEFI без дополнительных загрузчиков.

Secure Boot

Особого упоминания требует такая особенность UEFI как Secure Boot.

Как уже было сказано EFI раздел (ESP) находится на диске, к которому может быть организован доступ во время работы ОС. Это означает не только легкость в изменении загрузки и инициализации оборудования системы, но и то, что туда можно подсунуть заведомо зловредный код, который (О!!! УЖАС!!!) будет загружен еще ДО!! загрузки ОС. На самом деле, перепрограммировать микросхемы BIOS или подменить код в MBR из запущенной ОС тоже можно было, но на это практически никто раньше не обращал внимания .

Закрыть эту «ужасающую дыру» в безопасности и призван Secure Boot. Вот как он работает:

При программировании системной памяти UEFI загрузчика (firmware), производители, вместе с кодом, записывают и сертификаты (содержащие ключи), и при загрузке в режиме Secure Boot UEFI проверяет по этим ключам подписи у любого исполняемого кода, который он загружает из ESP раздела (подписи добавляются к коду). Если верификация не прошла — такому коду отказывают в запуске.

Большая шумиха поднялась когда Microsoft заявили, что производители оборудования, желающие получить сертификат совместимости с Windows 8, обязаны исключить возможность загрузки с отключенным режимом Secure Boot. Дело в том, что это бы не позволило загрузить ни одну ОС, которая была бы не подписана колючем Microsoft.

Однако, довольно быстро шумиха улеглась. Во-первых Secure Boot практически все производители компьютеров разрешают отключать (Microsoft позже насколько переформулировал свои требования: от оборудования сертифицированного под Windows 8 не требуется запрещать загрузку без Secure Boot, зато требуется сообщить загрузчику Windows 8, что загрузка была не в SecureBoot режиме, и уже самой Windows решать — грузится ей дальше или нет). А во-вторых, в рамках консорциума UEFI были предусмотрены интерфейсы для управления ключами. «Подсуетились» и Canonical, и RedHat вместе с фондом FSF (Free Software Foundation). Как результат всех этих мероприятий и событий — и GRUB, и другие загрузчики обзавелись методами загрузки в режиме Secure Boot, а кроме того, стали доступны утилиты по управлению ключами UEFI. Вы даже можете свой собственный код подписать своим собственным ключом, загрузить ключ в UEFI (утилитами из пакета efitools) и это позволит загружать ваш собственный код в Secure Boot режиме.

Чуть хуже дело обстоит с планшетами и телефонами с предустановленной Windows — в прошивках этих устройств SecureBoot может быть не отключаем, а иногда нет и управления ключами.

Все дистрибутивы Ubuntu поддерживающие загрузку через UEFI уже имеют в своем составе все необходимое для загрузки в Secure Boot режиме практически на любом компьютере. Но, если загрузка с установочной флешки или диска не идет, то Secure Boot следует отключить (конечно же Secure Boot — не единственная причина по которой может не происходить загрузка с установочной флешки или диска).

В Ubuntu раздел ESP монитруется (при стандартной установке) в каталог /boot/efi/. Но правами доступа туда обладает только root (остальные пользователи даже прочитать из этого каталога ничего не могут). Т.е. даже без Secure Boot защита от атак через доступ в ESP раздел предусмотрена на том же уровне, на котором защищена и вся система: если рута взломали — то уже в принципе ничего не помешает злоумышленнику сделать с системой все, что он пожелает.

Обратите внимание: режим SecureBoot включается для всего компьютера, а это означает, что правильно подписанными должны быть все загрузчики (всех установленных ОС), утилиты и драйвера, которые загружаются с ESP раздела.

Ключи системы Secure Boot

На самом деле в энергонезависимой памяти компьютера (NVRAM) рассчитанного на работу с UEFI предусмотрено место не на один сертификат, более того, сертификаты хранятся в специально организованной, иерархической системе. Давайте рассмотри этот вопрос более детально, но начнем с того, что определим — что такое сами ключи, о которых мы тут говорим.

Ключи

Что же представляют собой эти ключи? На самом деле хранятся все ключи UEFI в сертификате — бинарном файле контейнере специального формата (специальное расширение стандарта x.509). Внутри сертификата могут содержаться открытый ключ, информация о владельце ключа, удостоверяющий ключ подписи и иная информация. Сами используемые ключи — это пары ключей (открытый/публичный и закрытый/секретный) сформированные алгоритмом RSA. UEFI стандарт рекомендует использовать ключи длинной 2048 bit.

Набор ключей системы SecureBoot

UEFI стандарт предусматривает следующие ключи (или списки ключей):

• PK (Platform Key) — Это основной (единственный) ключ системы. Часто это ключ производителя оборудования.

• KEK (Key Exchange Keys) — Ключ используемый для обмены ключами. Этих ключей может быть несколько.

• db (база разрешенных ключей) — А вот в этом списке и хранятся те самые ключи, которые используются для проверки подписи загружаемых UEFI программ.

• dbx (база отозванных ключей) — Здесь хранятся скомпрометированные ключи. Программный код подписанный такими ключами не будет загружаться и исполняться.

• dbt (база временных меток) — тут хранятся ключи с отметкой времени ¹²⁾) (оставим пока детальное рассмотрение вопроса использования этих ключей за рамками статьи).

• dbr (база ключей для восстановления) — тут хранятся ключи восстановления системы (оставим пока детальное рассмотрение вопроса использования этих ключей за рамками статьи).

В зависимости от реализации часть ключей может отсутствовать (или даже все, если система вовсе не поддерживает SecureBoot). В самых старых реализациях (поддерживающих SecureBoot) набор ключей мог быть: PK и db. В более свежих могут отсутствовать dbr и/или dbt.

Кроме того в NVRAM UEFI могут быть созданы кастомные списки ключей. Примером такого списка служит список ключей MOK (Mashine Owner Keys). MOK ключи используются не самим UEFI, а загрузчиком Shim. Shim (подписанный ключем из db) загружается как обычное UEFI приложение и сам проверяет подпись загружаемого им кода по ключам из MOK.

Если вам неохота/лень разбираться в режимах работы UEFI и ключей описанных далее, то можете условно считать, что PK ключ должен быть само-подписанным, KEK ключ — должен быть подписан ключем PK, а db (dbx|dbt|dbr) ключ должен быть подписан ключем KEK или PK. Если вас устраивает такая упрощенная модель (на самом деле там все несколько сложнее, что и описано далее), то вы можете смело пропустить остаток этого раздела и перейти сразу к разделу Собственные ключи

Состояния системы SecureBoot

Работа с ключем PK сильно зависит от состояния в котором находится UEFI. В спецификации UEFI v2.5 предусмотрено 4 состояния, на два из них наиболее важны, а еще два — служебные (они могут быть вовсе не реализованы в некоторых прошивках UEFI). Состояния определяются значениями глобальных переменных UEFI (хранящимися в NVRAM). При этом, в разных состояниях меняется не только значение переменных, но и возможность записать в эти переменные новое значение. Далее будет использоваться следующая нотация: <Переменная>=<значение>/[RO|RW], где признаки RO и RW говорят о доступности переменной для изменения (RO, от ReadOnly — только чтение; RW, от ReadWrite — чтение и запись).

• Setup — Режим настройки системы (SetupMode = 1/RO): PK — не определен, SecureBoot — не разрешен (SecureBoot = 0/RO), переход в состояние Audit разрешен (AuditMode == 0/RW), а переход в состояние Deployed запрещено (DeployedMode = 0/RO).
  В этом режиме можно задать PK: он должен иметь удостоверяющую подпись своим собственным секретным ключем (т.е. он должен быть само-подписанным). При задании PK система сразу переходит состояние User.
  Можно также перейти в состояние Audit, присвоив переменной AuditMode значение 1.

• User — Рабочий режим (SetupMode = 0/RO): в этом режиме можно включить или выключить режим SecureBoot (SecureBoot=0/RW) или¹³⁾ он включается автоматом, при переходе из состояния Setup (SecureBoot=1/RW), а может включаться и фиксироваться (SecureBoot=1/RO).
  В этом режиме тоже можно поменять PK, но новый PK должен иметь удостоверяющую подпись секретным ключем текущего PK.
  Из этого режима можно перейти в Audit (AuditMode = 0/RW) или в Deployed (DeployedMode == 0/RW). Так же можно удалить или очистить PK (реализация зависит от платформы) с автоматическим переходом в состояние Setup.

• Audit — служебное состояние для проведения аудита системы — в этом режиме возможна загрузка любых модулей без проверки подписи, но о каждой загрузке создается запись в специальной таблице. При присвоении переменной AuditMode значения 1 (возможно в User и Setup) сразу происходят несколько действий: система переходит в состояние аналогичное состоянию Setup (SetupMode = 1/RO), отключается SecureBoot (SecureBoot = 0), текущий PK сбрасывается (очищается), DeployedMode = 0/RO.
  Фактически это сброс системы SecureBoot в состояние Setup (что разрешает записать само-подписанный PK). Однако выход из этого режима иной чем из состояния Setup: При установке нового PK — состояние меняется на Deployed (AuditMode = 0/RO, DeployedMode = 1/RO, SetupMode = 0/RO). При этом в состоянии Deployed будет отключен SecureBoot.

• Deployed — служебное состояние в котором запрещена любая работа с ключами, состояние SecureBoot тоже нельзя изменить (если включено — не отключить и наоборот). Как раз в этот режим переведены производителями UEFI на виндо-планшетах и виндо-смартфонах. Перевести в этот режим можно: из состояния User, присвоив глобальной переменной UEFI «DeployedMode» значение 1 или из состояния Audit, задав PK. Как вы правильно понимаете после этого и саму переменную «DeployedMode» уже будет не изменить.
  Выход из этого режима возможен в User или Setup, а вот механизм выхода — зависит от реализации UEFI (Platform specific DeployedMode clear — как написано в спецификации). Т.е. либо какие-то шаманские действия (возможно и недокументированные) либо вовсе — никак (по крайней мере без аппаратного обнуления NVRAM).

KEK ключ может быть добавлен в состояниях Setup (без подписи или само-подписанный) и User (обязательно подписанный секретным ключем от PK).

С ключами в db* (db, dbx, dbt, dbr) — все значительно проще и одновременно сложнее: Т.к. существует огромное количество операционных систем и их различных версий, а также загрузчиков этих ОС, драйверов и утилит от разных поставщиков, то поставить (от производителя) систему сразу со всеми нужными ключами — просто нереально. То же касается и ключей, которые были скомпрометированы и ключей восстановления. Поэтому предусмотрен режим добавления этих ключей. При этом если система находится в состоянии Setup, то ключи в db* можно добавлять без подписей или само-подписанные, а если в User, то добавляемые ключи должны быть подписаны приватной ключем от одного из KEK ключей или от PK.

Причем в ключи в db (dbt) могут добавляться и автоматически (если это предусмотрено конкретной реализацией UEFI): когда подпись загружаемого модуля не может быть проверена, то могут быть предусмотрены механизмы (поиск в массиве на диске или интерактивное подтверждение от авторизованного пользователя), которые разрешат добавить публичный ключ от подписи (подпись содержит публичный ключ для своей проверки) в db (или dbt).

Собственные ключи

Так как все ключи/сертификаты UEFI (PK, KEK, db) построены на основе открытых стандартов, то и весь набор этих ключей можно сформировать самостоятельно. Далее рассмотрим как это можно сделать, а вот тут описано все тоже другим толковым автором.

Прежде чем вы приступите к манипуляциям с ключами, настоятельно рекомендуется убедится в том, что ваша прошивка UEFI позволяет отключить SecureBoot из утилиты настройки или удалить/обнулить PK. Если этой возможности прошивка не предоставляет, то подумайте десять раз прежде чем что-либо делать с ключами — ваши шансы трансформировать ваш компьютер/ноутбук в кирпич крайне высоки!

Для работы нам потребуются утилита openssh (практически во всех дистрибутивах Linux эта утилита уже установлена) и утилиты из пакета efitools (доступна в репозиориях ubuntu¹⁴⁾).

Создание ключей

Для начала создадим наш тестовый ключ и само-подписанный сертификат:

$ openssl genrsa -out test-key.rsa 2048
$ openssl req -new -x509 -sha256 -subj '/CN=test-key' -key test-key.rsa -out test-cert.pem
$ openssl x509 -in test-cert.pem -inform PEM -out test-cert.der -outform DER 

Как показали мои эксперименты с UEFI прошивкой от AMI — срок действия сертификата в db не имеет значения для загрузки в режиме SecureBoot (подписанный моим собственным ключем UEFI-Shell продолжал загружаться в режиме SecureBoot и после окончания срока действия сертификата). Однако я не берусь гарантировать, что это не может быть важно для какой-либо другой реализации UEFI. Если это окажется важно, то нужно задать разумное время действия сертификата во второй команде через опцию -days <n> : где <n> — число дней в течении которых сертификат действует (по умолчанию задается — один месяц, чего самом собой — маловато…).

Для дальнейших действий нам потребуется GUID для идентификации нашего ключа. Его очень просто сформировать через утилиту uuidgen, а для удобства новый GUID мы запишем в переменную.

$ guid=$(uuidgen)
$ echo $guid
c752155d-093f-4441-87c3-20e2352205ac

Создание UEFI ключей

Для того что бы установить наш ключ в базу ключей UEFI, нам потребуется специальны контейнер EFI_SIGNATURE_LIST, в котором будет задана переменная EFI_VARIABLE_AUTHENTICATION_2. Для упрощения, ключи в контейнере будут само-подписанными.

Сначала мы создаем контейнер EFI_SIGNATURE_LIST содержащий сертификат:

$ sbsiglist --owner $guid --type x509 --output test-cert.der.siglist test-cert.der

Далее создадим подписанные ключи для последующей загрузки в энергонезависимую память UEFI. Наши файлы будут содержать сертификат с префиксом в виде EFI_VARIABLE_AUTHENTICATION_2 описателя. Описатель будет подписывать ключ, и содержать название переменной и другие атрибуты. Т.к. в файл будет включено название переменной (PK, KEK and db), нам придется создать отдельный контейнер для каждой переменной.

$ for n in PK KEK db
> do
>   sbvarsign --key test-key.rsa --cert test-cert.pem \
>     --output test-cert.der.siglist.$n.signed \
>     $n test-cert.der.siglist
> done

Здесь мы несколько упрощаем стандарт работы ключей UEFI: у нас не будет выстроена цепочка удостоверяющих подписей различающихся ключей: PK → KEK → db. Все три ключа у нас — само-подписанные и в PK, KEK и в db будет записан одинаковый ключ (чисто формально они удостоверяют подписи друг друга по цепочке). Ключ который мы будем записывать — тот самый rsa ключ, который мы сформировали самой первой командой. Можно, конечно, сформировать различающиеся ключи для PK, KEK и db, но не совсем понятно — зачем нужно такое усложнение в нашем случае.

Кроме того, все известные сертификаты от разработчиков linux (Canonical, Fedora, AltLinux, openSUSE и др.) — тоже само-подписанные, их вы можете найти в на сайте проекта rEFInd или в проекте UEFI-Boot на github

Создание хранилища ключей

Далее нам потребуется создать хранилище ключей в стандартном месте, где утилита sbkeysync будет их искать.

$ sudo mkdir -p /etc/secureboot/keys/{PK,KEK,db,dbx}
$ sudo cp *.PK.signed /etc/secureboot/keys/PK/
$ sudo cp *.KEK.signed /etc/secureboot/keys/KEK/
$ sudo cp *.db.signed /etc/secureboot/keys/db/

На самом деле вы можете создать хранилище где угодно и указать утилите sbkeysync где оно находится в значении ключа –keystore.

Загрузка ключей

Через утилиту прошивки

Загрузка ключей в UEFI может быть выполнена из утилиты настройки вашей материнской платы. Там нужно будет найти раздел (обычно Security) где задаются параметры SecureBoot. Возможно потребуется явно разрешить работу с ключами — выбрать режим управления ключами custom или как либо еще. Попав в окно утилиты по управлению ключами, первым делом сохраните (на всякий случай) фабричные ключи¹⁵⁾. После этого удалите все фабричные ключи, и по одному добавляйте ключи из вашего хранилища ключей (скорее всего, его придется перенести на ESP раздел, т.к. только этот раздел доступен для UEFI).

PK ключ желательно записывать последним (почему? — детально описано в финальной части раздела «Ключи системы SecureBoot»).

Следует также отметить, что формат, в котором прошивка умеет загружать ключи может разниться в разных прошивках UEFI. Например прошивка AMI из недавно купленного мини-PC может взять сертификат и из подготовленного контейнера, и непосредственно из файла .pem. Т.о. вся эта возня со специальными контейнерами, в этом случае, вовсе не нужна: один и тот же само-подписанный сертификат можно загрузить и в PK, и в KEK, и в db.

Используя sbkeysync

Если UEFI находится в Setup режиме, то ключи можно загрузить и из ОС, используя утилиту sbkeysync. Но для начала воспользуйтесь опцией –dry-run, что бы убедится, что у вас все верно настроено и готово к этому важному процессу:

$ sbkeysync --verbose --pk --dry-run
Filesystem keystore:
  /etc/secureboot/keys/db/test-cert.der.siglist.db.signed [2116 bytes]
  /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed [2116 bytes]
  /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed [2116 bytes]
firmware keys:
  PK:
  KEK:
  db:
  dbx:
filesystem keys:
  PK:
    /CN=test-key
     from /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed
  KEK:
    /CN=test-key
     from /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed
  db:
    /CN=test-key
     from /etc/secureboot/keys/db/test-cert.der.siglist.db.signed
  dbx:
New keys in filesystem:
 /etc/secureboot/keys/db/test-cert.der.siglist.db.signed
 /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed
 /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed

Вывод покажет списки ключей найденных в базе данных UEFI, ключей найденных в хранилище ключей и список синхронизации (какой ключ куда будет загружен).

Если все выглядит правильно, удалите –dry-run параметр из команды для фактического обновления ключей в UEFI базе данных.

Будьте предельно осторожны выполняя загрузку ключей, т.к. как только PK будет записан прошивка UEFI перейдет в режим User, а в некоторых прошивках это еще автоматом включит SecureBoot режим. Вы должны быть уверены, что прошивка UEFI позволит вам вернутся в Setup режим и/или удалить PK.

Некоторые прошивки требуют перезагрузки для применения этих изменений в переменных UEFI. Прежде чем вы выполните перезагрузку, обязательно подпишите ваш загрузчик, иначе просто ничего не загрузится, ведь SecureBoot активирован и в db прописан ключ, которым будет проверяться подпись любого кода, который будет загружаться UEFI.

Подписывание загрузчика

Т.к. мы активировали SecureBoot, то теперь нам нужно подписать наш загрузчик что бы он мог быть загружен UEFI в этом режиме. В нашем примере мы подпишем код загрузчика GRUB2.

Это не рекомендуется в работающих системах, т.к. код этого загрузчика довольно регулярно обновляется, подписывать его придется каждый раз после обновления!

$ sbsign --key test-key.rsa --cert test-cert.pem \
        --output grubx64.efi /boot/efi/EFI/ubuntu/grubx64.efi
$ sudo cp /boot/efi/EFI/ubuntu/grubx64.efi{,.bak}
$ sudo cp grubx64.efi /boot/efi/EFI/ubuntu/

Теперь, можно скрестить пальцы, плюнуть три раза через левое плечо и попробовать перегрузиться

Возврат в режим Setup

Переключаться обратно в режим Setup лучше всего из прошивки UEFI, однако теоретически это возможно и внутри OS. Т.к. мы имеем секретный ключ от нашего PK, мы можем попробовать вернуть UEFI из режима User в режим Setup. Для этого потребуется подготовить пустой ключ и записать его в переменную PK:

$ : > empty
$ sbvarsign --key test-key.rsa --cert test-cert.pem \
        --attrs NON_VOLATILE,BOOTSERVICE_ACCESS,RUNTIME_ACCESS \
        --include-attrs --output empty.PK.signed PK empty
$ sudo dd bs=4k if=empty.PK.signed \
        of=/sys/firmware/efi/vars/PK-8be4df61-93ca-11d2-aa0d-00e098032b8c

Хотя лучше убедиться, что вернуть UEFI в режим Setup можно из самой прошивки (утилиты настройки) перед тем как прописывать PK.

Как Ubuntu загружается в режиме Secure Boot

Как уже было сказано выше, сертификаты с ключами для загрузки в режиме Secure Boot записываются производителем оборудования (довольно подробно о ключах UEFI (англ.)). И, как правило, набор сертификатов состоит из: сертификата производителя, KEK и db ключей от Microsoft (конечно же). Крайне редко, но все же попадаются такие машины, у которых в db есть и ключ от Canonical и/или RedHad. Как же на машине c ключами только от Microsoft загрузить Ubuntu в режиме SecureBoot?
Решение было найдено: Microsoft согласился (не без активности со стороны Canonical) подписать своим ключом простенький загрузчик от Red Hat — shim (есть еще мини-загрузчик — PRELoader, о его подписании ключом Microsoft похлопотал фонд FSF). Shim, в свою очередь, содержит (в MOK) UEFI сертификат от Canonical и проверяет подпись GRUB2 (версия которого, распространяемая через репозитории Ubuntu, подписана ключем Canonical). А GRUB2 проверяет подпись ядра (из пакета linux-signed-generic, которое подписано Canonical).

Введение дополнительного звена в виде shim продиктовано тем, что GRUB довольно часто обновляется и каждый раз после обновления его надо подписывать. Само собой, его гораздо проще подписать собственным ключом Canonical нежели каждый раз снова договариваться с Microsoft.

Если вы не хотите оставлять сертификаты Microsoft и производителя на своей машине¹⁶⁾, то из утилиты настройки вашей материнской платы или с помощью утилит efitools можно стереть сертификаты прописанные производителем, и записать в UEFI (db) ключ от Canonical, тогда уже Grub (так же как и само ядро Linux) сможет загружаться в режиме Secure Boot, и shim (со своим MOK) — не нужен.

Если вам не хочется даже сертификат от Canonical оставлять в своем компьютере¹⁷⁾, то вы можете создать свои собственные ключи и сертификаты (как описано выше), подписать grub или само ядро Linux (утилитой sbsign из пакета sbsigntool) и записать ключи в базу данных ключей EFI (утилитами efitools). Подробно этот процесс описан выше и тут (англ.).

ВНИМАНИЕ, если ваш компьютер не позволяет отключить Secure Boot режим, то все манипуляции с ключами и подписями нужно проделывать с предельной осторожностью, т.к. любая ошибка может привести к тому, что ваш компьютер превратится в «кирпич»!!!

Проверяйте все ваши настройки, проверяйте, что в UEFI записаны именно те ключи, что вы хотели и не забудьте проверить правильность подписей.

Хорошая идея: проделать все сначала на виртуальной машине.

ВНИМАНИЕ, если вы организовали загрузку GRUB (или другого загрузчика что вы используете) на основе только своего собственного ключа, то внимательно следите за обновлениями: при обновлении GRUB вам необходимо подписать новую версию GRUB своим ключом, иначе он не загрузится в Secure Boot режиме.

Несколько слов о ISO образе UBUNTU. Он — гибридный, на нем в мастер запись стандарта ISO9660 (CD/DVD формат дисков) внедрена MBR запись. Используется одновременно два загрузчика:

1. isolinux (вариант загрузчика syslinux) он используется для загрузки в BIOS режиме и размещается в MBR и специальной загрузочной записи ISO9660 стандарта, подробнее — тут).

2. grub (вариант grub-efi) он используется для загрузки в UEFI режиме.

EFS раздел (необходимый для загрузки в UEFI режиме) прописан и в таблицу разделов в MBR, и в каталог разделов iso9660 формата. По UEFI стандарту загрузчик по умолчанию должен находится в EFS разделе по пути: EFI\BOOT\BOOTx64.EFI

Такой «винегрет» позволяет грузиться с такого образа в следующих режимах:

1. в режиме BIOS/SCM

   1. как с CD/DVD (код isolinux берется из загрузочной записи ISO9660 стандарта)

   2. как с HDD/USB-Flash (код isolinux берется из MBR)

2. в режиме UEFI

   1. как с CD/DVD (EFS раздел находится в каталоге записей ISO9660, и оттуда запускается EFI\BOOT\BOOTx64.EFI)

   2. как с HDD/USB-Flash (EFS раздел находится в таблице разделов MBR, и оттуда запускается EFI\BOOT\BOOTx64.EFI)

Кстати в EFI\BOOT\BOOTx64.EFI (EFI\BOOT\BOOTia32.EFI для 32-х битных платформ) лежит не сам GRUB, а SHIM. Сам grubx64.efi/grubia32.efi (начальная стадия grub-efi) лежит рядом (в EFI\BOOT\) и его запускает SHIM. SHIM имеет валидную подпись ключом от Microsoft для загрузки в режиме SecureBoot, что позволяет загрузиться из образа на большинстве компьютеров.

Такой образ легко записать на флешку простой командой:

ВНИМАНИЕ! запись таким способом приводит к потере данных ранее хранившихся на флешке

sudo cp <путь и имя образа UBUNTU>.iso /dev/sd<буква девайса под которой в компьютере видна флешка>

Второй параметр — именно девайс, а не раздел. Посмотреть диски и разделы можно в выводе команды

sudo fdisk -l 

Образ Ubuntu копируется начиная с первого сектора устройства, MBR и таблица разделов ISO9660 стандарта попадают в необходимые для их правильной работы места, что позволяет с загрузиться с такой флешки как c USB-СD/DVD и как с USB-HDD/USB-Flash. Причем в обоих вариантах доступна загрузка как в UEFI, так и в BIOS/CSM режимах.

Другие интересные возможности UEFI

UEFI Shell

UEFI shell часто уже установлен в разделе ESP или прямо в прошивке UEFI. Некоторые UEFI прошивки умеют загружать командный интерпретатор UEFI прямо из консоли настройки UEFI (BIOS).

Если вы ставили Ubuntu на чистый диск, а в прошивке нет встроенного UEFI shell, то его можно доставить руками. Сам бинарный файл легко находится через любой поисковик. Вам нужно будет только скопировать его в корень ESP раздела с именем shellx64.efi (для 32-х битных платформ: shellx32.efi). Само собой копировать надо через sudo (т.е. с правами root).

В режиме загрузки SecureBoot для загрузки UEFI Shell потребуется:

• Либо отключать для его загрузки режим SecureBoot

• Либо подписать бинарный код UEFI Shell парным секретным ключем от одного из ключей записанных в переменной db базы данных ключей UEFI.

Если из настроек UEFI нет возможности запустить UEFI shell, то можно его прописать как вариант загрузки (как вы помните UEFI поддерживает мульти-загрузку). Для этого воспользуемся утилитой efibootmg:

# efibootmgr -c -l \\shellx64.efi -L UEFIshell

После этой команды у вас появится новый пункт меню загрузки UEFI, и это новый пункт станет первым по приоритету. Если такой приоритет загрузки вас не устраивает, то поменяйте его с помощью опции «-o» утилиты efibootmgr.

Справочник по командам UEFI shell встроенный — команда help. Если вы хотите останавливать вывод постранично (некий аналог more) то используйте в командах ключ -b. Кроме того поддерживается история вывода на 3 страницы которые можно просмотреть используя кнопки PageUp и PageDown.

Команда map покажет известные UEFI диски и разделы. Обычно диск fs0: — это и есть раздел ESP. Для того, что бы просмотреть содержимое каталогов ESP раздела (ls) выполните переход на ESP раздел — введите в строке приглашения fs0: — это очень похоже на dos команды типа а: с: (если кто еще помнит такое).

Разделитель в путях тоже в стиле DOS — обратный слеш (\).

EFI shell имеет довольно обширный набор команд, все их тут описывать смысла нет — если не достаточно встроенной подсказки, то есть краткие руководства в Internet. Наиболее полное писание UEFI Shell и его команд я нашел только в спецификации UEFI Shell 2.0 на сайте UEFI.org.

Загрузка ядра Linux непосредственно из UEFI

Если вы взгляните в файловом менеджере на ядро (/boot/vmlinuz*) то вы можете немало удивиться, заметив что тип будет указан как «DOS/Windows executable» — не удивляйтесь. Все последние ядра в Ubuntu собираются с опцией UEFISTUB (поддержка загрузки в режиме UEFI). А это добавляет заголовок аналогичный ДОСовскому .exe (именно так должны собираться все UEFI приложения). Т.е. само ядро можно загрузить как UEFI приложение. Для этого нужно разобраться с двумя основными вопросами:

1. Как правильно передать ядру параметры? Т.е. указать на корневую файловую систему, образ initrd, и указать опции загрузки ядра.
2. Как обеспечить UEFI доступ к самому ядру (и initrd)?

По первому пункту все достаточно просто: параметры, которые нужно передать ядру для загрузки можно подсмотреть в /boot/grub/grub.cfg, в команде загрузки linux (там стандартно передаются указание на корневой раздел и опции типа «ro», «quiet» и «splash»). Дополнительно ядру надо будет сообщить, где найти initrd (в ядрах версии 3.3 и выше это можно сделать через параметр intrd). В итоге, та команда, которую должен выполнить UEFI будет выглядеть примерно так:

vmlinuz.efi root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet splash initrd=initrd

В этом примере ядро и initrd лежат непосредственно в корне ESP раздела. Ядро переименовано в «vmlinuz.efi», а соответствующий ему образ рамдиска начальной инициализации ядра в «initrd». В команде указан UUID (моего корня, вам нужно прописать свой UUID) как путь к корневому разделу, но можно написать и что-то типа root=/dev/sda2 (UUID все же — лучше).

Если нужно организовать загрузку в режиме SecureBoot, то придется решить еще вопрос и с подписью ядра. Возможны два варианта:

• Использовать подписанное Canonical ядро (пакет linux-signed-generic из репозитоиев Ubuntu). В этом случае сертификат от Canonical должен быть помещен в переменную db базы данных ключей UEFI.

• Подписывать ядро своим собственным ключем, сертификат (с публичной частью ключа) которого размещен переменной db базы данных ключей UEFI.

В первом варианте — для загрузки из UEFI нужно использовать подписанный вариант ядра (vmlinuz*.efi.signed).
Во втором варианте нужно организовать (это можно даже автоматизировать) подписывание каждого нового ядра, которое приходит с обновлениями системы.

Некоторые сложности может вызвать указание пути к initrd. Ядра выше 3.3 вообще не различают прямые и обратные слеши в параметре initrd, но нужно указать такой путь, что бы ядро смогло найти initrd при загрузки в окружение UEFI.

В целом, нам необходимо организовать доступ из UEFI и к ядру, и к initrd (напомню: UEFI имеет доступ только к ESP разделу и умеет работать только с файловой системой FAT32). Это может быть решено одним из трех вариантов:

Вариант 1: Загрузить ядро и intrd непосредственно из корневого раздела или раздела boot

Для этого нужно загрузить в UEFI драйвер для поддержки той файловой системы, в которую отформатирован ваш корень или /boot. (UEFI «из коробки» знает только FAT32, драйвера для чтения других FS можно найти например тут).

Вот какие команды надо выполнить в UEFI Shell для загрузки ядра прямо из корня, находящегося на разделе с EXT4 (boot не вынесен в отдельный раздел).
— загрузить драйвер поддержки ext2-3-4 (в нашем примере он был предварительно размещен на ESP разделе в каталоге EFI/drivers)

load fs0:\EFI\drivers\ext2_x64.efi 

ВНИМАНИЕ: Если UEFI функционирует в режиме SecureBoot, то драйвер также необходимо подписать одним из ключей находящихся в списке ключей db, иначе ему будет отказано в загрузке!

— смонтировать корневую FS (эта команда пытается все доступные устройства смапить всеми доступными драйверами)

map -r

— перейти (изменить текущий путь) в новую FS

fs1:

— запустить ядро с параметрами

vmlinuz root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro queit initrd=initrd.img

В этом примере я воспользовался тем, что в корне корневой FS автоматически создаются линки на самую свежую версию установленного ядра и его initrd. Перейдя (сменив текущий путь) в корневую ФС мне уже не нужно мудрить с указанием полного пути к ядру и initrd — они находятся в текущем каталоге (из которого и запускается ядро).

Все эти действия можно записать в скрипт (для скриптов UEFI Shell принято расширение .nsh), и запускать ОС вызвав его. К сожалению, непосредственно скрипт файл нельзя указать как исполняемый файл в пункте меню загрузки UEFI. Согласно спецификации UEFI Shell может исполнить скрипт, имя которого передано ему как параметр, но мне это сделать не удалось. UEFI Shell может автоматом исполнить (после паузы) скрипт startup.nsh, находящийся в корне ESP раздела (можно записать эту последовательность команд туда).

Но можно пойти другим путем. Спецификация UEFI поддерживает автоматическую загрузку драйверов при загрузке системы. А это собственно и есть то, что нам нужно для того, что бы получить доступ к файловой системе с ядром без скрипта. Однако и тут есть один подводный камень.

Дело в том, что просто загрузить драйвер — недостаточно, нужно еще вызвать процедуру ремаппинга устройств (т.е. выполнить ту самую команду map -r). При ремапинге каждый драйвер пытается «прицепиться» ко всем доступным устройствам, т.е. наш драйвер EXT2-4 сделает доступными все разделы на всех дисках с файловыми системами EXT2-4.

Добавить автоматическую загрузку драйвера можно командой

sudo efibootmgr -crl "EFI\drivers\ext2_x64.efi" -L "EXT2-4 Driver"

То же самое можно сделать командой bcfg из UEFI-Shell. Следующая команда добавит пункт загрузки Driver0000 (номер задает первый аргумент команды add), который будет загружать драйвер из файла EFI\drivers\ext2_x64.efi (с ESP раздела). Драйвер получит описание «EXT2-4 Driver»:

bcfg driver add 0 EFI\drivers\ext2_x64.efi "EXT2-4 Driver"

Все замечательно и этот драйвер, при каждом запуске системы, будет загружаться во время инициализации UEFI автоматически, но ремапинга не будет. Для того, чтобы после загрузки драйвера инициировать ремапинг нужно в опции загрузки драйвера указать специальный атрибут LOAD_OPTION_FORCE_RECONNECT, однако ни одной командой UEFI-Shell или опцией efibootmgr этот атрибут не установить (по крайней мере мне не удалось найти такой команды). Перелопатив спецификацию UEFI можно понять, что нужно то всего прописать значение 3 вместо 1 в первом 32-битном слове UEFI переменной отвечающей за загрузку драйвера (той самой Driver0000, что мы создали командой bcfg или efibootmgr). Сделать это изменение можно любым HEX редактором (из загруженной системы), запущенным с правами рута, в котором на редактирование открывается файл /sys/firmware/efi/efivars/Driver0000-8be4df61-93ca-11d2-aa0d-00e098032b8c (это маппинг в файловую систему sys переменной UEFI). В редакторе нужно 5-й байт от начала поменять с значения 01 на 03 и сохранить файл.

После серии окирпиченных патчем Бармина машин (см. ниже эту замечательную историю) все UEFI переменные теперь защищены от изменений специальным атрибутом. Снять его перед редактированием можно командой chattr -i от рута.

Хорошим тоном будет вернуть защиту после редактирования командой chattr +i

Я конечно понимаю, что такой хакерский метод — это уже просто за гранью разумного для большинства пользователей UBUNTU, но пока мне не удалось найти другого пути задать атрибут LOAD_OPTION_FORCE_RECONNECT в опции загрузки драйвера. Поэтому я завел ишью на гитхабе с просьбой авторам efibootmgr реализовать эту возможность. Позднее я даже оформил PR (Pull Request) с реализацией этой возможности. Однако этот PR добавили в мастер ветку только 7 месяцев спустя. И, видимо, эта новая возможность efibootmgr появится в версии 17.

После нашей хакерской атаки на UEFI можно перегрузиться в UEFI-Shell и там прямо при запуске увидеть, что все EXT4 разделы уже отмаплены в FS<n> «диски», а значит на них можно сослаться при задании команды загрузки для опции загрузки ОС. В моем примере EXT4 раздел с корневой FS отмапился в FS2. А это позволяет задать в опции загрузки (используя команду bcfg из UEFI-Shell или efibootmgr из загруженной системы) команду такого вида:

FS2:\vmlinuz root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro queit initrd=FS2:\initrd.img

Если вы все сделали правильно и не забыли подписать драйвер (если у вас включен SecureBoot), то поле перезагрузки система успешно должна загрузится прямо с вашего корневого раздела.

В принципе, несмотря на некоторую сложность этого метода в реализации, это САМЫЙ ПРАВИЛЬНЫЙ вариант загрузки ядра Linux из UEFI. Дополнительные удобства создают постоянно обновляемые ссылки на последнее и предыдущее ядра и их initrd в корне файловой системы Linux. На них можно однократно создать пункты загрузки UEFI и не нужно никаких обновлений после установки/удаления ядер и обновления initrd. Также однократно надо скопировать в EFS раздел драйвер для ФС корня и однократно настроить его загрузку.

Вариант 2: Скопировать ядро и intrd в ESP раздел

Преимущество в том, что не нужно мудрить с организацией поддержки другой FS. Однако, каждый раз при обновлении ядра или initrd их нужно вновь копировать в ESP раздел. Решить задачу автоматизации этого процесса можно одним из методов описанных в этой статье (англ.) или подобно тому как это реализовано в проекте UEFI Boot.

Вы можете выполнить команду запуска ядра из UEFI Shell, или записать ее в командный файл и запускать его из UEFI Shell, или, воспользовавшись утилитой efibootmgr, записать эту команду как пункт меню загрузки UEFI:

# efibootmgr -c -l vmlinuz.efi -u "root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet initrd=initrd" -L LinuxKernel

Эта команда добавит пункт загрузки LinuxKernel и сделает его первым в списке приоритета загрузки.

Вариант 3: Смонтировать ESP раздел как /boot

Преимущества этого решения в том, что новые ядра и initrd будут находится (устанавливаться и обновляться) прямо на ESP раздел (который станет одновременно boot разделом). Правда, неприятность в том, что название файла с ядром и initrd есть версия, и для каждого нового ядра нужно заново прописывать команду в пункт загрузки UEFI. Можно, конечно, переименовать в короткие имена (которые однократно будут записаны в пункты загрузки UEFI), однако переименование приводит нас к ситуации близкой к предыдущему случаю — initrd будет при обновлении снова получать номер версии и его каждый раз придется переименовывать. Воспользоваться автоматически создаваемыми ссылками в корневом разделе — не получится (они останутся в файловой сиcтеме корневого раздела, к которому нет доступа без доп. драйверов), а создать ссылки на FAT разделе — невозможно (этого FAT просто не умеет от рождения).

Команда для записи пункта загрузки UEFI через утилиту efibootmgr не отличается принципиально от той, что указана для способа с копированием ядра в ESP раздел:

# efibootmgr -c -l vmlinuz-3.12.0-22-generic -u "root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet initrd=initrd.img-3.12.0-22-generic" -L Ubuntu-3.12.0-22-generic

Более детальная проработка этого варианта описана в отдельной статье UEFI Boot. Там реализовано автоматическое обновление пунктов загрузки UEFI при установке, обновлении и удалении ядер.

Загрузка, организованная одним из вышеописанных способов, не требует наличия загрузчика (GRUB и Shim можно и нужно удалить из системы), ведь мы передаем UEFI все функции загрузчика ОС.

Устранение из процесса загрузки загрузчиков (оригинально это цепочка из двух: shim + GRUB) заметно (но не так что бы очень значительно) сокращает время загрузки ОС. Вот как это выглядит в цифрах на примере одного mini-pc (I5 5257U, 8Gb RAM, SSD): утилита systemd-analyze сообщает, что на стадию работы загрузчиков в случае цепочки UEFI-Shim-GRUB-Kernel требуется чуть меньше секунды — 967ms, а на прямую загрузку UEFI-Kernel — 153ms. При полной (холодной) загрузке системы за ~14 секунд выигрыш составляет порядка 6%.

Полезные утилиты для UEFI

В стандартных репозиториях Ubuntu есть несколько полезных пакетов с утилитами для работы с настройками UEFI.

• efibootmgr — утилита, которой можно менять настройки загрузки UEFI, в частности: настраивать приоритет загрузки, создавать/изменять/удалять загрузочные записи UEFI.

• efivar — простая утилита для работы с переменными UEFI.

• efitool — набор утилит и efi-приложений для работы с ключами/сертификатами, используемыми при загрузке в режиме Secure Boot.

• sbsigntool — утилиты для подписывания и проверки подписей UEFI-приложений, для организации загрузки в Secure Boot режиме.

У всех этих утилит есть вполне толковые man-руководства и есть примеры использованию в Интернете, поэтому я не стану останавливаться на деталях использования этих утилит.

🙂 Патч Бармина живе всех живых

Ну и напоследок, последняя «веселая» история связанная с бородатым (по некоторым сведениям 1996 года рождения) патчем Бармина.

В конце января 2016 некий арчевод решил посмотреть — как работает этот известный патч. И он старательно вписал в команду даже специальный ключ, без которого этот патч уже не запускается… Ну… и получил кирпич из своего MCI нетбука — он даже после сброса не включился!

Как нетрудно догадаться корень беды — в кривой прошивке UEFI. Патч вытер вместе с корнем еще и переменные UEFI в NVRAM, которые монтируются в /sys/firmware/efi/efivars/, но принципиально это не могло быть проблемой, потому как стандартом UEFI предусматривается нарушение целостности данных в NVRAM: при обнаружении такой ситуации прошивка ОБЯЗАНА осуществить инициализацию NVRAM до состояния настроек по умолчанию/фабричных (Factory Default). Но вот в MCI решили забить на проверку целостности NVRAM, и незадачливый арчевод потащил свой нетбук кирпич в сервис.

После этой новости состоялся наезд на разработчиков SystemD (ну на них многие любят наезжать и ругаться, а те собственно сами довольно часто дают повод для вполне обоснованной и справедливой ругани в свой адрес): мол какого лешего, SystemD монтирует эти переменные с возможностью записи!? Давайте типа быстро переделайте на монтирование в режиме только-чтение. На что был дан резонный ответ — доступ на запись нужен утилитам, и разрешена запись только руту, который при желании премонтирует эти переменные в режиме записи. Так что, это не защитит от идиотов дураков «умников», которые экспериментируют с патчем Бармина.

Правда позже некоторые контрмеры все-таки были предприняты: теперь все UEFI переменные монтируются со специальным атрибутом, который запрещает запись и удаление этих файлов даже руту. Однако root в состоянии снять эти флаги (сhattr -i <имя файла>). Так что теперь для повторения судьбы арчевода с ноутбуком MCI нужно не только специальный ключ в команде rm -rf задавать, но еще и предварительно снять защиту с перемнных UEFI.

Самое же примечательное в этой ситуации ИМХО в том, что 20 лет назад отпущенная шутка, до сих пор стреляет, да еще с невиданной доселе мощью.

Т.е. если раньше патч успешно уничтожал ОС на компьютере, то теперь стало возможным еще и вывести из строя компьютер (при кривой реализации UEFI).

Ссылки

windows-7 — Режим UEFI не загружается

Некоторые замечания и комментарии:

• Ваш компьютер (предположительно) имеет EFI/UEFI, а не BIOS. Я понимаю, что обычной практикой является упоминание EFI как «BIOS», но IMO это приводит к путанице, поскольку поощряет думать об EFI как о BIOS, а это не так. EFI был разработан как замена для BIOS, и он работает совсем по- другому, поэтому представление об EFI как о BIOS может привести к тому, что в него будут влиять предположения BIOS, которые не применяются. И BIOS, и EFI имеют встроенные утилиты настройки, которые позволяют вам задавать различные параметры, и во многих случаях утилиты настройки EFI очень похожи на BIOS, но это сходство только глубоко. Одно из критических отличий между BIOS и EFI состоит в том, что два типа микропрограмм загружаются совершенно по-разному, используя код, который в корне несовместим — что-то вроде двоичного файла DOS или двоичного файла Linux.
• Усложняя предыдущее различие, большинство современных EFI включают модуль поддержки совместимости (CSM), который является своего рода эмулятором BIOS — он позволяет компьютеру на основе EFI загружать загрузчики в режиме BIOS. Это аналогично dosemu , которое позволяет Linux запускать двоичные файлы DOS.
• Обратите внимание, что собственным режимом загрузки EFI является EFI. В большинстве случаев невозможно полностью отключить загрузку в режиме EFI, хотя некоторые EFI разрешают это. Скорее всего , в большинстве случаев это можно включить или отключить CSM, что делает BIOS режима загрузку возможной (но не уверен).
• Когда вы загружаете установочный носитель на компьютере на основе EFI, он загружается либо в собственном режиме EFI, либо в режиме BIOS, опосредованном CSM. Какой режим будет использоваться, может быть трудно предсказать, если CSM активирован; см. мою веб-страницу на эту тему для деталей.
• В большинстве случаев установщик ОС попытается установить ОС способом, совместимым с режимом загрузки установщика — то есть, если вы загрузите установщик в режиме BIOS, он установит диск с загрузчиком в режиме BIOS ; и если вы загрузите установщик в режиме EFI, он установит диск с загрузчиком в режиме EFI. Обычно это работает нормально, но если у вас двойная загрузка, и один установщик загружается в режиме BIOS, а другой в режиме EFI, вам нужно потренироваться.
• После установки ОС переключение режимов загрузки (BIOS на EFI или EFI на BIOS) требует установки нового загрузчика и, в некоторых случаях, внесения других изменений. Просто переключая настройки встроенного программного обеспечения , чтобы включить или отключить CSM не будет достаточно. Таким образом, если вам не нравится прыгать через ненужные скачки, лучше всего запустить установщик ОС в режиме, в котором вы собираетесь загружать ОС с жесткого диска.
• Windows связывает свой тип таблицы разделов с режимом загрузки. В частности, Windows будет устанавливать на MBR-диск только в режиме BIOS и на GPT-диск только в режиме EFI.

Как следствие всего вышесказанного, ваше заявление о том, что вы установили Windows на GPT-диск, подразумевает, что вы сделали это в режиме EFI; однако ваше последующее утверждение о том, что загрузка не удалась при включении режима EFI, предполагает, что вы установили в режиме BIOS на MBR-диск. Я подозреваю, что вы ошиблись по поводу режима загрузки, и установщик, вероятно, преобразовал диск из GPT в MBR без вашего ведома. Если я прав, вы можете нормально загрузиться в режиме BIOS, повторно включив CSM в вашей прошивке. (Используя любую терминологию, которую использует ваша прошивка, которая может даже не упоминать «CSM» — термин «устаревший», например, довольно распространен.) Переключение в режим загрузки EFI может быть выполнено, но требует либо переустановки в режиме EFI, либо прыжков через значительные обручи. Ваш самый простой способ действий — просто включить CSM и продолжить загрузку таким образом. Если у вас есть веская причина для загрузки в режиме EFI, пожалуйста, поделитесь им.

Кроме того, как правило, вы не должны портить настройки CSM после установки ОС. Мой общий совет в эти дни при новой установке — отключить CSM, потому что это скорее вызовет проблемы, чем решит их. Однако существуют исключения из этого правила, например, если вы хотите установить более старую или EFI-неосведомленную ОС (например, Windows XP, DOS, BeOS или большинство BSD), или если вы столкнулись с особенностью, специфичной для конкретного режим загрузки (например, проблемы с видео в одном режиме загрузки, но не в другом). В вашем случае, если я прав, у вас есть работающая установка ОС в режиме BIOS, что является еще одной хорошей причиной для включения CSM.

Если вы загружаете предположительно EFI-совместимую ОС и у вас возникают проблемы с загрузкой ее с отключенным CSM, но не с включенным, скорее всего, вы подготовили загрузочный носитель неправильно. Некоторые инструменты для подготовки загрузочных USB-накопителей не включают загрузчик EFI или иным образом готовят диски, которые не могут быть загружены на некоторых или всех компьютерах в режиме EFI. Использование другого инструмента или настройка параметров используемого вами инструмента может обойти такие проблемы.

Как отключить Secure Boot » Страница 4

Как отключить Secure Boot в БИОСе UEFI? Привет админ, не мог бы ты сделать небольшой обзор на эту тему? Очень часто приходится переустанавливать друзьям Windows 8 на Windows 7, а для этого сам знаешь, нужно отключить опцию «Secure Boot» в UEFI. Ноутбуки и компьютеры у всех разных производителей и интерфейс БИОСа UEFI тоже разный, соответственно опции содержащие в себе эту настройку немного отличаются и иногда трудно во всём этом разобраться.

 

Как отключить Secure Boot

Привет друзья! Протокол безопасной загрузки Secure Boot основанный на специальных сертифицированных ключах (имеющихся пока только у Windows 8) не даст загрузить ваш ноутбук с какого-либо загрузочного диска кроме установочного диска с самой «восьмёркой». Поэтому, чтобы загрузить ваш ноутбук или компьютер с установочного диска с другой операционной системой нужно отключить Secure Boot в БИОСе UEFI.

Опция протокола безопасной загрузки Secure Boot в основном находится в разделах Security, реже System Configuration или Boot, но хочу сказать, что для установки Windows 7 на новый ноутбук с БИОСом UEFI мало отключить только одну опцию Secure Boot в интерфейсе в UEFI, нужно ещё включить «режим совместимости с другими операционными системами» и называется он тоже у всех производителей по разному: «Launch CSM», или «CMS Boot», «UEFI and Legacy OS», «CMS OS», и находится в основном разделе БИОСа UEFI под названием Advanced, далее смотрите подраздел «BOOT MODE» или «OS Mode Selection».

Давайте рассмотрим настройки типичного для всех ноутбуков БИОСа Insydeh30 setup utility с элементами UEFI, к примеру данный БИОС имеют ноутбуки Acer и затем ещё рассмотрим другие подобные утилиты, которые могут иметь новейшие ноутбуки и стационарные компьютеры.

Как отключить Secure Boot на ноутбуке Toshiba. Утилита Insydeh30 setup utility

Заходим в БИОС и идём в раздел Security, видим нужную нам опцию «Secure Boot», передвигаемся к ней с помощью стрелок на клавиатуре и нажимаем Enter,

опять же с помощью стрелок выбираем Disabled (отключено)

и жмём Enter. Такими нехитрыми действиями мы смогли отключить Secure Boot в БИОСе UEFI.

Но это ещё не всё, теперь нам нужно включить режим «режим совместимости с другими операционными системами. Идём в раздел „Advanced» находим опцию «System configuration»

и заходим в неё, здесь выбираем опцию «Boot Mode» или «OS Mode Selection», и ставим её вместо положения UEFI OS (может быть UEFI BOOT) в положение «CSM Boot» или «UEFI and Legacy OS», «CMS OS»

Чтобы наши изменения вступили в силу сохраняем наши изменения в БИОС, нажимаем F10,

затем соглашаемся Yes и жмём Enter

происходит перезагрузка. Вот теперь мы сможем загрузить наш ноутбук с установочного диска с любой операционной системой.  Далее можете войти в меню загрузки ноутбука (обычно нужно жать при включении клавишу ESC или F10) и выбрать вашу (уже подсоединённую) загрузочную флешку с операционной системой или установочный диск, если не знаете как это сделать читайте нашу статью Как загрузить любой ноутбук или компьютер с флешки или диска.

Как отключить опцию Secure Boot на ноутбуке HP

 

Иногда всё проходит нет так гладко, например на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно пройти ещё несколько дополнительных шагов.Входим в БИОС UEFI и выбираем опцию «System Configuration», входим в неё и выбираем Boot Options, также заходим в неё. 

Видим наш параметр безопасной загрузки Secure Boot, выставляем его в положение Disabled (отключено), а опцию «режима совместимости с другими операционными системами» «Legacy support» переводим в положение «Enabled»,

на предупреждение отвечаем Yes.

Сохраняем настройки, жмём F-10, выбираем Yes и Enter, ноутбук перезагружаемся, после перезагрузки выходит вот такое окно с предупреждением «A change to the operating system secure boot mode is peding…» По «англицки» на предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код конечно будет другой) и нажать Enter, после этого изменения в настройках БИОСа UEFI будут сохранены и ноутбук перезагрузится.

При включении ноута HP жмём клавишу ESC и попадаем в стартовое меню, в нём выбираем F-9 Boot Device Options (изменение настроек загрузки), далее выбираем для загрузки нашу флешку или дисковод с установочным диском.

Как отключить опцию Secure Boot на ноутбуке Samsung. Aptio Setup Utility

Данная утилита в основном установлена на ноутбуках Samsung. Нажимаем при загрузке ноутбука клавишу F2 и входим в BIOS. Идём в раздел Boot, отключаем опцию «Secure Boot»,

с помощью стрелок на клавиатуре выделяем её и ставим в «Disabled», нажимаем «Enter»

на предупреждение о том, что компьютер может загрузиться с ошибкой жмём Enter.

В этом же разделе ниже появляется параметр «OS Mode Selection», выделяем его и жмём «Enter»

выставляем в положение «CMS OS» или «UEFI and Legacy OS» и нажимаем «Enter».

Опять выходит предупреждение о возможности следующей загрузки ноутбука с ошибкой жмём Enter. Сохраняем изменения, произведённые нами в BIOS нажимаем «F10», соглашаемся Yes, нажимаем Enter. Ноутбук перезагружается, жмём при загрузке F10 и попадаем в загрузочное меню, в нём выбираем дисковод ноутбука или загрузочную флешку.

Как отключить Secure Boot на ноутбуке Acer Aspire

Друзья, во-первых у нас есть подробная статья, ну а здесь просто замечу, что на ноутбуках Acer Aspire опция Secure Boot по умолчанию неактивна, для того чтобы её активировать и затем отключить, нужно прежде всего назначить пароль на вход в UEFI БИОС. Что для этого нужно сделать!Входим на вкладку «Security» и выбираем пункт «Set Supervisor Password«, нажимаем Enter и назначаем пароль. После назначения пароля опция Secure Boot станет активной и её можно будет поставить в положение Disable. 

Как отключить опцию Secure Boot на ноутбуке Packard Bell

 Жмём при загрузке клавишу F2, реже F6 и попадаем в БИОС UEFI ноутбука,

здесь идём во вкладку Boot.

Если до включения ноутбука Вы подключили к нему флешку, то она может не определиться сразу в этом меню.

Выставляем опцию Boot Mode в положение Legacy BIOS.

А опцию Secure Boot выставляем в положение Disabled.

Далее жмём клавишу F10, этим мы сохраняем настройки внесённые нами в БИОС ноутбука Packard Bell, затем перезагружаемся, жмём при загрузке клавишу F2 и входим опять в БИОС.

Теперь флешка должна определиться. Выставляйте флешку на первую позицию, сохраняйте настройки и перезагружайтесь. Если загрузочная флешка сделана по нашим статьям, то загрузка произойдёт успешно.

Как отключить Secure Boot на стационарном компьютере

На многих стационарных компьютерах установлены современные материнские платы с БИОСом UEFI и протоколом безопасной загрузки Secure Boot. Возьмём для примера материнскую плату ASUS, Asrock, Gigabyte. Нужно сказать, что на материнских платах для стационарных компьютеров функциональные возможности БИОСа UEFI намного расширены, здесь вам и русский язык и возможность пользоваться мышью и производить всевозможные регулировки рабочих параметров комплектующих. 
Нажимаем при загрузке Delete или F2 и входим в UEFI BIOS. Нажимаем Дополнительно (F7).
Идём во вкладку Boot (Загрузка), далее выбираем опцию Secure Boot (Безопасная загрузка),

жмём Enter и входим в неё, опять жмём Enter и выбираем Other OS (другая операционная система),

теперь выходим отсюда и выбираем CSM (Compatibility Support Module),

ставим опцию Запуск CSM в Enabled.

В открывшихся дополнительных опциях выбираем Параметры загрузочных устройств и выставляем Только Legacy OpROM или UEFI и Legacy OpROM.

Далее опцию Параметры устройств хранения, выставляем в положение Сначала Legacy OpROM или Both, Legacy OpROM first.

Этими действиями мы отключили Secure Boot и включили режим расширенной загрузки. Нажимаем F10, и сохраняем изменения внесённые нами в UEFI BIOS. Сохранить конфигурацию и выполнить сброс? Да.

Отключаем опцию Secure Boot в интерфейсе UEFI материнской платы Asrock.

 

Если у вас материнская плата Gigabyte читайте нашу подробную статью Установка Windows 7 и Windows 8 на диск GUID (GPT) компьютера с материнской платой GIGABYTE с включенным UEFI.

 

Материнская плата MSI. Подраздел «Boot mode select». 

Примечание: На многих ноутбуках невозможно отключить опцию Secure Boot, так как она неактивна, в этом случае может помочь прошивка БИОСа ноутбука последним обновлением.

Метки к статье: BIOS

Отключить устаревший режим загрузки и включить UEFI

На новых компьютерах с Windows 8 и Windows 10 может потребоваться вручную включить устаревший режим загрузки, чтобы загрузить старые операционные системы или загрузочные инструменты и утилиты. Однако, когда вы закончили работу с этими приложениями, часто необходимо снова включить загрузку UEFI, чтобы возобновить обычное использование вашего ПК.

Содержание:
1. Что такое Legacy Boot Mode
2. Включение режима загрузки UEFI
3. Вход в настройку UEFI
4. Отключение Legacy Boot Support
5. Сохранение настроек и выход

Что такое Legacy Boot Mode

На более новых ПК с Windows 8 и 10, которые разработаны с поддержкой UEFI, в BIOS часто есть опция, указывающая, может ли компьютер загружаться в обычные операционные системы и средства восстановления или же он может загружаться исключительно в более новые операционные системы и среды UEFI. Обычный способ загрузки программного обеспечения и операционных систем называется «Legacy Boot» и иногда он должен быть включен / разрешен в настройках BIOS. Устаревший режим загрузки обычно не поддерживает разделы размером более 2 ТБ и может привести к потере данных или другим проблемам, если вы попытаетесь использовать его в обычном режиме.

Включение режима загрузки UEFI

На ПК и ноутбуках большинства производителей, включая Dell, HP, Asus, Acer, Toshiba, Lenovo и другие, Legacy Boot можно отключить или включить с помощью функции настройки EFI, доступной сразу после включения ПК. Если унаследованный режим загрузки (также известный как «загрузка CSM») включен, режим загрузки UEFI автоматически отключается или удаляется по приоритетам.

Ниже приведены инструкции по отключению Legacy Boot на большинстве ПК и ноутбуков, а также специальные инструкции для ноутбуков определенных марок. На большинстве компьютеров EFI вам необходимо получить доступ к настройке EFI сразу после включения ПК, чтобы увидеть возможность включения загрузки UEFI, обычно в качестве опции в разделе параметров загрузки конфигурации BIOS.

Вход в настройку UEFI

Сразу после включения компьютера, как только на экране-заставке BIOS появится логотип производителя (например, Dell, Lenovo, HP, Toshiba, Samsung, ASUS, Acer, Gateway и т. д.), вы сможете нажать специальную клавишу. Эта клавиша меняется, все зависит от марки и модели вашего ПК. Как правило, вы видите краткую заметку внизу или вверху экрана, указывающую, что это за клавиша. Один такой экран виден справа, обратите внимание на легенду в правом верхнем углу, указывающую, что при нажатии F2 начнется настройка BIOS, а при нажатии F12 будет представлено меню выбора загрузки. Некоторые распространенные варианты включают F2, F8, F12 и Del. Тем не менее, это может быть любая из десятков других клавиш на вашей клавиатуре.

Отключение Legacy Boot Support

Попав в раздел настройки и настройки UEFI, вам будет представлен ряд опций и параметров, которые можно настроить для среды встроенного ПО. У нужной опции есть много названий (в зависимости от марки и модели ПК или ноутбука и прошивки EFI). Некоторые из возможных имен параметров, которые вы ищете, перечислены ниже, вместе с их возможными конфигурациями, значения, выделенные жирным шрифтом, должны быть выбраны.

• Legacy Support (On/Off or Enabled/Disabled)
• Boot Device Control
• Legacy CSM (On/Off or Enabled/Disabled)
• Launch CSM (On/Off or Enabled/Disabled)
• CSM (On/Off or Enabled/Disabled)
• UEFI/Legacy Boot (Both/Legacy Only/UEFI Only)
• Boot Mode (Legacy Support/No Legacy Support)
• Boot Option Filter (UEFI and Legacy/UEFI First/Legacy First/Legacy Only/UEFI Only)
• UEFI/Legacy Boot Priority  (UEFI First/Legacy First/Legacy Only/UEFI Only)

Сохранение настроек и выход

Чтобы изменения конфигурации Secure Boot вступили в силу, необходимо сохранить параметры конфигурации BIOS / EFI / UEFI. Общее сочетание клавиш для сохранения и выхода F10.

Опять же, точные шаги зависят от вашего ПК марки и модели. Важно, чтобы вы выбрали опцию «сохранить
изменения и выйти»! Сочетание клавиш F10 часто синонимично с «сохранить и выйти», но вы должны убедиться, прежде чем использовать его.

Установка

— Следует ли мне устанавливать ОС, используя режим загрузки UEFI или BIOS (устаревший / CSM)?

Я видел, что этот вопрос задавался в разных местах, с лишь частичными ответами, поэтому я стремлюсь предоставить что-то вроде полного руководства по схемам загрузки;)

Прежде всего, некоторая справочная информация, которая вам понадобится:

• Для загрузки BIOS обычно требуется разделение MBR, хотя некоторые загрузчики поддерживают другие схемы разделения, например GPT.
Для загрузки
• UEFI обычно требуется разрядность ОС, чтобы соответствовать разрядности прошивки — и подавляющее большинство машин на базе UEFI имеют 64-битную прошивку.

Сценарии, когда необходимо использовать BIOS

• Вы устанавливаете старую ОС, которая не поддерживает загрузку UEFI (например, Windows Vista до SP1 или более ранней версии), или
• Вам необходимо установить ОС с разрядностью, отличной от разрядности прошивки (т. Е. 32-разрядная ОС на машине с 64-разрядным UEFI, или наоборот)

Обратите внимание, что операционные системы, для которых номинально требуется UEFI , часто могут быть принудительно загружены на компьютерах на основе BIOS с помощью специально разработанного загрузчика ¹ .Например, так обстоит дело с OS X — как вам скажет любой энтузиаст Хакинтоша.

Если вы планируете использовать двойную загрузку и устанавливаете вторую ОС …

Хотя это и сложно, но можно преобразовать схемы MBR в GPT и переустановить загрузчик для другого режима.

Также возможна загрузка одной ОС через UEFI, а другой — через BIOS. Иногда у вас не будет выбора, например если у вас уже установлена ​​64-разрядная версия Windows на основе UEFI и вы хотите установить вместе с ней 32-разрядную версию Linux.Или какая-то старая и / или экзотическая ОС, не поддерживающая UEFI. Но подумайте дважды, действительно ли нужен для этого .

Итак, итоги: просто придерживайтесь схемы загрузки, которая у вас уже есть на вашем компьютере , если у вас нет такого выбора. Это почти всегда правильный путь.

Как узнать, какую схему загрузки использует моя машина?

Практическое правило:

• Если это Mac, он использует UEFI; некоторые ранние модели на базе Intel использовали EFI32, все модели с 2008 года используют стандартный 64-битный UEFI.
• Если это фирменный компьютер с Windows 8 или более поздней версии, он использует UEFI; Microsoft требует, чтобы безопасная загрузка (для которой требуется UEFI) была включена по умолчанию на всех компьютерах, соответствующих спецификации логотипа Windows, начиная с Windows 8.
• Если это ПК с Windows XP или более ранней версией, он использует BIOS.

С компьютерами, которые поставляются с Windows Vista или 7 или с Linux, а также с ПК для самостоятельной сборки или с ПК, продаваемых небольшими местными предприятиями, вы никогда не можете быть уверены в этом с первого взгляда.В этом случае есть несколько способов определить режим загрузки:

• Вы можете изучить таблицу разделов. Если это GPT-диск и имеет «Системный раздел EFI» (обычно перед основным томом ОС), он загружается в режиме UEFI. В противном случае это режим BIOS.
• Вы можете войти в программу настройки BIOS / UEFI и выполнить поиск параметров приоритета загрузки. Если он отображает записи с надписью EFI или UEFI и / или они в некоторой степени описывают операционную систему (например, «Диспетчер загрузки Windows» или «Ubuntu»), он загружается в режиме UEFI.Если он показывает только номер модели диска, то это режим BIOS.

Если вы устанавливаете первую ОС на новую машину или собираетесь очистить жесткий диск …

Прежде всего проверьте, есть ли у вас выбор. Войдите в программу настройки BIOS / UEFI и найдите такие параметры, как «Режим загрузки», которые можно переключать между «UEFI», «Legacy», «UEFI + Legacy» и т. Д. Его также можно назвать чем-то вроде «Включить загрузку UEFI» или «Включить устаревшую загрузку» или упомянуть термин CSM. Если в вашей прошивке нет такой опции, вам не повезло, и вам придется придерживаться того, что у вас есть. — на старых машинах это будет режим BIOS; есть также некоторые новые машины (например, линейка Microsoft Surface), которые поддерживают только режим UEFI. Если вы все еще не уверены, что у вас есть — поищите в настройках «Безопасная загрузка» — если где-то упоминается, это UEFI.

Если у вас есть выбор … Давайте посмотрим на преимущества обоих режимов.

Преимущества UEFI

• Более быстрая загрузка и лучшее управление питанием . ² Это особенно верно для Windows — в зависимости от различных факторов, UEFI с быстрой загрузкой может быть даже вдвое быстрее, чем устаревшая загрузка. В Linux разница будет меньше, но все же присутствует. Это связано с тем, что ОС с загрузкой BIOS должна повторно инициализировать некоторое оборудование, которое могло быть уже инициализировано, исходный код ОС должен быть загружен в очень медленных устаревших режимах и т. Д. В Linux вы также можете полностью отказаться от GRUB (или его эквивалента) и загружать ядро ​​прямо из прошивки, что также может немного ускорить процесс.Кроме того, такие вещи, как перезагрузка, спящий режим, гибернация и т. Д., Иногда могут частично или полностью обходить POST, дополнительно повышая общую скорость операций, связанных с загрузкой и питанием.
• Опция безопасной загрузки. В зависимости от вашего варианта использования это может быть больше хлопот, чем преимуществ (но большинство оборудования позволяет отключить его), а также его фактические достоинства безопасности ограничены — но все же дополнительная проверка подписи на уровне прошивки может быть дополнительной защитой от руткитов.Только не думайте, что ваша система безопасна только потому, что она использует безопасную загрузку, она слишком ошибочна для таких предположений.
• Лучшая поддержка для больших дисков. Схема разбиения MBR не поддерживает диски размером более 2 ТиБ. Вы по-прежнему можете загружаться с таких больших дисков в BIOS, используя гибридные таблицы разделов и дополнительный раздел загрузчика (который в любом случае создается большинством операционных систем по умолчанию), но он лучше поддерживается в UEFI. Кроме того, GPT не имеет ограничения MBR на 4 раздела, что избавляет вас от ерунды вроде «расширенных разделов».Нет почти ничего, что вы не смогли бы сделать поверх MBR с помощью пэчворка — но он поддерживается элегантно и изначально, без необходимости в пэчворке;)
• Родная мультизагрузка. UEFI позволяет изначально объявить, что на одном жестком диске установлено несколько операционных систем — затем вы можете выбирать между ними из пользовательского интерфейса прошивки без необходимости в дополнительном загрузчике. Хотя это не всегда самый удобный вариант для работы с несколькими загрузками, это должно уменьшить количество проблем, таких как обновление ОС или перезапись загрузчика каким-либо антивирусным ПО и т. Д.
• Улучшенный программный контроль. Некоторые настройки UEFI (в частности, порядок загрузки) могут быть изменены ОС стандартным способом. Это позволяет вам заказывать такие вещи, как «выключение и перезагрузка с компакт-диска» (или «загрузка другой ОС» в случае, описанном выше) из операционной системы без необходимости входить в пользовательский интерфейс микропрограммы.

Преимущества BIOS

• Упрощенный процесс загрузки. Проще или проще по конструкции — не обязательно проще для современного оборудования (и поэтому оно медленнее). С UEFI всегда могут быть загружены только съемные носители. — записи загрузчика ОС на внутренних дисках хранятся на материнской плате. Вот почему на машине на основе UEFI при замене жесткого диска или перемещении дисков между машинами вам понадобится среда восстановления на съемном носителе (или встроенная оболочка EFI, которая иногда доступна на материнских платах для самостоятельного производства, но практически не существует на фирменных машинах), чтобы восстановить конфигурацию внутреннего загрузчика для нового диска.В отличие от этого, BIOS просто загружает первый сектор диска, что позволяет без усилий клонировать и перемещать жесткие диски между машинами (конечно, при отсутствии проблем, связанных с драйверами).
• Более гибкий выбор ОС. Версии Windows старше Vista SP1 не могут загружаться через UEFI. Аналогично для старых дистрибутивов Linux. Более того, в целом невозможно загрузить ОС с разрядностью, отличной от прошивки, а подавляющее большинство систем на основе UEFI являются 64-разрядными, что означает отсутствие 32-разрядных ОС без использования устаревшей загрузки.Напротив, почти все можно загрузить через BIOS. ¹
• Меньше ошибок. Реализации UEFI довольно часто имеют незначительные, но фатальные недостатки и ошибки, которые могут привести к поломке материнской платы путем удаления конфигурации прошивки или загрузки неправильного драйвера. Напротив, BIOS существует с 1981 года, и, по крайней мере, способ его взаимодействия с ОС за это время не сильно изменился. В современном использовании это очень тонкий слой, который используется только во время загрузки, а также в основном однонаправленный, при этом ОС почти не имеет доступа ко всему, что остается внутри BIOS.Это означает, что сломать вещи смертельно сложнее.

Итого

Я бы посоветовал загрузиться через устаревшую версию BIOS, если вы:

• фактически настраивают виртуальную машину — UEFI на гипервизорах виртуальных машин, как правило, является ограниченным и экспериментальным; Загрузка BIOS намного лучше поддерживается
• необходимо загрузить 32-разрядную ОС на 64-разрядной машине
• есть прошивка заведомо особо глючная
• часто меняют или перемещают жесткие диски между машинами

В противном случае лучше использовать UEFI.Это быстрее, безопаснее и имеет лучшую функциональность.

Сноски

1. Можно даже установить среду UEFI поверх BIOS . Сборки TianoCore DUET делают именно это, но такая настройка обычно непрактична для реальных установок. Если у вас нет компьютера, работающего только с BIOS, и вы не устанавливаете экспериментальную ОС, которая не может быть загружена никаким другим способом, кроме загрузчика UEFI, вы не хотите этого делать.
2. В некоторых ранних прошивках UEFI загрузчик UEFI может быть «прикручен» поверх прошивки на основе BIOS.В этих редких случаях загрузка BIOS может быть быстрее, но это не характерно для большинства оборудования.

Проверьте, использует ли ваш компьютер UEFI или BIOS [в Linux и Windows]

Когда вы пытаетесь выполнить двойную загрузку Linux с Windows , вы захотите узнать, есть ли в вашей системе режим загрузки UEFI или BIOS. Это поможет вам определиться с созданием раздела для установки Linux.

При двойной загрузке всегда рекомендуется устанавливать обе ОС в одном режиме загрузки.Итак, вы должны сначала проверить, используете ли вы UEFI или BIOS, и установить соответственно.

Я покажу вам, как проверить, есть ли в вашей системе UEFI или BIOS в Windows и Linux:

Почему именно UEFI?

Я не собираюсь обсуждать , что это за BIOS . Однако, если вам интересно, я хотел бы рассказать вам о некоторых преимуществах UEFI перед BIOS.

UEFI или Unified Extensible Firmware Interface был разработан для преодоления некоторых ограничений BIOS. Он добавил возможность использовать диски размером более 2 ТБ и имел независимую от процессора архитектуру и драйверы.

Благодаря модульной конструкции он поддерживает удаленную диагностику и восстановление даже без установленной операционной системы, а также гибкую среду без ОС, включая сетевые возможности. В целом, вы должны иметь в виду следующее:

Преимущество UEFI над BIOS

• UEFI быстрее инициализирует ваше оборудование.
• Предлагает безопасную загрузку, что означает, что все, что загружается до пробуждения ОС, должно быть подписано. Это дает вашей системе дополнительный уровень защиты от запуска вредоносных программ.
• BIOS не поддерживает разделы размером более 2 ТБ. Но UEFI делает.

Проверьте, используете ли вы UEFI или BIOS в Windows

В Windows: « Системная информация » на панели «Пуск» и в режиме BIOS можно найти режим загрузки. Если указано Legacy, в вашей системе есть BIOS. Если там написано UEFI, то это UEFI.

Альтернатива : вы можете запустить окно командной строки от имени администратора и найти путь к загрузчику, запустив

  bcdedit  

Здесь, в разделе загрузчика Windows , найдите Path .если расширение файла для / Windows / System32 / winload — .exe , ваша система использует устаревшую версию BIOS. Если расширение — .efi , ваша система использует UEFI.

Другой способ проверить UEFI или BIOS в Windows

Альтернатива : Если вы используете Windows 10, вы можете проверить, используете ли вы UEFI или BIOS, открыв проводник и перейдя в C: \ Windows \ Panther. Откройте файл setupact.log и найдите следующую строку.

  Обнаруженная среда загрузки  

Я бы посоветовал открыть этот файл в блокноте ++, так как это огромный текстовый файл и блокнот может зависнуть (по крайней мере, у меня это было с 6 ГБ ОЗУ).

Вы найдете пару строк, которые дадут вам информацию.

  27.11.2017, 09:11:31, Информация IBS Callback_BootEnvironmentDetect: FirmwareType 1.
2017-11-27 09:11:31, Info IBS Callback_BootEnvironmentDetect: Обнаружена среда загрузки: BIOS  

Проверьте, используете ли вы UEFI или BIOS в Linux.

Самый простой способ узнать, используете ли вы UEFI или BIOS, — это поискать папку / sys / firmware / efi. Папка будет отсутствовать, если ваша система использует BIOS.

/ sys / firmware / efi существует означает, что система использует UEFI

Альтернатива : Другой метод — установить пакет с именем efibootmgr.

В дистрибутивах на основе Debian и Ubuntu вы можете установить пакет efibootmgr, используя следующую команду:

  sudo apt install efibootmgr  

После этого введите следующую команду:

  судо efibootmgr  

Если ваша система поддерживает UEFI, она будет выводить разные переменные.В противном случае вы увидите сообщение о том, что переменные EFI не поддерживаются.

Заключительные слова

Итак, теперь вы знаете, что определить, использует ли ваша система UEFI или BIOS, несложно. Разве это не было очень просто?

Несмотря на то, что такие функции, как более быстрая загрузка и безопасная загрузка, обеспечивают преимущество UEFI, вам не нужно беспокоиться, если ваша система использует BIOS. Если у вас нет особых требований к UEFI или BIOS, с вашей стороны не требуется никаких действий для их изменения.

Нравится то, что вы читаете? Пожалуйста, поделитесь этим с другими.

UEFI vs BIOS: в чем разница?

Таким образом, вы, возможно, слышали, как используются аббревиатуры BIOS и UEFI, особенно при попытке сменить операционную систему или возиться с разгоном.

И вы, возможно, знаете, что означают эти аббревиатуры (Unified Extensible Firmware Interface и Basic Input / Output System, соответственно). Но вы когда-нибудь задумывались, как они используются в компьютерной системе?

Давайте сейчас проясним эти термины и их значения.

Процедура загрузки

Перво-наперво — я знаю, что мы отклоняемся от темы, но обещаю, что это поможет вам с некоторыми концепциями позже.

Итак, как компьютер загружается? Пошагово:

1. Вы нажимаете кнопку питания на своем ноутбуке / настольном компьютере.
2. ЦП запускается, но для работы требуются некоторые инструкции (помните, что ЦП всегда должен что-то делать). Поскольку на этом этапе основная память пуста, ЦП откладывает загрузку инструкций из микросхемы микропрограммы на материнскую плату и начинает выполнение инструкций.
3. Код микропрограммы выполняет самотестирование при включении (POST), инициализирует оставшееся оборудование, обнаруживает подключенные периферийные устройства (мышь, клавиатура, флеш-накопитель и т. Д.) И проверяет, все ли подключенные устройства исправны. Возможно, вы помните это как звуковой сигнал, который рабочие столы издавали после успешного выполнения POST.
4. Наконец, код прошивки проходит через все устройства хранения и ищет загрузчик (обычно расположенный в первом секторе диска). Если загрузчик найден, то прошивка передает ему управление компьютером.

Нам не нужно больше знать об этой теме для целей данной статьи. Но если вам интересно, читайте дальше (в противном случае вы можете перейти к следующему разделу).

5. Итак, теперь, когда загрузчик загружен, его задача — загрузить остальную часть операционной системы. GRUB — один из таких загрузчиков, который может загружать unix-подобные операционные системы, а также может загружать ОС Windows по цепочке. Загрузчик доступен только в первом секторе диска, который составляет 512 байт.Учитывая сложность современных операционных систем, некоторые из этих загрузчиков, как правило, выполняют многоступенчатую загрузку, когда основной загрузчик загружает загрузчик второй ступени в среде, которая не ограничена 512 байтами.

6. Затем загрузчик загружает ядро ​​в память. Unix-подобные операционные системы затем запускают процесс init (главный процесс, из которого разветвляются / выполняются другие процессы) и, наконец, инициализируют уровни выполнения.

7. В Windows wininit.exe загружается вместе с некоторыми другими процессами, такими как services.exe для управления службами, lsass.exe для локальной безопасности и полномочий (аналогично уровням выполнения) и lsm.exe для управления локальными сеансами.

8. После всего этого и после инициализации некоторых других драйверов загружается графический интерфейс пользователя (GUI), и вам предоставляется экран входа в систему.

Это был общий обзор процесса загрузки.Если вас интересуют операционные системы, я бы рекомендовал вам прочитать больше на osdev.net.

Теперь вернемся к нашей исходной теме.

BIOS:

BIOS означает базовую систему ввода / вывода, микропрограмму, о которой мы говорили в описанной выше процедуре загрузки.

Он хранится в EPROM (стираемое программируемое постоянное запоминающее устройство), что позволяет производителю легко распространять обновления.

Он предоставляет множество вспомогательных функций, которые позволяют читать загрузочные секторы подключенного хранилища и выводить данные на экран.Вы можете получить доступ к BIOS на начальных этапах процедуры загрузки, нажав del , F2 или F10 .

UEFI:

ASUS UEFI

UEFI означает Unified Extensible Firmware Interface. Он выполняет ту же работу, что и BIOS, но с одним принципиальным отличием: он хранит все данные об инициализации и запуске в файле .efi, а не в прошивке.

Этот файл .efi хранится в специальном разделе под названием EFI System Partition (ESP) на жестком диске.Этот раздел ESP также содержит загрузчик.

UEFI был разработан для преодоления многих ограничений старого BIOS, в том числе:

1. UEFI поддерживает диски размером до 9 зеттабайт, тогда как BIOS поддерживает только 2,2 терабайта.
2. UEFI обеспечивает более быстрое время загрузки.
3. UEFI поддерживает дискретные драйверы, в то время как BIOS поддерживает диски, хранящиеся в его ПЗУ, поэтому обновление прошивки BIOS немного затруднено.
4. UEFI предлагает такую ​​безопасность, как «Безопасная загрузка», которая предотвращает загрузку компьютера из неавторизованных / неподписанных приложений.Это помогает предотвратить использование руткитов, но также затрудняет двойную загрузку, поскольку рассматривает другие ОС как неподписанные приложения. В настоящее время подписанными ОС являются только Windows и Ubuntu (дайте мне знать, если я ошибаюсь).
5. UEFI работает в 32-битном или 64-битном режиме, тогда как BIOS работает в 16-битном режиме. Таким образом, UEFI может предоставить графический интерфейс (навигацию с помощью мыши) в отличие от BIOS, который позволяет осуществлять навигацию только с помощью клавиатуры.

Возможно, вам не понадобится UEFI

Хотя все современные компьютеры по умолчанию оснащены UEFI, некоторые причины, по которым вы можете выбрать BIOS вместо UEFI:

1. Если вы новичок и не заботитесь о том, чтобы возиться с любым типом прошивки, BIOS для вас.
2. Если у вас <2 ТБ на жесткий диск или раздел, вы можете использовать BIOS.
3. BIOS позволяет запускать несколько операционных систем без изменения каких-либо настроек. Это может быть проблемой безопасности с современной точки зрения, но никаких проблем для пользователя.
4. BIOS предоставляет системную информацию операционной системе. Поэтому, если ваша ОС работает в 16-битном режиме, она не требует написания кода для взаимодействия с оборудованием. Он может напрямую использовать методы, предоставляемые BIOS. В противном случае, если ОС переключается в 32-битный или 64-битный режим, ей необходимо предоставить свои собственные подпрограммы для взаимодействия с оборудованием.
5. Если вы предпочитаете клавиатуру и текстовый интерфейс, а не навигацию с помощью мыши и графического интерфейса, то BIOS для вас.

UEFI учитывает эти ограничения и предоставляет устаревший режим. В нем можно запускать все, как если бы у вас была прошивка BIOS. Но имейте в виду, что Intel объявила, что не будет поддерживать традиционный BIOS с 2020 года.

Заключение

В этом посте был представлен обзор различий между BIOS и UEFI. Он также подскажет, когда выбрать один из них и чем они отличаются друг от друга.

Если у вас возникнут вопросы, я всегда буду доступен в Твиттере. Спасибо за уделенное время.

Включение UEFI и SecureBoot после обновления с Windows 7 OEM до Windows 10 OEM

Оглавление

1. Обучающее видео
   1. Введение
      1. Проверка настройки UEFI BIOS
         1. Просмотр MSINFO32 в Windows
            1. Просмотр управления дисками в Windows и запуск MBR2GPT After Conversion Tool
            Преобразование

            Загрузка UEFI позволяет использовать схему разделов таблицы глобальных уникальных идентификаторов (GPT), а не устаревшую главную загрузочную запись (MBR).Эта схема разделов позволяет использовать 128 разделов вместо 4, поддерживает диски размером> 2 ТБ и является более надежной, так как существует несколько загрузочных записей, а не одна загрузочная запись.

            Secure Boot, как следует из названия, позволяет загружать только проверенный код. Этот код должен иметь подтвержденную подпись Microsoft. Это предотвращает загрузку вредоносных программ перед загрузкой до Windows 10 и встроенной системы безопасности Защитника Windows, что полностью наносит ущерб операционной системе. Это было довольно распространено в эпоху Windows XP / Vista / 7.

            В конце 2011 года появилось новое оборудование для поддержки загрузки UEFI. В то время ОС Windows 7 64 Bit могла загружаться с использованием UEFI, однако большинство установочных носителей Windows 7 не были настроены для этого. Как следствие, большинство установок Windows 7 в системах с UEFI BIOS устанавливаются с использованием устаревшей загрузки.

            В середине 2012 года были усовершенствованы аппаратные средства и программное обеспечение (Windows 8) для поддержки загрузки UEFI с безопасной загрузкой. Пользовательский интерфейс Windows 8 был ужасен, поэтому со стороны конечных пользователей возникла массовая реакция.Пользователи не хотели Windows 8, поэтому OEM-производители продолжали продавать новое оборудование с установленной Windows 7 OEM. Поскольку Windows 7 не была обновлена ​​для поддержки безопасной загрузки, эту функцию безопасности пришлось отключить для всех установок Windows 7. Это часто делалось во время установки с использованием устаревшей загрузки, а не загрузки UEFI, как упоминалось ранее.

            Windows 10 поддерживает загрузку UEFI с безопасной загрузкой, и для оптимальной безопасности и производительности оба эти параметра должны быть включены. Однако проблема заключается в том, что при установке обновления Windows 7 OEM до Windows 10 OEM сохраняется режим загрузки, что означает, что по-прежнему используется устаревшая загрузка без безопасной загрузки.Единственный способ исправить это ранее — Чистая установка Windows 10.

            В Windows 10 версии 1703 и новее Microsoft включила инструмент для преобразования устаревшей схемы разделов MBR в схему разделов GPT. Вы можете использовать этот инструмент, и после преобразования вашего SSD / HDD в GPT вы можете изменить настройки UEFI BIOS, чтобы включить загрузку UEFI с безопасной загрузкой, что повысит производительность, надежность и безопасность вашей системы.

            Выключите Dell.Подождите 30 секунд, затем включите Dell и нажмите [F12] для доступа к меню загрузки:

            Вы попадете в меню загрузки, вверху которого должны быть указаны режим загрузки и статус безопасной загрузки.

            1. Если для вашего режима загрузки установлено значение UEFI и включена безопасная загрузка, вам не нужно следовать этому руководству:

            2. Если для вашего режима загрузки установлено значение Legacy, следуйте инструкциям в этом руководстве. Безопасная загрузка всегда будет отключена для устаревшей загрузки:

            3. Если для вашего режима загрузки установлено значение UEFI, но безопасная загрузка отключена, остальная часть руководства не применима.Все, что вам нужно сделать, это настроить параметры UEFI BIOS, чтобы отключить устаревшие ромы и включить безопасную загрузку. Подробнее см .:

            Единый расширенный интерфейс микропрограмм (UEFI)

            4. Если вы упоминаете устаревшую загрузку и загрузку UEFI, но не упоминаете безопасную загрузку, то у вас есть ранняя версия UEFI BIOS. Вам следует обновить свой UEFI BIOS до последней версии, а затем еще раз проверить это меню. Если теперь есть упоминание о безопасной загрузке, то есть она выглядит как 2. Вы можете продолжить работу с оставшейся частью этого руководства. Если, с другой стороны, у вас установлена ​​последняя версия UEFI BIOS, а на экране все еще нет упоминания о безопасной загрузке, вы можете продолжить с этим руководством, чтобы получить загрузку UEFI, но вы не сможете включить безопасную загрузку, поскольку в вашем раннем UEFI BIOS нет не поддерживаю:

            5.Если в этом меню нет упоминания об UEFI или Legacy, вероятно, у вас компьютер старше появления UEFI с BIOS только для Legacy. Это руководство не применимо к вашей системе:

            Для выхода из меню загрузки UEFI нажмите [Esc]. Windows должна загрузиться как обычно. После входа в систему нажмите [Windows] и [r]. Введите msinfo32 и нажмите [Enter]:

            Должна отображаться системная информация. Зеленым цветом обозначена версия ОС. У вас должна быть сборка 15063 или новее. Если вы не используете Windows 10 Media Tool для выполнения установки обновления.

            Фиолетовым цветом указаны сведения о вашей модели, такие как производитель системы, модель системы, версия BIOS и версия SMBIOS. Как правило, вам нужна SMBIOS версии 2.7 или новее, чтобы в системе была загрузка UEFI с безопасной загрузкой. Версия SMBIOS 2.6 может иметь загрузку UEFI, но не иметь опции безопасной загрузки, которую вы должны были подтвердить выше в меню загрузки. Версия SMBIOS 2.5 или ниже является только устаревшей, и вы должны были видеть это в меню загрузки, опять же, это руководство не применимо к вашей системе.

            Красным цветом обозначены 2 настройки, которые мы хотим рассмотреть в настоящее время: режим BIOS должен быть устаревшим, а состояние безопасной загрузки не должно поддерживаться, поскольку безопасная загрузка не поддерживается для устаревшей загрузки:

            Преобразование прошло без проблем во всех моих тестах, однако вы можете на всякий случай сделать резервную копию загрузочного диска Windows OS с помощью Macrium Reflect на внешний жесткий диск / твердотельный накопитель. Подробнее см .:

            Резервное копирование установки Windows с помощью Macrium Reflect

            Чтобы лучше всего имитировать реальный сценарий, я выполнил чистую установку Windows 7 с использованием устаревшей загрузки, а затем установил Dell Backup and Recovery, чтобы создать раздел восстановления.Затем я приступил к обновлению до Windows 10. Это должно привести к ситуации, аналогичной установке обновления Windows 10 с заводскими настройками Windows 7.

            Чтобы свести к минимуму помехи, закройте все другие приложения, прежде чем выполнять приведенные ниже инструкции.

            Первый шаг — удалить OEM-программы восстановления, такие как Dell Backup and Recovery (ранее называвшиеся Dell DataSafe Local Backup), поскольку теперь они устарели.

            Щелкните правой кнопкой мыши «Приложения и функции»:

            Прокрутите вниз:

            Выбор программ и компонентов:

            Выберите Dell Backup and Recovery (или любые продукты Dell DataSafe) и выберите Удалить:

            Подождите, пока не начнется удаление:

            Выберите «Да» для подтверждения:

            Дождитесь удаления:

            Перезагрузите компьютер при появлении запроса:

            Далее стоит взглянуть на Управление дисками.Щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Управление дисками:

            ».

            Щелкните правой кнопкой мыши загрузочный диск ОС обычно Диск 0:

            Выберите свойства:

            Выбрать тома:

            Если стиль разделов — таблица разделов GUID, то нет необходимости продолжать работу с этим руководством.

            Если это основная загрузочная запись (MBR), нам нужно будет использовать инструмент MBR2GPT и возможность использования Diskpart для удаления раздела восстановления (который теперь устарел), так как MBR имеет максимум 4 раздела, а MBR2GPT создает дополнительный раздел перед диск переведен в GPT.

            Щелкните правой кнопкой мыши кнопку «Пуск» и выберите Windows PowerShell (Admin):

            .

            Подтвердите запрос на управление учетной записью:

            Введите:

            mbr2gpt / проверить / разрешитьFULLOS

            Затем нажмите [Enter]

            Инструмент должен проверить, можно ли преобразовать ваш диск, если он может, он сообщит, что проверка завершена успешно:

            Если проверка прошла успешно.

            Введите:

            mbr2gpt / конвертировать / allowFULLOS

            Затем нажмите [Enter]

            Инструмент завершит преобразование вашего диска, и Windows Powershell может быть закрыта:

            Если проверка не удалась, потому что уже есть 4 раздела, вместо этого вы получите следующее:

            Чтобы исправить это, нам нужно удалить раздел восстановления.Введите:

            Diskpart

            Затем нажмите [Enter]

            Введите:

            Список дисков

            Затем нажмите [Enter]

            Предполагая, что у вас есть только Диск 0 и его единственный диск, указанный в типе:

            Выбрать диск 0

            Затем нажмите [Enter]

            Чтобы посмотреть раздел на Диске, введите:

            Раздел списка

            Затем нажмите [Enter]

            Посмотрите на разделы, в которых вы хотите оставить самый большой раздел, которым будет диск C :.Вы также хотите сохранить раздел 94–100 МБ и раздел 450 МБ. Раздел, который вы хотите удалить, — это старый раздел восстановления, обычно размером 5-20 ГБ. В моем случае это раздел 4, но измените его в соответствии с вашим конкретным случаем.

            Для выбора раздела восстановления:

            Выбрать раздел 4

            Затем нажмите [Enter]

            Для удаления раздела введите:

            Отмена удаления раздела

            Затем нажмите [Enter]

            Теперь вы можете выйти из Diskpart.Введите:

            выход

            Затем нажмите [Enter]

            Введите:

            mbr2gpt / проверить / разрешитьFULLOS

            Затем нажмите [Enter].

            На этот раз, поскольку есть только 3 раздела и есть возможность создать четвертый в MBR, он должен пройти проверку.

            Введите:

            mbr2gpt / конвертировать / allowFULLOS

            Затем нажмите [Enter].

            На этот раз преобразование должно завершиться.

            Теперь вы можете проверить, щелкнув правой кнопкой мыши Диск 0:

            Выбор свойств:

            Выбор объемов:

            Вы должны увидеть, что теперь используется таблица разделов GUID (GPT):

            Если вы щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Перезагрузка».

            Вместо загрузки Windows вы увидите следующую ошибку. Это связано с тем, что SSD / HDD теперь настроен для UEFI, но вы все еще загружаетесь через Legacy.

            Выключите систему и подождите 30 секунд, затем следуйте моему руководству по унифицированному расширенному интерфейсу микропрограмм (UEFI), чтобы включить загрузку UEFI с безопасной загрузкой. После того, как вы включили эти настройки, ваше меню загрузки должно выглядеть следующим образом. Нажмите [Esc], и Windows должна загрузиться в обычном режиме (на этот раз и каждый раз после использования загрузки UEFI с безопасной загрузкой):

            Вы можете нажать [Windows] и [r], снова ввести msinfo32 и нажать [Enter]:

            Теперь режим загрузки должен быть UEFI, а состояние безопасной загрузки должно быть включено:

            Если щелкнуть правой кнопкой мыши «Пуск» и выбрать «Управление дисками»:

            Вы должны заметить, что на диске 0 теперь есть раздел EFI.Снова щелкните правой кнопкой мыши Диск 0:

            Выберите свойства:

            Выберите объемы:

            Стиль раздела должен быть GUID Partition Table (изменен с MBR):

            Теперь вы можете пользоваться преимуществами загрузки UEFI, схемы GPT и защиты от безопасной загрузки.

            Поделиться:

            • Twitter
            • Facebook

            Нравится:

            Нравится Загрузка …

            Преобразование данных SSD или SSD с Windows * Установка из устаревших версий…

            Примечание

            Перед тем как продолжить, мы рекомендуем создать резервную копию всех данных. Ссылки на сторонние инструменты и сайты предназначены для вашего удобства. Мы не поддерживаем предлагаемый контент, продукты или услуги. Мы не предлагаем поддержку сторонних инструментов.

            В этой статье описаны методы преобразования твердотельных накопителей из структуры разделов MBR (основная загрузочная запись) в GPT (таблица разделов GUID).Если в BIOS установлен устаревший вариант загрузки (базовая система ввода / вывода), возможно, таблица разделов диска — это основная загрузочная запись (MBR).

            Если диск является вторичным диском / диском данных (без установленной ОС), вы можете использовать сторонние приложения, такие как EaseUS *, для преобразования из MBR в GPT.

            1. Подтвердите, что диск является MBR или GPT:
               • Откройте Управление дисками, нажав Клавиша Windows + R > выберите Управление дисками .Щелкните правой кнопкой мыши на левой панели проверяемого диска (например, «Диск 0», «Диск 1» и т. Д.)> Свойства > Тома .
            2. Если MBR, конвертируйте в GPT:

            Если вы ускоряете системный диск (установлена ​​ОС), следуйте инструкциям ниже.

            В BIOS может быть задан устаревший вариант загрузки:

            • После обновления до Windows® 10 с более старой версии операционной системы (ОС), такой как Windows 7 * или Windows 8.1 *.
            • Если вы недавно установили операционную систему, настройте устаревшую опцию загрузки в BIOS.
            • Если вы недавно установили операционную систему и в BIOS было установлено значение CSM, установите параметр устаревшей загрузки в разделе устаревшего загрузочного носителя.

            Вы можете потерять некоторую поддержку таблицы разделов MBR в Windows 10, например, ускорение системы с помощью памяти Intel® Optane ™.

            Операционная система Windows 10 была разработана для установки с опцией загрузки UEFI (Unified Extensible Firmware Interface) и полученной таблицей разделов диска GUID Partition Table (GPT).

            Если вы хотите преобразовать текущую таблицу разделов из MBR в GPT, мы рекомендуем вам:

            • Безопасное резервное копирование всех ваших данных.
            • Переустановите операционную систему из образа ОС UEFI с включенным UEFI в BIOS.

            В Windows® 10 Creators Update x64 (версия 1703, сборка 10.0.15063) или более поздней версии есть возможность преобразовать таблицу разделов из Windows. См. Шаги для этой опции ниже.

            Примечание

            Мы настоятельно рекомендуем выполнить резервное копирование ваших данных.Если у вас есть второй диск с достаточно доступной емкостью, вы можете создать образ системы и восстановить полную установку, которая была до начала этой процедуры. Загрузите эти шаги на другой компьютер или распечатайте их. Некоторые из этих шагов необходимо выполнять, пока ваша ОС не активна. Создайте резервную копию раздела восстановления на USB-устройстве. После создания этот загрузочный USB-накопитель для восстановления можно при желании заменить на диск восстановления системы, как описано ниже.

            Убедитесь, что Windows установлена ​​в раздел MBR
            1. Загрузитесь в Windows.
            2. Откройте диспетчер дисков. В Windows 10 одновременно нажмите Windows и X , затем щелкните Disk Manager .
            3. Найдите основной загрузочный раздел системы.
               
            4. Щелкните правой кнопкой мыши диск, показанный как (Диск x, Базовый, Емкость, Онлайн) слева (где в качестве примера на этом изображении написано Диск 0).
            5. Выберите Свойства .
            6. Щелкните вкладку Тома .
            7. Здесь вы можете подтвердить стиль раздела .

            Преобразование таблицы разделов из MBR в GPT с помощью MBR2GPT.exe

            Требования:

            • Windows 10 Creators Update x64 (версия 1703, сборка 10.0.15063) или новее.
            • Компьютер с возможностью загрузки UEFI. В настройках BIOS вы должны увидеть параметры для загрузки UEFI. Обратитесь к производителю компьютера за поддержкой.

            Инструкции:

            1. Откройте командную строку с правами администратора.
            2. Введите следующую команду: mbr2gpt.exe / convert / allowfullOS.
            3. Завершите работу и загрузитесь в BIOS.
            4. Измените настройки в режим UEFI.

            Кроме того, вы можете запустить эту команду из среды восстановления:

            1. Загрузитесь в среду восстановления Windows и запустите консоль командной строки:
               • Нажмите одновременно клавиши Windows и I , чтобы открыть настройки.
               • Выберите Обновление и безопасность.
               • Выберите Recovery.
               • Выберите Перезагрузить сейчас под Расширенный запуск.
               • Выберите Устранение неполадок.
               • Выберите Дополнительные параметры.
               • Выберите Командная строка.
               • Вам может быть предложено выбрать учетную запись пользователя и ввести пароль.
            2. Выдать команду convert: mbr2gpt.exe / convert.
            3. Перезагрузите компьютер и загрузитесь в UEFI BIOS.
            4. Измените настройку BIOS с Legacy на режим UEFI.

            Как преобразовать из MBR в GPT во время установки Windows 10

            Это можно использовать, когда появляется следующее сообщение об ошибке: «Windows не может быть установлена ​​на этот диск. Выбранный диск имеет таблицу разделов MBR. В системах EFI Windows может устанавливаться только на GPT-диски «.

            Сценарий: сообщение появляется при выборе диска, который будет использоваться в качестве загрузочного в процессе установки Windows 10.

            Инструкции взяты из статьи службы поддержки Microsoft:

            1. Чтобы открыть командную строку во время установки Windows 10, нажмите Shift + F10
            2. Введите команду: diskpart (для открытия утилиты)
            3. Введите команду: list disk (чтобы показать доступные диски)
            4. Проверьте, какой именно диск будет использоваться в качестве загрузочного диска
            5. Попросите ввести команду: select disk <номер диска из step 5 >
            6. Введите команду: clean (это форматирует диск, и вы должны дождаться его завершения)
            7. Введите команду: convert gpt (это преобразует таблицу разделов, и появится сообщение о том, что это сработало)
            8. Введите команда: выйти из или закрыть командную строку с X в правом верхнем углу
            9. Нажмите кнопку обновления и попробуйте установить Windows 10 * на целевой d isk снова

            Примечание : GPT является обязательным требованием, если у вас установлен режим UEFI BIOS и вы хотите установить Windows 10. Кроме того, вся информация будет потеряна при выполнении этих шагов.

            MBR (основная загрузочная запись) и GPT (таблица разделов GUID) — это два разных способа хранения информации о разделах на диске. Эта информация включает в себя начало разделов, поэтому ваша операционная система знает, какие сектора принадлежат каждому разделу и какой раздел является загрузочным. Вот почему вам нужно выбрать MBR или GPT перед созданием разделов на диске.

            [решено] Правильные шаги по установке M.2 NVMe диск? — Оборудование ASUS

            Здравствуйте!

            У меня материнская плата Asus Z170-A, BIOS 3802 3/15/18 (большинство текущий), и я хочу перейти на Samsung 970 EVO Plus SSD 500 ГБ — M.2 NVMe (MZ-V7S500B / AM). Я продолжаю читать противоречивую информацию о процессе установки. Это моя первая установка диска M.2.

            На данный момент у меня намечены следующие шаги:
            

            · Удалить (или приостановить?) Шифрование BitLocker из Загрузочный накопитель SSD Samsung EVO 850 500 ГБ

            · Перезагрузитесь в BIOS

            · Безопасная загрузка включена: Готово

            · Режим только UEFI: Готово

            · По https: // www.youtube.com/watch?v=No-ct8pQcIg, выполните следующие шаги BIOS:

            · Boot> установить для Launch CSM значение disabled:

            · Загрузка> Безопасная загрузка> установите для параметра Тип ОС значение Другой OS

            · Загрузка> Безопасная загрузка> Управление ключами> Очистить Ключи безопасной загрузки

            · Порт SATA Express / M.2: установлен на M.2: Готово

            · Отключите все внутренние жесткие диски и любой USB флэш-накопители, отличные от Win 10 UEFI USB-накопитель

            · Установите M.2 SSD

            · Установите Win 10 с помощью USB-накопителя UEFI

            · Повторно войдите в BIOS

            · Загрузка> Безопасная загрузка> установите для параметра Тип ОС значение Windows Режим UEFI

            · Загрузка> Безопасная загрузка> Управление ключами> Установить Ключи безопасной загрузки

            · F10 сохранить и выйти из

            · Запускайте Windows 10 в обычном режиме

            —————

            Есть некоторая путаница с Launch CSM: некоторые сайты говорят, что нужно установить его только на UEFI, другие говорят, что отключить его вообще.

            Некоторые сайты говорят, что перед установкой Windows 10 необходимо установить для параметра Тип ОС значение Windows UEFI Mode, а затем следует описанная выше процедура: начать с другой ОС, затем после Win 10 перейти в режим Windows UEFI.

            Мое волнение по поводу того, что сегодня я получил привод, рассеялось, когда я понял, что у меня больше нет коробки материнской платы с крепежным винтом и стойкой. Я заказал это сегодня.

            На некоторых сайтах упоминается, что необходимо отформатировать диск NVMe, а затем установить Windows 10, потому что в противном случае он не будет отображаться или не будет загружаться.Я так растерялся!

            Спасибо за вашу помощь!

            Грегг

            
            

            ---

            Хабанеро

            OP

            2300peterw 28 Апр, 2020 в 07:57 UTC

            Просто количество очков.

            Посмотрел изображения и спецификации для этой материнской платы и не нашел упоминания о M2 — возможно, меня. Итак, у вас есть переходник для конвертации.

            Если вы впервые обновляете твердотельный накопитель, стоит сделать резервную копию всех ценных данных (ремня и скоб).Однако похоже, что вы делаете новую установку, а не обновление клона?

            После того, как вы разобрали свое оборудование (и это новая установка), просто установите для него UEFI и установите Windows 10. Я думаю, что Windows 10 автоматически устанавливает битлокер, и мой совет для этого — получить копию ключа и резервное копирование любых ценных данных на случай невидимых проблем.

            Как изменить устаревшую версию на UEFI в Windows 10/8/7?

            UEFI — это замена BIOS.

            
            

            Все новое оборудование в настоящее время использует унифицированный расширяемый интерфейс микропрограмм (UEFI) вместо традиционного BIOS.UEFI сейчас находится на пути к замене BIOS, который к настоящему времени является устаревшим стандартом, которому более 40 лет! В настоящее время большинство систем с поддержкой UEFI имеют режим загрузки Legacy для совместимости со старыми системами.

            Если вы используете 64-битную Windows 7, Windows 8 / 8.1 или Windows 10, вы можете изменить Из прежних версий в режим UEFI для повышения производительности и поддержки дисков. В устаревшем режиме Windows может загружаться только с диска с основной загрузочной записью (MBR), размер которого ограничен 2 ТБ, в то время как режим UEFI работает с таблицей разделов GUID, что позволяет использовать диски огромный размер.

            Обязательно ли переустанавливать Windows 10/8/7 для режима UEFI?

            Обычно вам необходимо переустановить Windows для перехода в режим UEFI, потому что вам нужно очистить жесткий диск, а затем преобразовать его в GPT-диск.

            1. После преобразования Legacy BIOS в режим загрузки UEFI вы можете загружать компьютер с Установочный диск Windows.

            2. На экране установки Windows нажмите Shift + F10, чтобы открыть командную строку.

            3. Введите «diskpart» и используйте команду «convert gpt» для преобразования диска из MBR в GPT. как на скриншоте ниже.

            4. Теперь вы можете вернуться и установить Windows. Если вы попытаетесь установить Windows без этих действий, вы получите сообщение об ошибке «Windows не может быть установлена ​​на этот диск» после того, как вы переключите BIOS в режим UEFI.

            Кажется сложным, правда? На самом деле есть более простой способ, который требует гораздо меньше возиться с командной строкой. Вы можете использовать специализированное стороннее программное обеспечение AOMEI Partition Assistant Professional Edition для преобразования из MBR в GPT без удаления разделов или потери данных в Windows 10/8/7 и Windows XP / Vista (конвертировать MBR и GPT без потери данных в операционных системах Сервера, Серверная редакция может вас насытить).Таким образом, вам не нужно тратить время на установку Windows и всех своих программ или вводить строку команд командной строки.

            Примечание: Чтобы избежать потери данных из-за неправильной эксплуатации или некоторых несчастных случаев, таких как отключение электроэнергии, вы можете заранее создать резервную копию важных данных.

            Для преобразования в GPT-диск с помощью AOMEI Partition Assistant Professional:

            1. Загрузите демо-версию этой программы управления разделами и запустите ее.

            2. Щелкните правой кнопкой мыши системный диск и выберите Преобразовать в GPT Disk .

            3. Нажмите «Применить», чтобы применить изменения.

            Во время этого процесса ваш компьютер перезагрузится в AOMEI Pre-OS mode . Когда он завершится, вы можете войти в BIOS и переключиться из режима Legacy в режим UEFI. Вы можете использовать тот же метод для преобразования GPT в MBR без потери данных.

            Как изменить устаревшую версию на UEFI?

            Действия по включению режима UEFI различаются от компьютера к компьютеру. Вы можете обратиться к следующему, чтобы помочь вам настроить свой.

            1. Обычно вы постоянно нажимаете определенную клавишу при запуске компьютера, чтобы войти в меню настройки EFI. Обычно это Del для настольных компьютеров и F2 для ноутбуков. Если вы не знаете, какую клавишу нажимать, просто нажмите Esc . Это даст вам полное меню, а затем вы можете выбрать BIOS Setup .

            2. Обычно конфигурацию режима загрузки Legacy / UEFI можно найти на вкладке Boot. На вкладке Boot вы должны отключить Legacy и включить UEFI.

            3. Теперь нажмите F10 , чтобы сохранить настройки, а затем выйдите.

            В заключение, рекомендуется изменить режим загрузки Legacy на UEFI, если ваша операционная система (ОС) совместима. Как видите, весь процесс не займет много времени или усилий, поскольку вам не нужно переустанавливать Windows 10, 8 и 7.

            .

            No related posts.