Содержание
- 1 Принцип работы и особенности Secure Boot
- 2 Отключение утилиты
- 3 Исправление неполадок
- 4 Нужен ли пользователям Secure Boot?
- 5 Безопасная загрузка Secure Boot
- 6 Отключение Secure Boot в BIOS UEFI
- 7 Проверка через службу «Безопасность Windows»
- 8 Используя сведения о системе
- 9 Просмотр состояния в Windows PowerShell
- 10 Дополнительно: как узнать включена или отключена безопасная загрузка Secure Boot в Windows
22 апреля 2019
Что такое Secure Boot, и как её отключать?
Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .
Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.
При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.
Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.
Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.
Принцип работы и особенности Secure Boot
Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.
Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.
Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.
Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:
- Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
- Режим User или режим пользователя, в котором компьютер работает по умолчанию.
Для того, чтобы убрать функцию следует воспользоваться первым режимом.
Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.
Определение режима загрузки
Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:
- уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
- через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;
Рис.2. Вход в меню «Свойств системы».
- путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.
Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.
После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.
Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности.
Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.
Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.
Отключение утилиты
Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:
- Войти в настройки интерфейса UEFI;
- Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.
На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:
- Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
- После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
- Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).
После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.
Он зависит от конкретной модели компьютера и марки материнской платы.
Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.
После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.
Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.
Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.
Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.
На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.
Исправление неполадок
Иногда настройки Secure Boot могут оказаться неправильными.
В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».
Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:
- Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
- Проверка типа политики безопасности;
- Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.
Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.
Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.
Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.
Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.
Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.
Нужен ли пользователям Secure Boot?
Появление функции было неоднозначно воспринято пользователями Windows.
С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.
С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.
Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:
- Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
- Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
- Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
- Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).
Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.
Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.
И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.
Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.
Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.
Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.
А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.
Источник
Безопасная загрузка Secure Boot
Протокол Secure Boot или «безопасная загрузка» по русски, является частью спецификации UEFI (Unified Extensible Firmware Interface). Смысл его действия достаточно просто. В хранилище системы лежат сигнатуры выполняемых UEFI образов. При загрузке операционной системы подписи сравниваются с эталонными и, если они не совпадают, то загрузка не происходит. Грубо говоря, UEFI это промежуточный интерфейс между операционной системой и специальными низкоуровневыми микропрограммами, предназначенный для корректной инициализации оборудования при включении ПК и дальнейшей передачи управления загрузчику Windows.
Несмотря на то, что изначально протокол не является обязательным для реализации производителями, ещё в 2011 году, всвязи с выходом Windows 8, компания Microsoft включила в требования для сертификации компьютеров под управлением своих операционных систем включенный Secure Boot с использованием ключа Microsoft. Потому и не стоит удивляться почему на большинстве современных ноутбуков Acer, Asus, HP, Lenovo, MSI и т.п. не получается просто так переустановить систему.
Отключение Secure Boot в BIOS UEFI
При включении современного ноутбука обычно сразу стартует запуск операционной системы. Чёрный экран, как на старых компьютерах, с приглашением нажать кнопку для входа в BIOS не появляется. Что же делать и как отключить Secure Boot в Windows 10?! А вот как!
Открываем Параметры системы и заходим в раздел Обновление и безопасность >> Восстановление. Здесь будет пункт Особые варианты загрузки.
Здесь надо будет нажать на кнопку «Перезагрузить сейчас». После перезапуска компьютера появится синее окно с выбором варианта действия:
Нам надо выбрать пункт Диагностика >> Дополнительные параметры, после чего нажать на плитку Параметры встроенного ПО UEFI и согласиться на перезагрузку. Вот только после этих действий в Windows 10 получится попасть в BIOS ноутбука.
Теперь надо будет открыть раздел «Boot» и найти там пункт Secure Boot и поставить ему значение Disable.
Примечание: Несмотря на то, что у разных ноутбуков меню БИОСа может немного различаться — пугаться не стоит! Принцип действий везде одинаков!
После внесения изменений, не забудьте сохранить параметры BIOS и снова перезагрузиться. Теперь протокол безопасной загрузки работать не будет. Поэтому не забывайте уделять должное внимание антивирусной защите.
В данной статье показаны действия, с помощью которых можно проверить, включена или отключена Безопасная загрузка (Secure Boot) в интерфейсе операционной системы Windows 10.
Чтобы обеспечить дополнительную безопасность компьютера от воздействия вредоносных программ, изготовители компьютеров используют безопасную загрузку.
Безопасная загрузка предотвращает загрузку сложного и опасного типа вредоносных программ, rootkit, при запуске устройства. Пакеты программ rootkit используют такие же права доступа, как и операционная система, и запускаются раньше нее, что позволяет им полностью скрыть себя.
Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатые клавиши, перемещать конфиденциальные файлы и получать криптографические данные.
Безопасная загрузка — это стандарт безопасности, который гарантирует пользователю, что его компьютер при загрузке использует только программное обеспечение, которому доверяет изготовитель компьютера.
При запуске компьютера встроенное программное обеспечение проверяет подписи всех компонентов, включая драйверы, приложения EFI и операционную систему. Если подписи являются надежными, то компьютер загружается, и микропрограмма передает управление операционной системе.
Содержание
Проверка через службу «Безопасность Windows»
Чтобы проверить, включена или отключена «Безопасная загрузка», откройте службу Безопасность Windows (прежнее название Центр безопасности Защитника Windows) и выберите Безопасность устройства.
В разделе Безопасная загрузка (если поддерживается) проверьте, включена ли безопасная загрузка или выключена.
Используя сведения о системе
Чтобы проверить, включена или отключена «Безопасная загрузка» в окне “Сведения о системе”, нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите msinfo32 и нажмите клавишу Enter↵.
В открывшемся окне “Сведения о системе”, в правой области окна в строке Состояние безопасной загрузки вы увидите значение Вкл., Откл., или Не поддерживается (см. скриншоты ниже).
Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.
Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.
Компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS
Просмотр состояния в Windows PowerShell
Чтобы проверить, включена или отключена «Безопасная загрузка», откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Confirm-SecureBootUEFI
В зависимости от того какое значение возвращает выполненная команда вы будете знать, включена ли безопасная загрузка, отключена или не поддерживается.
True – компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.
False – компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.
Отображение ошибки – компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS
Если же Вы решили установить другую операционную систему, но система не видит загрузочную флешку, но Вы приоритеты загрузки установили правильно, возможно Вам понадобиться отключить Secute Boot.
В этой статье мы рассмотрим как отключить Secure Boot в Windows 10 и почему Биос не видит загрузочную флешку, поскольку этих два вопроса могут быть связаны между собой. А также узнаем что делать если при загрузке Вашей операционной системы Вы видите на рабочем столе надпись безопасная загрузка настроена неправильно.
Secure Boot это функция, которая разрешает или запрещает установку других операционных систем.
Если Вы спросите что это Secure Boot, то можно сказать что эта опция блокирует загрузку загрузочных дисков и флешек. Поэтому для того чтобы установить другую операционную систему необходимо отключить Secure Boot, если она включена.
Чтобы проверить включена ли функция Secure Boot, можно воспользоваться командой в операционной системе Windows 10.
- Нажмите Win+R и выполните команду msinfo32.
- В открывшимся окне в разделе Сведенияо системе ищем пункт Состояние безопасной загрузки и смотрим на значение.
Для начала Вам нужно правильно создать загрузочную флешку, для этого рекомендуем ознакомиться с этой статьей. После того как Вы правильно создали загрузочную флешку нужно в Биосе отключить Secure Boot и установить приоритет загрузки флешки перед Вашим жестким диском.
В общем как Вы могли догадаться если Биос не видит загрузочную флешку Вам стоит отключить опцию Secure Boot. Поскольку она разрешает данную проверку подлинности загрузчика.
Настройка Secure Boot может находиться в BIOS и UEFI по пути:
- Boot
- Boot Security
- System Configuration
А также Вам нужно включить режим загрузки в режиме совместимости Legacy OS или CMS OS.
Нет разницы какая у Вас операционная система, то ли Windows 10 или Windows 8, сама настройка Secure Boot находиться в BIOS или UEFI.
Поэтому нам придется для начала зайти в BIOS. А дальше расположение настройки Secure Boot зависит от версии BIOS. Мы рассмотрим несколько возможных расположений опции Secute Boot в ноутбуках от разных производителей.
- Заходим в BIOS, при загрузке нажимаем Esc или клавишу F10.
- Переходим в закладку SystemConfiguration и в раздел BootOptions.
- В этом разделе ищем параметр SecureBoot и устанавливаем его значение Disabled.
- А параметр Legacy support устанавливаем на Enabled, которая отвечает за совместимость з другими операционными системами.
- Заходим в BIOS, нажав при загрузке F2.
- Переходим во вкладку Boot и там уже ищем функцию Secure Boot.
- Чтобы отключить её меняем значение Enabled на Disabled.
- Дальше возможно после перезагрузки появится параметр OS Mode Selection значение которого нам нужно выставить CMS OS или UEFI and Legacy OS.
- Откройте BIOS нажав F2 при загрузке.
- Переходим во вкладку Security и напротив Secure Boot устанавливаем значение Disabled.
- Дальше Advanced => System Configuration и выбираем параметр Boot Mode или OS Mode Selection значение которого надо установить CSM Boot или UEFI and Legacy OS.
- Находим пункт Boot потом UEFI Boot.
- Дальше выставляем Secure Boot на значение Disabled.
- Во вкладке Main и найдя параметр F12 Boot Menu переключаем на Enabled.
- Во вкладке Security устанавливаем пароль в пункте Set Supervisor Password.
- Дальше Authentication и значение параметра Secure Boot меняем на Disabled.
- Дополнительно устанавливаем значение CSM или Legacy Mode вместо UEFI по пути Boot => Boot Mode.
- Если же говорить о ноутбуках от Asus то выключать Secure Boot нам придется в UEFI, а точнее вкладка Boot, дальше Secure Boot и в пункте OS Type устанавливаем значение Other OS.
- В некоторых случаях разделе Security или Boot меняем значение параметра Secure Boot на Disabled.
После этих действий нужно сохранить изменения и выйти с BIOS или UEFI.
Встретить ошибку безопасная загрузка настроена неправильно можно после обновления с предыдущей версии операционной системы например до Windows 10.
В большинстве случаев помогает включение Secure Boot. Нужно всё сделать наоборот как мы сделали выше, чтобы включить её.
Ещё есть один способ, который поможет убрать надпись с рабочего стола. Его мы рассмотрели здесь, но он только уберет надпись, а саму проблему не исправит.
Если же не помогло для пользователей Windows 8.1 Майкрософт выпустили патч, который уберет эту надпись с рабочего стола и исправит проблему.
Выводы
В этой статье мы рассмотрели как отключить Secure Boot в Windows 10 и почему БИОС не видит загрузочную флешку.
Надеюсь эта статья будет для Вас полезной и поможет Вам разобраться с настройкой Secure Boot. Пишите в комментарии как Вы решили этот вопрос.
На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.
Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP
Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.
В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.
Ноутбуки Lenovo и Toshiba
Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).
После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).
На ноутбуках Dell
На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).
Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.
Отключение Secure Boot на Acer
Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).
Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.
Gigabyte
На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).
Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).
Еще варианты отключения
На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.
Если у вас возникнет вопрос по какой-то конкретной материнской плате или ноутбуку, можете задать его в комментариях, надеюсь, я смогу помочь.
Дополнительно: как узнать включена или отключена безопасная загрузка Secure Boot в Windows
Для проверки, включена ли функция Secure Boot в Windows 8 (8.1) и Windows 10, вы можете нажать клавиши Windows + R, ввести msinfo32 и нажать Enter.
В окне сведений о системе, выбрав корневой раздел в списке слева, найдите пункт «Состояние безопасной загрузки» для получения сведений о том, задействована ли данная технология.
Используемые источники:
- https://pomogaemkompu.temaretik.com/1668811113315961514/secure-boot—chto-eto-za-utilita-i-kak-eyo-otklyuchit/
- https://set-os.ru/secure-boot-kak-otklyuchit/
- https://winnote.ru/bios/542-kak-proverit-vklyuchena-ili-otklyuchena-bezopasnaya-zagruzka-secure-boot-v-windows-10.html
- https://windd.ru/kak-otklyuchit-secure-boot-v-windows-10/
- https://remontka.pro/secure-boot-disable/