Secure boot (безопасная загрузка) — что это, особенности, как включить и отключить

Почему не получается запустить операционную систему с флешки, учитывая, что с ней всё в порядке? Причина скорее будет во включенном «Secure Boot». В статье рассказывается о том, что это такое и способах его деактивации.

Что такое «Secure Boot»

Это специальный протокол для создания безопасной среды при включении Windows, или, другими словами, безопасный запуск компьютера или ноутбука на надежном программном обеспечении, заслуживший доверие производителя.

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

На каждом устройстве применяется «Secure Boot» для предупреждения запуска неавторизованной операционки, вирусов или вредоносного софта. С целью защитить данные и работоспособность устройства была внесена такая функция обеспечения безопасности на BIOS, а также и UEFI.

Когда устройство запускается встроенная микропрограмма и идентифицирует подписи всех компонентов (приложения EFI, драйвера и операционку). Если она определила надежность и безопасность всех подписей, то операционка начинает запускаться.

BIOS и UEFI — это программы для ввода и вывода данных, запускающие ОС, последняя функционирует только на новых версиях Windows.

Принцип работы и особенности «Secure Boot»

Программа использует цифровую подпись, чтобы проверить подлинность и лицензию ОС, в частности, её файлов. Цифровая подпись гарантирует, что операционка не подделана и была взята из надежного источника.

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Чтобы что-либо подписать, «Secure Boot» отправляет запрос в сертификационный центр, где и проверяется устанавливаемая операционка, после проведенного анализа ставится цифровая подпись. Только после этого совершается запуск ОС при включенном режиме безопасной загрузки.

В случаях, когда цифровая подпись недействительна, устройство с новой установленной ОС включить не получится.  

Программа может защищать только на стадии загрузки операционной системы. Однако при доступе к «железу» компьютера имеется возможность подмены ключей.

Существует два режима работы:

  1. SETUP, необходимый для настройки доступа к UEFI-ключам и к их базам:
  • Key Exchange Keys или KEK, подписывается PK;
  •  OEM Key (Original Key) — есть на установленных заранее версиях Windows;
  • Platform Key или PK — ключ главный;
  • DBX — база, были отозваны ключи;
  • DB — база, содержащая разрешенные ключи.
  1. USER, позволяющий запустить файлы.

Чтобы запустить режим USER, нужно чтобы ключи были с подписью DB, но не DBX.

Пре-загрузчики Linux

Для сертификации компьютеров, с целью их совместимости с ОС Windows, Microsoft запрашивает активацию «Secure Boot», запускаемую с применением пре-загрузчиков от фирмы Linux. 

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Компания Microsoft не поставляет собственные ключи доступа, поскольку их нужно будет предварительно устанавливать в прошивку во время производства, а это не выгодно, потому что потребуется множество согласований с разными производителями.  А также это приведет к появлению на рынках компьютеров, на которых не будет поддерживать система Linux. Выделяют два таких пре-загрузчика:

  1. Shim, работает с тремя ключами:
  • Shim keys (генерируются самостоятельно);
  • Secure Boot keys (имеются в UEFI);
  • Machine Owner Key (MOK, хранится в NVRAM).

Бинарные файлы необходимо подписать перед выполнением, потому что Shim находится в тесной взаимосвязи с ключом MOK и если нет поддержки системы у загрузчика, то и работать ничего не будет.

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

  1.   PRELoader, наоборот, способен перестраивать запуск UEFI со встраиванием доверенных механизмов аутентификации.

При удалении ключа, которым была подписана программа, она уже не сможет запуститься.

Вышеуказанные пре-загрузчики предустановлены заранее и имеют подпись на всех устройствах Microsoft.

Как включить безопасную загрузку

Для того чтобы защитить компьютер от вирусов, нужно убедиться, что функция «Security Boot» активна, если нет, следует активировать её самостоятельно.

Программа UEFI считается более новой, удобной и управляется мышью, а в BIOS возможно пользоваться лишь клавишами.

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Описание этапов, как включить безопасную загрузку в режиме БИОС или UEFI:

  1. Как только устройство запустилось, рекомендуется переместиться в БИОС, определенное количество раз, нажав кнопку «F2» (для ноутбуков) или «Del» (для стационарных компьютеров), необходимая кнопка зависит от изготовителя.
  2. В BIOS располагается «Secure Boot», изменяющийся зависимо от устройства, например: «Security», «Advanced Settings», «System Configuration» и в конце «Boot».
  3. Переключить «Secure Boot» в режим функционирования «Enabled». Если ранее очищались ключи защищенной загрузки, рекомендуется их восстановление. После совершенных действий сохраняются настройки, выбирается «Exit» или нажимается «F10» на клавиатуре, и производится перезагрузка устройства.

Иногда в BIOS предусмотрено наличие поиска, где можно посмотреть «Secure Boot».

Несложным способом включить функцию защищенной загрузки считается сброс настроек BIOS. С этой целью при нажатии «Exit», найти «Load Defaults», так как она активирована по умолчанию на всех заводских устройствах.

Как отключить защиту «Secure Boot» в БИОСе

На каждом компьютере должна быть предусмотрена возможность отключать такую защиту. Поэтапная инструкция выключения практически не отличается от таковой по включению.

Для выключения «Secure Boot» в БИОСе на более ранних моделях, следует:

  1. Перейти в BIOS.
  2. Зайти в часть «Advanced Mode», нажав кнопку «F7».
  3. Выбрать далее «Secure Boot».
  4. Нажать на вкладку «Secure Boot Control», переведя в режим «Disabled».
  5. Сохранить и закрыть раздел.

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

На ARM-планшеты с заранее установленной операционкой Microsoft невозможно выключить «Secure Boot».

Примеры, как отключить «Secure Boot» на разных ноутбуках

В соответствии с производителем порядок деактивации протокола обычно изменяется. Далее представлены самые распространенные марки ноутбуков.

Samsung

Чтобы понимать, как отключить «Secure Boot» на ноутбуке «Samsung», сразу после включения зажимается «F2» на клавиатуре, попав в БИОС. Далее найти располагающийся там раздел «Boot» и «Secure Boot», переключая его в «Disabled». Подтверждаются изменения «Enter» на клавиатуре. Дальше появится предупреждение об ошибке, которое нужно подтвердить.

Как только перезапуск ОС завершится, можно изменять функцию «OS Mode Selection», переводящихся в «CSM OS», либо «UEFI and Legacy OS», выбор которых потом подтверждается.

При перезагрузке может снова возникнуть сообщение про ошибку, его следует проигнорировать нажатием «Enter» на клавиатуре.

Далее перезагрузить ПК, используя «F10» клавишу. Затем откроется меню, где выбрать вид носителя информации (винчестер, флешка или другое).

Asus

С целью деактивации «Secure Boot» на аппаратах фирмы Asus, в UEFI открывается «Boot», потом «Secure Boot». В «OS Type» устанавливается «Other OS», настройки сохраняются выбором «F10» на клавиатуре.

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Acer

Здесь нельзя деактивировать защищённую загрузку в стандартных настройках. Попав в БИОС, выбирается «Security» и вводится новый пароль, с данной целью переходят в пункт «Set Supervisor Password». Теперь, переходя на «Boot», отмечается «Disabled» в «Secure Boot».

Защищенный запуск выключается в части «Advanced — System Configuration» или «Authentication» только на стационарных ПК.

Dell

В БИОС управлении рекомендуется перейти в «Boot», потом выбрать «UEFI Boot», снова найдя «Secure Boot» установить «Disabled». Сохранить настройки нажатием «F10».

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Lenovo и Toshiba

В процессе запуска устройства нажать «F2» либо «Fn» + «F2», с целью попадания в UEFI. Найти пункт «Security» и поменять «Secure Boot» в состояние «Disabled». Далее изменения сохраняются кнопками «Fn» + «F10» или только «F10».

При покупке ноутбука в официальных магазинах к каждому устройству должна быть вложена инструкция по эксплуатации, где описываются способы деактивации «Secure Boot», либо эту информацию следует находить в свободном доступе.

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Как узнать, активен ли «Secure Boot»

Перед запуском софта или переустановкой операционки нужно посмотреть функцию «Secure Boot» в БИОСе для того, чтобы понять, активирована ли она. Для этого рекомендуется испытать один из способов.

Командная строка

Чтобы убедиться в том, что функция «Защищенная загрузка» активирована, можно, применяя командную строку «Выполнить». Нужно выполнить ряд условий. Зажать кнопки «Win» (логотип операционной системы) и «R» на клавиатуре, откроется окошко «Выполнить», в поле вписывается «msinfo32», далее нажимается «OK» или клавишу «Enter».

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Появится вкладка «Сведения о системе», где можно увидеть все данные об операционной системе. Далее нужно найти «Состояние безопасной загрузки», чаще он включен, но иногда выключен, или не поддерживается.

Здесь также можно определить режим BIOS или UEFI.

Раздел «Безопасность устройства»

Существует другой метод проверки активации режима «Secure Boot» на устройстве (некоторых новых ОС Windows).

Можно перейти в «Параметры», затем найти «Безопасность устройства» и внизу будет раздел «Безопасная загрузка», где указано: включен режим или отключен. 

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Secure boot (безопасная загрузка) - что это, особенности, как включить и отключить

Windows PowerShell

Ещё один способ можно провести следующим образом:

  1. От имени администратора выполнить команду: «Confirm-Secure Boot UEFI»
  2. Ожидать ответ:
  • «True» функция активирована;
  •  «False» устройством может поддерживаться безопасная загрузка, но сейчас она отключена;
  • «Error» или другой признак ошибки говорит о том, что режим не поддерживается данным устройством. 

Частые проблемы и пути решения

Нередко можно столкнуть с затруднениями в отключении и активировании функций защищенной загрузки.

Проблема № 1. Отсутствует «Security Boot» в БИОСе

Решение: «Защищенная загрузка» в основном предназначена для UEFI, а не БИОС. Если включены «Legacy» или «CSM», то настройка защищенной запуска иногда не работает. Поэтому можно воспользоваться вариантами:

  1. Включить режим UEFI, что приведет к тому, что «Legacy» и «CSM» не будут загружаться.
  2. Установить пароль для БИОС в настройке типа ОС, выбрать восьмую версию Windows.

Проблема № 2. Не получается поставить Windows на купленный ноутбук без предустановленной ОС.

Решение заключается в выполнении ряда условий:

  1. Записать UEFI установочную флешку и с нужной версией Windows;
  2. Вставить флешку в USB-порт;
  3. Вызвать «Boot Menu», используя на клавиатуре «F2» или «F12» (может быть другая кнопка, лучше прочитать инструкцию по эксплуатации к устройству);
  4. Выбрать загрузку с флешки.  

 Проблема № 3. Не запускается устройство с загрузочных флешек в «Secure Boot» при установлении Windows.

Решение изменяется, зависимо от того, где возникла проблема:

  1. Чтобы знать, как включить «Secure Boot», следует установить Windows в UEFI (GPT —Таблицу разделов GUID).
  2. Если флешка создана из официального ISO образа в программе «WinSetupFromUSB», нужно её отформатировать в «FAT32».
  3. Извлечь содержимое образа в корневую часть флешки.

Задаваясь вопросами, как отключить «Secure Boot» на ноутбуке, следует задуматься, что выключение этого режима обычно не требуется, если пользоваться лицензионными продуктами. Отключение его может принести больше вреда, чем пользы. Например, лишит устройство защиты от вредоносных программ, таких как BOOTKIT, ROOTKIT и других вирусов. В случаях, когда действительно необходимо выключить защищённую загрузку, рекомендуется учитывать, что от вида устройства способы будут меняться.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *