Modul de securitate în UEFI, sau boot de securitate, oferă protecție la pornire pe un laptop, computer desktop: blochează accesul la setarea pentru modificarea priorității de pornire de pe un CD/DVD, unitate USB (inclusiv nu permite utilizarea sistemului de operare de pe un flash USB bootabil drive), împiedică încercările de instalare a unui sistem de operare fără licență, neautorizat, interferența neautorizată cu shell-ul de pornire. În astfel de situații, la încărcare, pe afișaj apare mesajul „secure boot violation”, indicând că este imposibil să se modifice boot-ul în BIOS (în BIOS), UEFI.
Pentru a elimina această blocare, trebuie să dezactivați opțiunile corespunzătoare din UEFI. După dezactivarea protecției, puteți modifica prioritatea de pornire de pe discuri și unități flash USB, precum și să instalați orice distribuție a sistemului de operare.
Acest articol vă va ghida despre cum să dezactivați boot-ul securizat în opțiunile de boot shell. Descrie în detaliu cum să dezactivați modul de protecție pe dispozitivele mărcilor populare, cum să aflați dacă Secure Boot este activată folosind setările sistemului.
Verificarea activității funcției
Puteți verifica starea de activare a protecției la boot în două moduri:
Metoda numărul 1: în opțiuni
1. Apăsați simultan tastele „Win” + „R” de pe tastatură.
2. În panoul Run, tastați msinfo32, apăsați Enter.
3. Localizați opțiunea „Stare descărcare”. Vedeți valoarea acesteia: „Dezactivat”. - modul de protecție este dezactivat, „Pornit” - pornit.
Metoda numărul 2: în consola Powershell
1. Rulați utilitarul:
- deschideți meniul „Start”;
- în caseta de căutare, introduceți numele utilitarului - powershell;
2. Faceți clic în lista din panoul Start pe linia apărută cu utilitarul.
3. În consolă, introduceți comanda - Confirm-SecureBootUEFI.
4. Apăsați „Enter”.
5. Sistemul imediat după introducerea comenzii va afișa starea protecției: Adevărat - activat, Fals - dezactivat.
Cum se deschide setările UEFI/BIOS
Pentru a dezactiva Security Boot, mai întâi trebuie să deschideți shell-ul de boot UEFI sau BIOS. De asemenea, puteți efectua această procedură în diferite moduri:
Metoda numărul 1: folosind „taste rapide”
Reporniți sistemul de operare. Apăsați Del. Dacă autentificarea shell eșuează, atunci o altă tastă rapidă este utilizată pentru a intra în modul setări de pornire. Poate fi - „F2” sau combinația „FN + F2” (pe un laptop).
Notă. Butonul pentru a merge la BIOS poate fi indicat pe monitor în timpul pornirii sistemului.
Metoda numărul 2: opțiunea OS obișnuită
(opțiune pentru 8/8.1)
1. Activați sertarul (în partea dreaptă a ecranului).
2. Accesați: Setări → Modificare setări... → Actualizare și...→ Restaurare.
3. În suplimente suplimentare, setați modul de repornire la „Setări de către UEFI”.
4. Activați comanda „Repornire”.
Ghiduri de oprire
Placa de baza ASUS (PC)
1. Reporniți computerul. Apăsați tasta „Del” sau „F2” (în funcție de modelul ASUS specific). Când carcasa este afișată pe afișaj, apăsați „F7”, va fi afișat „Advanced Mode”.
2. În „Boot” faceți clic pe linia „Secure Boot”.
3. În panoul de setări, setați „Alt sistem de operare”.
4. Reveniți la „Boot”, Modulul de suport pentru compatibilitate (CSM).
5. Activați opțiunea Lansare CSM: setați Activat în rândul său.
6. În „Boot Device Control” setați valoarea la „UEFI și Legacy...” sau „Legacy OpROM...”.
7. Sub listă, în „Boot... Devices”, selectați „Both, Legacy... first” sau „Legacy OpROM...”.
Tot. Configurarea este completă. Protecția este dezactivată. Apăsați „F10”, confirmați modificarea setărilor. Reporniți sistemul de operare.
Laptop Asus
1. În shell-ul de boot, în Security - Secure Boot, setați „Disabled”.
2. În „Boot” - Fast Boot, modificați parametrul la „Disabled”.
3. Salvați configurația opțiunilor (F10), reporniți. Deschide BIOS.
4. În Boot - „Launch...” schimbați valoarea la „Enabled”.
5. Salvați modificările și reporniți sistemul de operare.
Asrock
1. În UEFI, deschideți „Securitate” (pictograma „Scut” din meniul de sus).
2. În „Secure Boot” mutați comutatorul la „Disabled” (dezactivare).
3. Apăsați „F10” pentru a salva setările. Reporniți computerul.
Gigabyte
1. În UEFI, deschideți meniul „... Caracteristici”.
2. Setați opțiuni:
- Caracteristici Windows 8 - Alte sisteme de operare;
- Boot Mode Selection” - „Numai Legacy” / „UEFI and Legacy” (opțiuni posibile);
- Prioritate ROM pentru alte dispozitive PCI - OpROM moștenit.
3. Salvați modificările cu tasta „F10”.
MSI
1. Din meniul shell, accesați: SETĂRI → Pornire.
2. În Boot Mode Select, schimbați parametrul la „Legacy + UEFI”.
3. Apăsați F10 pentru a salva modificările opțiunilor.
Toshiba
1. În Securitate- „Secure Boot” setați poziția la „Disabled”.
2. Accesați shell: Advanced → System Configuration.
3. Găsiți „Boot Mode” (poate fi numit și OS Mode Selection) și setați comutatorul în poziția „CSM Boot” (numele alternative ale parametrilor sunt CMS OS, UEFI și Legacy OS).
4. Activați comanda de salvare a setărilor cu tasta „F10”. Reporniți sistemul. Acum puteți utiliza discuri de pornire și unități flash, precum și să instalați orice sistem de operare.
HP
Pe laptopurile HP Pavillion, pentru a le dezactiva, trebuie să efectuați încă câteva setări suplimentare:
1. Pentru a intra în UEFI-BIOS în timpul repornirii, apăsați tasta „F10” (la unele modele: ESC → F10).
2. În shell, accesați: System Configuration → Boot Options.
3. Schimbați poziția următoarelor opțiuni:
- Secure Boot - Disabled (dezactivarea modului de protecție);
- Suport vechi - Activat (activați compatibilitatea cu alte sisteme de operare).
5. Pentru ca noile setări să aibă efect, activați salvarea parametrilor cu tasta F10.
6. Reporniți sistemul de operare. La finalizarea repornirii sistemului, va apărea un avertisment și o solicitare de introducere a codului specificat (afișat în rândul ... pentru a finaliza modificarea). Introduceți-l și apăsați „Enter”. Laptopul se va reporni automat.
Pentru a modifica prioritatea de pornire pentru a utiliza unitatea flash USB de instalare la pornirea laptopului, accesați meniul de pornire (tasta ESC) și faceți setările necesare în secțiunea „Opțiuni dispozitiv de pornire” (tasta F9).
Samsung
1. Pentru a accesa shell-ul UEFI-BIOS, apăsați tasta „F2” în timpul pornirii laptopului.
2. Accesați panoul „Boot”, plasați cursorul în linia „Secure Boot”.
3. În submeniu, modificați parametrul acestuia la „Dezactivat”.
4. În mesajul de avertizare, selectați OK (confirmați modificarea).
5. După dezactivarea protecției, elementul „OS Mode Selection” va apărea în aceeași listă. Setați-l la CMS OS (sau UEFI și Legacy OS).
6. Salvați modificările setărilor (F10).
7. Reporniți laptopul și mergeți din nou la UEFI-BIOS.
8. Accesați: Securitate → Setați parola supervizorului. Apăsați „Enter”, introduceți parola setată anterior. În câmpurile următoare, apăsați „Enter” fără a introduce date.
În mesajul „Modificări... salvate”, utilizați din nou tasta Enter. Acum parola a fost resetată și a apărut accesul pentru a activa/dezactiva protecția Secure Boot.
Lenovo
- Accesați consola UEFI folosind tasta F2 sau combinația Fn + F2 (în funcție de model).
- Deschideți: secțiunea „Securitate” → opțiunea „Pornire securizată”. În coloana sa, setați valoarea la „Dezactivat”.
- Salvați valoarea opțiunii (apăsați F10).
Dell
La laptopurile Dell echipate cu shell InsydeH2O, dezactivarea protecției se realizează după cum urmează:
- Se deschide meniul: fila Boot → subsecțiunea UEFI Boot.
- Linia „Secure Boot” este setată la „Enabled”.
- Setările sunt salvate, laptopul este repornit.
Rezultat
După cum puteți vedea, principiul dezactivării protecției Secure Boot pe diferite modele este aproape același, cu excepția doar a câtorva nuanțe legate de locația meniului și de suplimente suplimentare. Chiar dacă modelul de computer sau laptop nu este în această recenzie, utilizați algoritmul de bază pentru a dezactiva opțiunea de încărcare de protecție. Și anume: intrarea în shell-ul UEFI → dezactivarea Secure Boot (+ activarea compatibilității cu alte sisteme de operare pe unele computere) → salvarea configurației shell-ului creată → repornirea sistemului.
Configurare de succes și rapidă a computerului pentru tine! Fiți extrem de atenți când modificați valoarea opțiunilor din consola UEFI.
Mi-am cumpărat un laptop Asus, am vrut să pornesc de pe discul de boot pentru a reinstala Windows 8, pe Windows 7, nu pot porni de pe disc, ce ar trebui să fac?
Trebuie să dezactivați așa-numitul mod -Încărcare sigură
Găsim doar imaginea cu BIOS-ul nostru și vedem cum UEFI este dezactivat în ea.
Încărcare sigură este o caracteristică de protecție creată în 2012 de Microsoft, care are ca rezultat faptul că nu poate fi livrată cu prioritate de boot BIOS pe CD/DVD, ceea ce înseamnă că nu puteți porni discul și nu puteți pune prioritate de pornire pe USB, indiferent dacă este vorba de o unitate flash USB sau un hard disk extern . Acces i.e. complet închis, dar puteți dezactiva această protecție oferită.
În funcție de metodă, dezactivarea producătorilor poate diferi de cele descrise aici, dar, în general, esența rămâne aceeași. Principalul lucru de înțeles este că scopul Secure Boot este cheile oficiale, pe care utilizatorul trebuie să le achiziționeze pe cheltuiala sa. Iată cele mai comune 3 BIOS-uri (și instrucțiuni despre cum să dezactivezi UEFI):
În versiunile mai vechi de BIOS, a fost destul de ușor să dezactivați Secure Boot:
În versiunile mai noi de BIOS, este mult mai dificil să dezactivați Secure Boot. Ne găsim doar imaginea (sau imaginile) și ne uităm la ele cum este dezactivată aceeași pornire sigură.
a 2-a varianta:
Selectați Security Boot Parameters
Pentru tipul de sistem de operare, selectați Windows 8 UEFI. (Chiar dacă doriți să instalați un sistem de operare diferit)
Faceți clic pe Gestionare chei
Cheia implicită de aprovizionare este selectați Dezactivare.
Apoi, faceți clic pe Secure Key Download pentru a șterge toate cheile vechi.
Apoi introduceți un disc de pornire sau o unitate flash
A treia varianta:
Apare fereastra roșie, apăsați F10 (Ascept)
Apoi începe de jos:
Cheia de proprietate selectează personalizat
Asistență existentă Selectați Activat
după aceea, vedeți ordinea de pornire (dacă este necesar, dezactivați sursele de boot UEFI ale sistemului de operare apăsând F5) și salvați setările
O mica explicatie:
1) Eliminarea Windows 8 de pe hard disk nu afectează boot-ul securizat, deoarece această caracteristică este încorporată în BIOS, precum și în BIOS-ul de pe placa de bază. Astfel, chiar dacă ești la linia de comandă a comenzii prin DiskPart, lista de discuri și este clar, șterge toate partițiile, apoi în final, la pornire, vezi doar acest mesaj aici:
2) Asigurați-vă că comutați la tastele de control ca de obicei, altfel veți vedea un mesaj de genul (apăsarea combinației 2948 + Enter enumerate nu vă va ajuta ca răspuns la reacția pe care nu o veți vedea):
Astăzi vom vorbi despre ce este Secure Boot. Cum să dezactivați acest element și de ce este necesar, vom lua în considerare în continuare. Vorbim despre software-ul de configurare hardware, care este folosit astăzi în locul BIOS-ului pe diferite plăci de bază.
Informatii generale
Am definit deja ce este Secure Boot. Cum să dezactivați acest element este o întrebare care devine deosebit de relevantă dacă funcția interferează cu pornirea de pe o unitate flash sau un disc în timpul instalării Windows sau a altui sistem de operare. Există alte câteva situații în care dezactivarea poate fi necesară, dar acestea sunt mai puțin frecvente. Un caz foarte frecvent este atunci când pe desktopul principal apare un mesaj care indică faptul că Secure Boot nu este configurat corect. De asemenea, vă vom spune cum să dezactivați această notificare. În multe privințe, procedura de dezactivare depinde de interfața UEFI. Prin urmare, recomandările pentru mai multe opțiuni vor fi descrise mai jos.
Parametrii
În primul rând, să trecem la setările UEFI. Cu alte cuvinte, intrăm în BIOS-ul computerului. Pentru aceasta, există următorul mod:
- Dacă computerul are instalat Windows 8 sau 8.1, accesați panoul din dreapta și selectați „Setări”.
- În continuare, așteptăm să se deschidă următorul meniu și mergem la fila „Modificați setările”.
- Folosim funcția „Actualizare și restaurare”.
- Așteptăm lansarea acestui instrument și selectați „Recuperare”.
- Faceți clic pe butonul „Reîncărcare”.
- Apoi mergem la „Opțiuni avansate”, apoi la „Setări software UEFI”.
- Computerul va reporni și va afișa setările necesare.
Șterge
Continuăm să discutăm despre caracteristica Secure Boot. Cum să-l dezactivați, puteți înțelege numai după ce ați intrat în BIOS. Prima opțiune pentru lansarea acestui element a fost descrisă mai sus. Dar același rezultat poate fi obținut în alt mod. În timp ce porniți computerul desktop, apăsați pe Ștergere. Pentru a rezolva întrebarea cum să dezactivați Secure Boot pe un laptop Lenovo, este posibil să aveți nevoie de o altă cheie: cel mai adesea F2. Să acordăm atenție ecranului inițial când îl porniți. Indică adesea butonul de care avem nevoie.
Exemplu de dezactivare
În continuare, vom arunca o privire detaliată asupra modului de a dezactiva Secure Boot pe un laptop Asus. Acest manual poate fi considerat universal, deoarece este potrivit pentru majoritatea celorlalte plăci de bază care acceptă funcția care ne interesează.
Pentru a porni un computer personal de pe o unitate flash USB, va trebui, de asemenea, să activați descărcarea CSM și versiunea anterioară a includerii. Pe majoritatea computerelor și laptopurilor, opțiunile descrise pentru găsirea funcției necesare funcționează. Anumite detalii se pot schimba, dar algoritmul conturat rămâne constant. De exemplu, pe unele modele de laptopuri HP, trebuie să mergeți la secțiunea Configurare sistem. Apoi, selectați Opțiuni de pornire. În meniul care apare, găsiți Secure Boot.
Ar trebui spus pe scurt și despre laptopurile Acer. În acestea, funcția care ne interesează este dezactivată prin secțiunea Autentificare. Este posibil ca, pentru a obține rezultatul, va trebui să mergeți la Avansat și apoi să deschideți Configurarea sistemului.
Astăzi vom vorbi despre ce este Secure Boot. Majoritatea utilizatorilor care folosesc computere moderne nu se gândesc la protejarea acestuia. Acum există o mulțime de programe rău intenționate care se străduiesc să dezactiveze unele componente ale sistemului sau computerului. De îndată ce pornesc componentele principale ale sistemului, virușii încep să-și vâneze faptele rele. De exemplu, așa-numitele bootkit-uri sunt viruși destul de periculoși - malware care schimbă sectorul de boot de pe hard disk. Cel mai interesant lucru este că nu este întotdeauna posibil să detectezi pur și simplu un bootkit folosind un software antivirus standard.
Totuși, există protecție împotriva bootkit-urilor. Există o tehnologie care este inclusă în specificația UEFI 2.2 BIOS numită Secure Boot care protejează computerul de diferite programe malware. Principiul acestei funcții este că, dacă software-ul necertificat încearcă să pornească, atunci îl blochează. De exemplu, un program sau chiar un sistem de operare începe să se încarce, apoi Secure Boot examinează codul de pornire și îl verifică cu cheile care sunt încorporate în BIOS, dacă, prin urmare, la verificarea codului, verificarea semnăturii eșuează, atunci programul este blocat de la încărcare.
Apariția tehnologiei Secure Boot a contribuit la o discuție aprinsă și la multe controverse. De exemplu, introducerea acestei tehnologii în Windows 8 în 2012. S-a vorbit că cu Secure Boot nu s-ar putea instala un alt sistem de operare decât cel care este deja preinstalat. Dar aceasta nu este o problemă, deoarece majoritatea dispozitivelor, cum ar fi computerele și laptopurile, au capacitatea de a dezactiva Secure Boot, acest lucru este făcut. Dezactivarea Secure Boot nu va funcționa numai pe tablete sau alte dispozitive cu arhitectură ARM.
Vă aduc în atenție o recuperare de hard disk de înaltă calitate la Moscova, compania care furnizează aceste servicii își face treaba cu brio.
Să ne uităm acum la problema dezactivării Secure Boot
Secure Boot cum se dezactivează
În funcție de modelul de laptop sau placă de bază pe care îl aveți, Secure Boot poate fi găsit oriunde. Cel mai adesea, poate fi localizat în filă Boot sau filă Securitate. Există o opțiune că este situat pe următoarea cale: Boot Atunci Încărcare sigură Mai departe Tip OSși alegeți Alt sistem de operare. Dacă aveți un laptop de la HP, atunci această opțiune este activată Configuratia sistemuluiși paragraful Opțiuni de pornire. Setări laptop-uri Dell Opțiuni de pornire găsit în tab Bootși UEFI Boot.
Dacă aveți un laptop de la Lenovo sau Toshiba, atunci în BIOS trebuie să mergeți la secțiune Securitate. La laptopurile Samsung, lucrurile sunt puțin mai complicate, în primul rând, Secure Boot se află în secțiune Boot, de îndată ce încercați să dezactivați funcția, va fi afișat un avertisment că pot apărea erori la pornirea computerului, atunci trebuie să selectați opțiunea Selectarea modului OSși comutați la Sistemul de operare CMS, sau în modul UEFI și sistemul de operare Legacy. Dacă ați reușit să dezactivați această funcție, acum trebuie să activați modul de compatibilitate Moştenire, acest lucru se face pe orice dispozitiv.
Pentru a vă asigura că Secure Boot este dezactivată, puteți accesa instrumentele standard "Informatii despre sistem", deja acolo mergi la secțiune „Stare de pornire securizată”, ar trebui să fie pe poziție "OFF".
Pentru a introduce informațiile despre sistem, deschideți fereastra de rulare folosind tastele Win + R și introduceți fraza msinfo32. Asta e tot, acum ați dezactivat Secure Boot.
UEFI (Unified Extensible Firmware Interface) este un înlocuitor pentru BIOS-ul învechit. Această specificație a fost inventată de Intel pentru Itanium, apoi a fost numită și EFI (Extensible Firmware Interface), iar apoi a fost portată pe x86, x64 și ARM. Este izbitor de diferit de BIOS atât în procedura de pornire în sine, cât și în modul în care interacționează cu sistemul de operare. Dacă ați cumpărat un computer în 2010 sau mai târziu, atunci cel mai probabil aveți UEFI.Principalele diferențe dintre UEFI și BIOS:
- Suport GPT (tabel de partiții GUID).
- Asistență de service
- Arhitectură modulară
UEFI acceptă, de asemenea, rețea, așa că dacă găsiți un driver UEFI pentru placa dvs. de rețea sau dacă este activat de producătorul plăcii de bază, puteți da ping la 8.8.8.8 de la Shell.
În general, specificația UEFI prevede interacțiunea driverelor UEFI din sistemul de operare, de exemplu. dacă sistemul de operare nu are un driver pentru o placă de rețea și este încărcat în UEFI, atunci sistemul de operare va putea folosi placa de rețea prin UEFI, dar nu am văzut astfel de implementări.
- Manager de descărcare încorporat
Cum funcționează încărcarea UEFI?
Din partiția GPT cu identificatorul EF00 și sistemul de fișiere FAT32, fișierul \ efi \ boot \ boot [numele arhitecturii] .efi este încărcat și lansat implicit, de exemplu \ efi \ boot \ bootx64.efiAcestea. de exemplu, pentru a crea o unitate flash USB bootabilă cu Windows, trebuie doar să partiționați unitatea flash USB în GPT, să creați o partiție FAT32 pe ea și să copiați pur și simplu toate fișierele din imaginea ISO. Nu mai există sectoare de boot, uită de ele.
Pornirea în UEFI este mult mai rapidă, de exemplu, pornirea laptopului meu ArchLinux de la apăsarea butonului de pornire până la funcționarea completă durează doar 30 de secunde. Din câte știu, Windows 8 are și optimizări foarte bune ale vitezei de pornire în modul UEFI.
Încărcare sigură
Am văzut o mulțime de întrebări pe internet, cum ar fi:„Am auzit că Microsoft implementează Secure Boot în Windows 8. Această tehnologie împiedică executarea de coduri neautorizate, cum ar fi bootloader-urile, pentru a proteja utilizatorul de malware. Și există o campanie de la Free Software Foundation împotriva Secure Boot și mulți oameni au fost împotriva ei. Dacă cumpăr un computer cu Windows 8, pot instala Linux sau alt sistem de operare? Sau această tehnologie vă permite doar să rulați Windows?”
Pentru început, această tehnologie nu a fost inventată de Microsoft, dar este inclusă în specificația UEFI 2.2. Dacă ai activat Secure Boot, nu înseamnă că nu poți rula un sistem de operare care nu este Windows. De fapt, computerele și laptopurile certificate Windows 8 sunt obligați să poată dezactiva Secure Boot și să poată gestiona cheile, astfel încât să nu ai de ce să-ți faci griji. Pornirea securizată neamovibilă este disponibilă numai pe Tablete ARM cu Windows preinstalat!
Ce face Secure Boot? Protejează împotriva execuției codului nesemnat nu numai în etapa de pornire, ci și în etapa de execuție a sistemului de operare, de exemplu, atât în Windows, cât și în Linux, sunt verificate semnăturile driverelor/modulelor kernel, astfel, codul rău intenționat nu poate fi executat în modul kernel. Dar acest lucru este adevărat numai dacă nu există acces fizic la computer, deoarece, în majoritatea cazurilor, cu acces fizic, cheile pot fi înlocuite cu ale tale.
Secure Boot are 2 moduri: Setup și User. Pentru configurare se folosește primul mod, din care puteți înlocui PK (Platform Key, implicit de la OEM), KEK (Key Exchange Keys), db (baza cheilor permise) și dbx (baza cheilor revocate). KEK poate să nu fie și totul poate fi semnat PK, dar nimeni nu face asta, un fel. PK este cheia principală cu care este semnat KEK-ul, la rândul lor, cheile din KEK (pot fi mai multe dintre ele) sunt semnate prin db și dbx. Pentru a putea rula un fișier ..efi semnat din modul Utilizator, acesta trebuie să fie semnat cu o cheie care este în db, și nu în dbx.
Există 2 încărcătoare de pre-boot pentru Linux care acceptă Secure Boot: Shim și PRELoader. Sunt similare, dar există ușoare nuanțe.
Există 3 tipuri de chei în Shim: chei Secure Boot (cele care se găsesc în UEFI), chei Shim (pe care le puteți genera și specifica în timpul compilării) și MOK-uri (Machine Owner Key, stocate în NVRAM). Shim nu folosește mecanismul de boot UEFI, așa că un bootloader care nu suportă Shim și nu știe nimic despre MOK nu va putea executa codul (astfel, bootloader-ul gummiboot nu va funcționa). În schimb, PRELoader își construiește mecanismele de autentificare în UEFI și nu există probleme.
Shim depinde de MOK, adică binarele trebuie modificate (semnate) înainte de a fi executate. PRELoader, în schimb, „îți amintește” de binarele corecte, tu îi spui dacă ai încredere în ele sau nu.
Ambele încărcătoare de pre-boot sunt compilate cu o semnătură Microsoft validă, deci nu este necesară schimbarea cheilor UEFI.
Secure Boot este conceput pentru a proteja împotriva bootkit-urilor, împotriva atacurilor precum Evil Maid și, în opinia mea, o face eficient.
Vă mulțumim pentru atenție!
