Secure Boot – что это за утилита и как её отключить

Secure Boot (с англ.  —  «безопасная загрузка») — протокол, являющийся частью спецификации UEFI[1]. Не является обязательным для реализации производителями. Заключается в проверке подписи выполняемых UEFI образов, используя асимметричную криптографию, относительно ключей, хранящихся в ключевом хранилище системы.

Описание

Аутентифицированные переменные

Аутентифицированные переменные (Authenticated Variable) — переменные, для изменения которых требуется аутентификация. Secure Boot подразумевает хранение публичных ключей, подписей и хешей приложений в аутентифицированных переменных, хранящихся в энергонезависимой памяти. Такие переменные могут быть перезаписаны двумя способами[5][6][7]:

  • Новые значения должны быть подписаны известным ключом;
  • Если система находится в режиме настройки или аудита, тогда в эти переменные можно записывать неподписанные значения.

Используемые переменные

  • Platform Key (PK) — публичный ключ владельца платформы. Подписи соответствующим приватным ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления.[8]
  • Key Exchange Key (KEK) — публичные ключи операционных систем. Подписи соответствующими приватными ключами необходимы для изменения баз данных подписей (db, dbx, описаны далее). Хранилище KEK должно быть защищено от вмешательства.[8]
  • Базы данных подписей (db, dbx) — Базы данных подписей и хешей доверенных приложений (db) и недоверенных приложений (dbx).

Режимы работы Setup Mode (режим настройки)

Переход в этот режим возможен из пользовательского режима очисткой PK.

В этом режиме не требуется аутентификация для записи PK, KEK, db, dbx.

Запись PK переводит систему в пользовательский режим. Запись единицы в специальную переменную AuditMode (доступна для записи только в режиме настройки и пользовательском режиме) переводит систему в режим аудита.

Audit Mode (режим аудита)

Переход в этот режим возможен из режима настройки или пользовательского режима записью единицы в переменную AuditMode. При смене режима на режим аудита очищается PK.

В этом режиме не требуется аутентификация для записи PK, KEK, db, dbx. В режиме аудита могут быть запущены не прошедшие проверку образы, а информация о всех этапах валидации образов будет записана в специальную таблицу, доступную из операционной системы, что позволяет тестировать комбинации сохраненных ключей и подписей, не опасаясь потери работоспособности системы[9].

Запись PK переводит систему в развернутый режим.

User Mode (пользовательский режим)

Переход в этот режим возможен из режима настройки записью PK, или из развёрнутого режима платформозависимым методом (не оговаривается в спецификации).

В этом режиме требуется аутентификация для изменения ключевых хранилищ, а также выполняется валидация запускаемых образов.

Удаление PK переводит систему в режим настройки. Запись единицы в переменную AuditMode переводит систему в режим аудита. Запись единицы в переменную DeployedMode (доступную для записи только в пользовательском режиме) переводит систему в развёрнутый режим.

Deployed Mode (развёрнутый режим)

Переход в этот режим возможен из режима аудита записью PK, или из пользовательского режима записью единицы в переменную DeployedMode.

Самый безопасный режим[9]. Отличается от пользовательского режима переводом всех переменных режима (AuditMode, DeployedMode, SetupMode) в режим только для чтения.

Переход в другие режимы (пользовательский или режим настройки) возможен только через платформозависимые методы или аутентифицированную очистку PK[9].

Процесс авторизации

Перед запуском неизвестного UEFI-образа он должен пройти процесс авторизации.

  1. Сброс. На этом этапе происходит инициализация платформы при загрузке.
  2. Инициализация хранилища ключей.
  3. Валидация UEFI-образа. Для успешной авторизации подпись или хеш образа должны содержаться в db, и не должны присутствовать в dbx.
  4. Если UEFI-образ не прошёл валидацию, прошивка может использовать другие методы валидации (например, спросить у авторизованного пользователя — владельца приватного ключа, соответствующий которому публичный ключ находится в KEK). Результатом на этом этапе может являтся разрешение (шаг 8), отказ (шаг 6) или отсрочка.
  5. В случае отсрочки информация о подписи добавляется в специальную таблицу, доступную из операционной системы.
  6. В случае отказа или отсрочки производится попытка выполнения следующего варианта загрузки (шаг 3).
  7. В случае разрешения подпись образа сохраняется в базу данных подписей.
  8. Запуск образа.
Читайте также:  Как в Windows 8 сделать восстановление к заводским настройкам

Обновление базы данных доверенных приложений также доступно из операционной системы.[10]

Почему возникает ошибка Secure Boot Violation

Причин, из-за которых пользователь при загрузке компьютера может увидеть рассматриваемую ошибку, довольно много, и однозначно сложно определить, с чем связана проблема. Приведем наиболее распространенные ситуации, когда возникает ошибка Secure Boot Violation:

  • После установки на компьютер второй операционной системы;
  • После обновления Windows;
  • После переустановки Windows (особенно версий 10 и 8.1) без форматирования жесткого диска;
  • После отключения в операционной системе проверки цифровой подписи драйвера;
Почему возникает ошибка Secure Boot Violation

Также ошибка Secure Boot Violation может возникнуть на компьютере из-за действий вирусов или антивирусов.

Важно: В некоторых ситуациях проблема Secure Boot Violation проявляет себя, когда пользователь загружает компьютер, заранее подключив к нему внешний накопитель – флешку или жесткий диск. В такой ситуации она связана с настройками BIOS, в которых необходимо поменять приоритет загрузки устройств, установив на первое место системный жесткий диск. Если это не помогло, просто отключите внешний накопитель и попробуйте загрузить систему.

Когда нужно включать Launch csm?

Когда вы собираетесь переустанавливать Windows данную опцию лучше активировать, ведь она в большинстве случаев по умолчанию отключена. Иначе не исключено, что вы попросту не загрузитесь со своего загрузочного носителя или он будет отсутствовать в списке загрузочных устройств.

launch csm в отключенном состоянии

Функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы могут выполняться в процессе загрузки Windows. Неподписанный код и код без надлежащих сертификатов безопасности (руткиты, буткиты) блокируется UEFI (однако и эту систему защиту можно обойти, вспомните червя Flame, подписанного фальшивым сертификатом Microsoft ). В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы.

Когда нужно включать Launch csm?

Совет. Что делать, если на после обновления до Windows 8.1, на рабочем столе в правом нижнем углу надпись появилась надпись « ?

Стоит однозначно понимать, что для использования технологии защищенной загрузки вместо BIOS на ПК должна использоваться система UEFI (что это такое описано в статье ). Кроме того, прошивка материнской платы должна поддерживать спецификацию UEFI v2.3.1 и иметь в своей базе сигнатур UEFI сертификат центра сертификации Microsoft Windows (или сертификаты OEM-дилеров аппаратного обеспечения, заверенные Microsoft). Все новые компьютеры с предустановленной Windows 8 (64 битными версиями), получившие наклейку «Windows 8 ready », по требованию Microsoft, обязательно требуют активной Secure Boot. Также отметим, что Windows 8 для ARM (Windows RT) нельзя установить на оборудование, не поддерживающее UEFI или позволяющее отключить Secure работы secure boot или ELAM модуль TPM (trusted platform module) не требуется !

Другой компонент защищенной загрузки Windows 8 — ELAM (Early-launch Anti-Malware — технологией раннего запуска защиты от вредоносного ПО), обеспечивает антивирусную защиту ещё до завершения загрузки компьютера. Тем самым сертифицированный антивирус (имеются в виду продукты различных вендоров, а не только Microsoft) начинает работать еще до того, как вредоносное ПО получит шанс запуститься и скрыть свое присутствие.

Как отключить Secure Boot

Примечание: если вы попали на эту инструкцию с целью исправить ошибку Secure Boot настроена неправильно, то рекомендую сначала ознакомиться с этой информацией.

Шаг 1 — зайдите в настройки UEFI

Для того, чтобы отключить Secure Boot прежде всего потребуется зайти в настройки UEFI (зайти в БИОС) вашего компьютера. Для этого предусмотрено два основных способа.

Способ 1. Если на вашем компьютере установлена ОС Windows 8 или 8.1, то вы можете зайти в правой панели в Параметры — Изменение параметров компьютера — Обновление и восстановление — Восстановление и нажать кнопку «Перезагрузить» в особых вариантах загрузки. После этого, выбрать дополнительные параметры — Настройки ПО UEFI, компьютер перезагрузится сразу в необходимые настройки. Подробнее: Как зайти в БИОС в Windows 8 и 8.1, Способы зайти в БИОС в Windows 10.

Способ 2. При включении компьютера нажать Delete (для настольных компьютеров) или F2 (для ноутбуков, бывает — Fn+F2). Я указал обычно используемые варианты клавиш, однако для некоторых материнских плат они могут отличаться, как правило эти клавиши указаны на начальном экране при включении.

Читайте также:  Ошибка [отказано в доступе write to disk] в uTorrent

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем БИОСе найдется аналогичный пункт для отключения Secure Boot.

Материнские платы и ноутбуки Asus

На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.

Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP

Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.

В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.

Ноутбуки Lenovo и Toshiba

Как отключить Secure Boot

Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).

После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).

На ноутбуках Dell

На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).

Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.

Отключение Secure Boot на Acer

Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).

Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.

Gigabyte

На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).

Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).

Еще варианты отключения

На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.

Как отключить Secure Boot

Как отключить Secure Boot на ноутбуке Toshiba. Утилита InsydeH20 setup utility

Как отключить Secure Boot

опять же с помощью стрелок выбираем Disabled (отключено)

Как отключить Secure Boot

и жмём Enter. Такими нехитрыми действиями мы смогли отключить Secure Boot в БИОСе UEFI.

Как отключить Secure Boot

Но это ещё не всё, теперь нам нужно включить режим «режим совместимости с другими операционными системами. Идём в раздел „Advanced” находим опцию “System configuration”

Как отключить Secure Boot

и заходим в неё, здесь выбираем опцию “Boot Mode” или “OS Mode Selection”, и ставим её вместо положения UEFI OS (может быть UEFI BOOT) в положение “CSM Boot” или «UEFI and Legacy OS», «CMS OS»

Как отключить Secure Boot

Чтобы наши изменения вступили в силу сохраняем наши изменения в БИОС, нажимаем F10,

Как отключить Secure Boot

затем соглашаемся Yes и жмём Enter

Как отключить Secure Boot

Как отключить опцию Secure Boot на ноутбуке HP

Как отключить Secure Boot

Видим наш параметр безопасной загрузки Secure Boot, выставляем его в положение Disabled (отключено), а опцию «режима совместимости с другими операционными системами» «Legacy support» переводим в положение «Enabled»,

Как отключить Secure Boot

на предупреждение отвечаем Yes.

Как отключить Secure Boot

Сохраняем настройки, жмём F-10, выбираем Yes и Enter, ноутбук перезагружаемся, после перезагрузки выходит вот такое окно с предупреждением «A change to the operating system secure boot mode is peding…» По «англицки» на предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код конечно будет другой) и нажать Enter, после этого изменения в настройках БИОСа UEFI будут сохранены и ноутбук перезагрузится.

Как отключить Secure Boot

Как отключить опцию Secure Boot на ноутбуке Samsung. Aptio Setup Utility

Как отключить Secure Boot

с помощью стрелок на клавиатуре выделяем её и ставим в «Disabled», нажимаем «Enter»

Как отключить Secure Boot

на предупреждение о том, что компьютер может загрузиться с ошибкой жмём Enter.

Как отключить Secure Boot

В этом же разделе ниже появляется параметр «OS Mode Selection», выделяем его и жмём «Enter»

Как отключить Secure Boot

выставляем в положение «CMS OS» или «UEFI and Legacy OS» и нажимаем «Enter».

Как отключить Secure Boot

Как отключить Secure Boot на ноутбуке Acer Aspire

Как отключить Secure Boot

Как отключить опцию Secure Boot на ноутбуке Packard Bell

Как отключить Secure Boot

Жмём при загрузке клавишу F2, реже F6 и попадаем в БИОС UEFI ноутбука,

Как отключить Secure Boot

здесь идём во вкладку Boot.

Как отключить Secure Boot

Если до включения ноутбука Вы подключили к нему флешку, то она может не определиться сразу в этом меню.

Как отключить Secure Boot

Выставляем опцию Boot Mode в положение Legacy BIOS.

Как отключить Secure Boot

А опцию Secure Boot выставляем в положение Disabled.

Как отключить Secure Boot

Далее жмём клавишу F10, этим мы сохраняем настройки внесённые нами в БИОС ноутбука Packard Bell, затем перезагружаемся, жмём при загрузке клавишу F2 и входим опять в БИОС.

Как отключить Secure Boot

Как отключить Secure Boot на стационарном компьютере

Как отключить Secure Boot

жмём Enter и входим в неё, опять жмём Enter и выбираем Other OS (другая операционная система),

Как отключить Secure Boot

теперь выходим отсюда и выбираем CSM (Compatibility Support Module),

Как отключить Secure Boot

ставим опцию Запуск CSM в Enabled.

Читайте также:  Ошибка [отказано в доступе write to disk] в uTorrent

В открывшихся дополнительных опциях выбираем Параметры загрузочных устройств и выставляем Только Legacy OpROM или UEFI и Legacy OpROM.

Далее опцию Параметры устройств хранения, выставляем в положение Сначала Legacy OpROM или Both, Legacy OpROM first.

Материнская плата MSI. Подраздел “Boot mode select”.

Примечание: На многих ноутбуках невозможно отключить опцию Secure Boot, так как она неактивна, в этом случае может помочь прошивка БИОСа ноутбука последним обновлением.

Решение проблем с Secure Boot

При работе с безопасной загрузкой есть несколько нюансов.

  1. В BIOS необходимо включить настройки UEFI – режим Legacy Boot Mode отключен.
  2. Для UEFI накопитель должен иметь разметку GPT, MBR используется старыми версиями BIOS.

Для проверки формата таблицы размещения данных:

Откройте Диспетчер задач через Win + X

Разверните ветку Дисковые устройства и откройте Свойства жесткого диска.

Во вкладке Том щелкните по кнопке Заполнить и обратите внимание на строчку Стиль разделов.

Чтобы поменять MBR на GPT, необходимо скопировать все данные на другой накопитель, отформатировать текущий в GPT и сбросить файлы обратно.

Некоторые менеджеры прошивок поддерживают сброс ключей до заводских. Опция находится преимущественно в том же разделе BIOS Setup, что и Secure Boot. Если ваша UEFI такую возможность поддерживает, восстановите ключи и перезагрузите компьютер с сохранением новой конфигурации.

Как узнать активирована ли функция Secure Boot на Windows?

Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:

  1. При помощи сведений о системе. Запустите утилиту «Выполнить». Для этого необходимо зажать комбинацию клавиш Win+R, в появившейся строке ввести msinfo32 и нажать на Enter. Возникнет новое окно. Убедитесь, что в его левой панели выбрана строчка «Сведения о системе». В правой панели ищите строку «Состояние безопасной загрузки», у которой есть только 2 значения «Включить» и «Отключить».
  2. При помощи PowerShell. В утилите «Выполнить» запустите команду powershell. Откроется новое окно, в которое скопируйте следующее: Confirm-SecureBootUEFI. Если на этот запрос выдаст ответ «True», то значит опция активна, а если «False», то деактивированна. Если же появится уведомление иного характера, то значит материнка не поддерживает функцию Secure Boot.
  3. Эмпирическим путем. Создайте загрузочную флешку с Windows и попробуйте загрузиться с нее после перезагрузки компьютера. Если все получается успешно, то значит опция выключена, при иных обстоятельствах будет отображаться соответствующее сообщение о невозможности загрузки по соображениям безопасности.

Как отключить Secure Boot и UEFI на ноутбуке HP

Иногда бывает все не столь очевидно. Например, на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно произвести еще несколько дополнительных операций.

Нажимаем при загрузке ноутбука клавишу F10 (возможно ESC, затем F10) и входим в UEFI-BIOS. Заходим в раздел «System Configuration», находим подраздел «Boot Options» и заходим в него.

Находим параметр «Secure Boot» и переключаем его в положение «Disabled» (Выключено). А параметр режима совместимости с другими операционными системами «Legacy support», напротив, переключаем в положение «Enabled» (Включено).

На предупреждение отвечаем согласием «Yes».

При включении ноутбука HP нажмите клавишу ESC и попадете в стартовое меню. В нем выбираем «F9 Boot Device Options» и, зайдя в меню загрузки, выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с дистрибутивом операционной системы.