Как найти в bios secure boot

Компьютерные вирусы стали неотъемлемой частью нашей жизни. О них слышали даже те люди, которые сроду не пользовались компьютерами. Для улучшение защиты от зловредного ПО и был внедрен протокол Secure Boot. О том, с чем его едят и как его отключать будет подробно описано в статье.

Secure Boot – одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.

Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:

• программные компоненты (драйвера, загрузчики ОС) имеют специальные ЭЦП, также они есть и в прошивке материнки, но характеристики этих ЭЦП отличается;
• при использовании ресурсов компьютера компоненты должны доказать при помощи ЭЦП, что они не вирусы;
• ключевой фактор безопасности – закрытый ключ, который в идеале должен быть уникальным у каждого ПК.

Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.

В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:

1. Если не устанавливается или не загружается ОС.
2. При невозможности загрузиться с загрузочной флешки.

Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.

Как отключить защиту Secure Boot в БИОСе?

Отметим, что некоторые пользователи ошибочно думают, что протокол Secure Boot отключается в BIOS. У этой достаточно примитивной прошивки нет, не было, и не может быть поддержки СекюрБут. Этот протокол безопасности работает исключительно на UEFI и отключение нужно производить именно там. Природа этой ошибки вполне простая. За многие годы пользователи привыкли, что все, что возникает на экране до загрузки ОС это и есть БИОС. В действительности времена этой программной надстройки уходят и она уже является устарелой в любом отношении.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Общий алгоритм всегда один и тот же:

1. Вход в UEFI.
2. Поиск нужной опции.
3. Отключение SecureBoot.
4. Запись изменений.

Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо. Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?

Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:

• заходите в BIOS-UEFI нажатием на клавишу F2 или Delete;
• переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”;
• в специальном окошке 2 раза вводите пароль. Не изощряйтесь, используйте простую комбинацию;
• успешность будет подтверждена сообщением “Changes have been saved”;
• переходите во вкладку “Boot” и в строке “Boot Mode” указываете значение “Legacy”;
• жмете F10 и выполняете запись модификаций установок;
• при последующей перегрузке снова войдите в UEFI;
• переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”, вводите ранее указанный пароль;
• переходите во вкладку “Boot” и в строке “Secure Boot” указываете значение “Disabled”;
• снова сохраняете изменения.

Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?

1. Для входа в биос жмите на ESC или ESC => F10 перед запуском Windows.
2. Перейдите во вкладку “System Configuration”, а в ней отыщите строчку “Boot Options”.
3. Установите для критерия “Secure Boot” опцию “Disabled”, а для критерия “Legacy support” – “Enabled”.
4. Система спросит, действительно ли вы готовы изменить настройки – подтвердите это нажатием на “Yes”.
5. В конце нужно сохранить выполненные изменения нажатием на F10 и подтверждением “Yes”.

При последующей перезагрузке будьте внимательны. Система перестрахуется и включит “защиту от дурака”. Нужно смотреть на то, что идет после надписи “Operating System Boot Mode Change (021)” – там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения “защиты от дурака” жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.

На ноутбуках Dell

1. F12 сразу после включения компьютера и перед стартом ОС.
2. В верхней панели переходите во вкладку Boot и заходите в подраздел UEFI BOOT.
3. Устанавливаете для критерия “Secure Boot” опцию “Disabled”.
4. Сохраняете изменения (F10 => “Yes”) и перезагружаете ноутбук.

Secure Boot на ноутбуках Леново и Тошиба

Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:

• перейдите во вкладку “Security”;
• установите для критерия “Secure Boot” опцию “Disabled”;
• перейдите на вкладку “Advanced”, а в ней зайдите в меню “System Configuration”;
• установите для критерия “Boot Mode (OS Mode Selection)” опцию “CSM Boot (CMS OS), (UEFI and Legacy OS)”;
• сохраните все нажатием на F10 => “Yes”.

Отключения Secure Boot на материнских платах

Рынок материнских плат для настольных компьютеров достаточно консервативен и явными лидерами являются 2 компании: Asus и Gigabyte. Они поставляют более половины всего оборудования, так что рассматривать способы деактивации Secure Boot рациональней всего именно в разрезе этих производителей. В любом случае третье и четвертое место давно оккупировали MSI и ASRock, – первая четверка полностью состоит из компаний Тайваня. Итог: принципиальных различий в инструкции по отключению все равно не будет и большая часть пользователей найдет ниже именно то, что ищет.

Отметим, что перейти сразу в UEFI можно в некоторых случаях напрямую с Windows (от 8 версии и более поздних). Для этого пробуйте следующее:

• На рабочем столе справа вызовите выдвижную панель.
• После следуйте по пути:  “Параметры” => “Изменение параметров…” => “Обновление и…” => “Восстановление”;
• В возникшем окне найдите опцию перезагрузки системы и установите в этой строке значение “Настройки по UEFI” или “Параметры встроенного ПО UEFI”;
• После жмите на “Перезагрузить” и в дальнейшем должен автоматически запуститься UEFI.

Как отключить Secure Boot на материнской плате Gigabyte?

После входа в UEFI (нажатием на F12 перед запуском ОС) действуйте следующим образом:

• перейдите во вкладку “BIOS Features”;
• установите для критерия “Windows 8 Features” опцию “Other OS”;
• для критерия “Boot Mode Selection” — “Legacy only” или “UEFI and Legacy” (между ними нет особой разницы);
• для критерия “Other PCI Device ROM Priority” – “Legacy OpROM”.

После всего нужно выполнить запись изменений, то есть нажать F10 => “OK”.

Материнские платы и ноутбуки Асус

Сразу отметим, что чаще всего на материнках именно этого производителя появляется ошибка при загрузке ОС: Invalid signature detected. Check Secure Boot Policy in Setup. В большинстве случаев для устранения проблемы следует выключить Secure Boot, а для этого необходимо:

• зайти в UEFI – жмите перед загрузкой ОС на F2, Delete или комбинацию клавиш Fn+F2;
• на начальном экране жмите на F7 (Advanced Mode), а потом перейдите в меню “Boot” => “Secure Boot Menu”;
• укажите в строчке “Secure Boot State” значение “Enabled”, а в строчке “OS Type” – “Other OS”;
• вернитесь на один уровень назад в меню “Boot” => “Compatibility Support Module (CSM)”;
• установите в строчке “Launch CSM” значение “Enabled”, а в строчке “Boot Device Control” – “UEFI and Legacy …” либо “Legacy OpROM …”, а в строке “Boot From Storage Devices” – “Both Legacy opROM first”, либо “Legacy opROM first”;
• после этого жмите на F10 и сохраняйте все изменения, а после проверяйте корректность выполненных настроек.

Конкретно для ноутбуков Asus алгоритм будет следующим:

• зайдите в UEFI;
• перейдите во вкладку “Security”;
• отыщите строчку “Secure Boot Control”, укажите в ней значение “Disabled”;
• перейдите во вкладку “Boot”;
• отыщите строчку “Fast Boot”, установите в ней значение “Disabled”, а в строке “Launch CSM” значение “Enabled”.

Как узнать активирована ли функция Secure Boot на Windows?

Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:

1. При помощи сведений о системе. Запустите утилиту “Выполнить”. Для этого необходимо зажать комбинацию клавиш Win+R, в появившейся строке ввести msinfo32 и нажать на Enter. Возникнет новое окно. Убедитесь, что в его левой панели выбрана строчка “Сведения о системе”. В правой панели ищите строку “Состояние безопасной загрузки”, у которой есть только 2 значения “Включить” и “Отключить”.
2. При помощи PowerShell. В утилите “Выполнить” запустите команду powershell. Откроется новое окно, в которое скопируйте следующее: Confirm-SecureBootUEFI. Если на этот запрос выдаст ответ “True”, то значит опция активна, а если “False”, то деактивированна. Если же появится уведомление иного характера, то значит материнка не поддерживает функцию Secure Boot.
3. Эмпирическим путем. Создайте загрузочную флешку с Windows и попробуйте загрузиться с нее после перезагрузки компьютера. Если все получается успешно, то значит опция выключена, при иных обстоятельствах будет отображаться соответствующее сообщение о невозможности загрузки по соображениям безопасности.

Заключение

1. Secure Boot появился в компьютерном мире относительно недавно и этот протокол безопасности является составляющей UEFI – современным и актуальным видом прошивки материнских плат.
2. Протокол безопасности препятствует запуску вредоносного ПО на более низком уровне, чем это делают обычные антивирусы. Поэтому при правильной настройке эта технология может существенно повысить устойчивость ПК к вирусам.
3. Secure Boot стоит отключать по необходимости, если он препятствует старту системы с загрузочной флешки или при переустановке Windows. Просто для эксперимента технологию деактивировать не стоит.
4. Для любого компьютера схема деактивации одна и та же – за счет указания подходящего критерия в нужном меню UEFI. Главное – это найти правильный путь к такому меню. Даже при существенных сложностях это займет не больше 10 минут.

Что означает безопасная загрузка (Secure Boot)

Опубликовано 02.03.2022

Безопасная загрузка — что это и для чего нужна

Безопасная загрузка, или Secure Boot — это протокол в составе UEFI, который проверяет на запуске операционную систему и драйверы. При наличии либо отсутствии цифровой подписи у компонентов он разрешает или запрещает их дальнейшую работу. Главная задача Secure Boot состоит в том, чтобы защитить систему от проникновения вредоносного софта, который загружается вместе с ОС. Эти программы крайне опасны, т. к. проникают в компьютер до запуска антивируса, вследствие чего последний их не обнаруживает. К такому ПО относят вирусы-вымогатели, руткиты (предоставляют злоумышленникам удаленный доступ к ПК), майнеры и т. п. Еще одна задача Secure Boot — ограничение перечня систем, способных функционировать на конкретном компьютере.

Как узнать, активен ли Secure Boot

Для проверки активности безопасной загрузки на ПК применим стандартную утилиту Windows. Нажимаем win+r и набираем msinfo32, подтверждаем OK. В блоке «Сведения» смотрим:

• «Режим BIOS» — UEFI или Legacy («Устаревший»). 
• «Состояние безопасной загрузки» — «Вкл.», «Откл.» или «Не поддерживается».

Если безопасная загрузка активна, то будут прописаны значения UEFI и «Вкл.». Иначе мы увидим UEFI и «Откл.» и, при необходимости (например, для обновления операционной системы), пойдем включать протокол в BIOS. Есть и третья вариация — Legacy и «Не поддерживается». Эта картина наблюдается, если мы используем несовременное «железо» или UEFI функционирует в режиме совместимости, как эмулятор «БИОС». В последнем случае эмуляцию нужно деактивировать и включить безопасную загрузку в настройках.

ОС тормозит после активации Secure Boot

Если «Виндовс» 10 уже инсталлирована, и пользователь решил включить протокол безопасности, то ОС может затормозить при запуске и выдать сообщение об отсутствии загрузочного устройства. Причиной выступает использование на диске разметки MBR. Решение проблемы — конвертирование из MBR в GPT. Рассмотрим, как это сделать из рабочей операционной системы.

Нажимаем win+I, из открывшихся параметров выбираем «Обновление и …», переходим в блок «Восстановление» и в особых вариантах активируем немедленную перезагрузку. На экране появляется меню дополнительных действий. Выбираем «Поиск и устранение неисправностей», «Дополнительные параметры» и «Командная строка».

Далее действуем так (после набора каждой команды нажимаем Enter, чтобы запустить ее):

• Проверяем, возможно ли конвертировать диск — mbr2gpt /validate.
• Если система разрешает операцию, то выдает уведомление Validation completed successfully, и мы запускаем конвертирование — mbr2gpt /convert.
• В случае отказа мы видим сообщение Failed и пробуем действовать командой mbr2gpt /disk:0 /validate. На месте нуля ставим номер нашего диска. Чтобы его узнать, активируем специальную оснастку командой diskpart. Далее набираем list disk и запоминаем номер диска. Выходим обратно в консоль командой exit.
• Если на этот раз система разрешила конвертирование, запускаем операцию mbr2gpt /disk:0 /convert.
• В случае успеха операции мы видим уведомление Conversion completed successfully.

По окончании манипуляций открываем BIOS, отключаем эмуляцию старого «БИОС» и активируем Secure Boot.

Как включить безопасную загрузку

Secure Boot включают посредством стандартного функционала «Виндовс» либо через UEFI.

Стандартные возможности ОС

Для использования встроенных возможностей необходимо вначале убедиться, что ПК поддерживает безопасную загрузку. Если это так, то:

• Нажимаем win+I и перезагружаем компьютер так, как указано в предыдущем разделе. Но на этот раз в доппараметрах выбираем не командную строку, а «Параметры встроенного ПО UEFI».
• Перезагружаем ПК.
• Нажимаем «Ввод», выбрав Secure Boot Control.
• Указываем Enable и подтверждаем свой выбор.

Теперь выходим из настроек и подтверждаем произведенные манипуляции, чтобы компьютер перезагрузился.

Зачем и как деактивировать Secure Boot в UEFI

UEFI пришел на замену обычному BIOS не только для удобства. Одна из его основных целей состоит в обнаружении вредоносного софта и минимизации последствий его влияния. Технология запрещает вирусному ПО загружаться вместе с «Виндовс», и, как мы уже говорили в начале, роль защитника досталась Secure Boot. Со стороны разработчиков идея успешно реализована в виде криптографической модели с использованием ЭЦП, электронно-цифровых подписей. Практически же необходимы корректные действия юзеров и производителей.

К ключевым моментам действия протокола относятся:

• наличие ЭЦП у программных компонентов (загрузчиков системы, материнских плат, драйверов);
• предъявление данными компонентами своих ЭЦП компьютеру с целью доказать, что они не являются вирусными;
• наличие у каждого ПК оригинального закрытого ключа.

На сегодняшний день главная сложность использования Secure Boot состоит в применении производителями единых закрытых ключей для всех своих продуктов или линеек.

Обычно пользователи отключают Secure Boot, если невозможно инсталлировать или запустить ОС (в т. ч. с загрузочного съемного носителя). Многие юзеры полагают, что деактивация протокола повысит скорость ответа компонентов и работы процессора. Но безопасная загрузка не отбирает ресурсы системы, т. к. функционирует на низком программном уровне.

Как отключить Secure Boot:

• Входим в UEFI и нажимаем Advanced Mode в правом нижнем углу (или F7 на клавиатуре).
• Переходим в Boot и здесь активируем меню безопасной загрузки.
• В пункте «Состояние безопасной загрузки» будет указано значение «Включено».
• Выбираем «Управление ключами».
• Нажимаем «Очистить ключи …».
• Подтверждаем внесенные изменения, после чего открываем вкладку Exit и сохраняемся кликом по Save Changes & Reset.

Перезагружаем компьютер и продолжаем работать без режима безопасной загрузки.

Включить Secure Boot через UEFI

Чтобы включить протокол через UEFI, доходим до пункта «Управление ключами», как указано в предыдущем пункте, и выбираем «Установка ключей безопасной …». Подтверждаем действие кликом по Yes, затем точно так же сохраняемся. После перезагрузки протокол Secure Boot снова будет активен.

Что случится после отключения безопасной загрузки

При обычной работе за компьютером вы не поймете, функционирует ли Secure Boot на вашем ПК. Если протокол отключен, то машина не проверит цифровые подписи компонентов, но в этом есть и свои плюсы: вы сможете загрузить Windows со съемного носителя, установить несколько операционных систем, запустить предыдущие версии ОС и т. д.

Безопасная загрузка не поддерживается? Обновите оборудование, купив более современный ПК.

Заключение

Вы узнали, что означает безопасная загрузка (Secure Boot), а также, как и зачем запустить/ отключить этот протокол. Если вам нужна дополнительная консультация, необходимо настроить удаленный доступ к компьютеру или заменить термопасту на ПК или ноутбуке, обращайтесь к специалистам компании «АйТи Спектр». Мы окажем грамотную своевременную помощь и наладим любое компьютерное оборудование.

Программное обеспечение может быть очень разным, и требования к системе и железу оно может предъявлять разные. Например, может потребовать включить безопасную загрузку, или иначе Secure Boot – входящий в прошивку UEFI специальный протокол, предназначенный для проверки и анализа драйверов и самой ОС перед запуском. Secure Boot проверяет цифровую подпись компонентов и принимает решение о дальнейшем разрешении или запрете их запуска.

Таким образом, основной его целью является защита системы от вредоносного ПО, сумевшего проникнуть на компьютер в обход антивируса.

Проверить, включена ли на компьютере Secure Boot и поддерживается ли она вообще, можно в оснастке «Сведения о системе», вызываемой командой msinfo32. В корневом разделе найдите пункт «Состояние безопасной загрузки» и посмотрите, что там указано. Если защита активна, статус будет «Вкл», если неактивна – значение будет «Откл», если безопасная загрузка не поддерживается, в статусе так и будет указано – «Не поддерживается».

Включается и отключается Secure Boot традиционно в интерфейсе BIOS/UEFI, условием для активации этой функции защиты является включение на компьютере режима загрузки UEFI.

Если в BIOS нет опции включения Secure Boot

Если ваш компьютер безопасную загрузку поддерживает, но при этом в BIOS/UEFI нет опции ее включения, можете активировать ее средствами операционной системы.

Примените твик реестра

Внесите изменения непосредственно в системный реестр, чтобы включить Secure Boot.

Запустите редактор реестра командой regedit, разверните ветку:

HKLMSYSTEMCurrentControlSetControlSecureBootState

Справа найдите параметр UEFISecureBootEnabled и измените его значение на 1.

Перезагрузите компьютер и проверьте статус безопасной загрузки.

Включение через PowerShell

Еще более простым способом включения безопасной загрузки является использование консоли PowerShell.

Запустите консоль от имени администратора и выполните команду:

Set-SecureBootUEFI -Enable

После чего перезагрузите компьютер.

Если активировать SecureBoot не удается, но вы точно знаете, что BIOS вашего компьютера его поддерживает, рекомендуем проверить, какой стиль разметки диска используется.

Откройте свойства диска из оснастки «Управление дисками», переключитесь на вкладку «Тома» и посмотрите стиль раздела.

Если указано «Основная загрузочная запись (MBR)», то SecureBoot работать не будет, так как для этого требуется, чтобы диск имел стиль разметки GPT.

В таком случае придется загрузить компьютер с LiveCD с AOMEI Partition Assistant Standard Edition или Paragon Hard Disk Manager на борту и сконвертировать стиль MBR в GPT.