The secure boot key database is empty как исправить

Компьютерные вирусы стали неотъемлемой частью нашей жизни. О них слышали даже те люди, которые сроду не пользовались компьютерами. Для улучшение защиты от зловредного ПО и был внедрен протокол Secure Boot. О том, с чем его едят и как его отключать будет подробно описано в статье.

Secure Boot – одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.

Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:

• программные компоненты (драйвера, загрузчики ОС) имеют специальные ЭЦП, также они есть и в прошивке материнки, но характеристики этих ЭЦП отличается;
• при использовании ресурсов компьютера компоненты должны доказать при помощи ЭЦП, что они не вирусы;
• ключевой фактор безопасности – закрытый ключ, который в идеале должен быть уникальным у каждого ПК.

Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.

В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:

1. Если не устанавливается или не загружается ОС.
2. При невозможности загрузиться с загрузочной флешки.

Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.

Как отключить защиту Secure Boot в БИОСе?

Отметим, что некоторые пользователи ошибочно думают, что протокол Secure Boot отключается в BIOS. У этой достаточно примитивной прошивки нет, не было, и не может быть поддержки СекюрБут. Этот протокол безопасности работает исключительно на UEFI и отключение нужно производить именно там. Природа этой ошибки вполне простая. За многие годы пользователи привыкли, что все, что возникает на экране до загрузки ОС это и есть БИОС. В действительности времена этой программной надстройки уходят и она уже является устарелой в любом отношении.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Общий алгоритм всегда один и тот же:

1. Вход в UEFI.
2. Поиск нужной опции.
3. Отключение SecureBoot.
4. Запись изменений.

Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо. Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?

Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:

• заходите в BIOS-UEFI нажатием на клавишу F2 или Delete;
• переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”;
• в специальном окошке 2 раза вводите пароль. Не изощряйтесь, используйте простую комбинацию;
• успешность будет подтверждена сообщением “Changes have been saved”;
• переходите во вкладку “Boot” и в строке “Boot Mode” указываете значение “Legacy”;
• жмете F10 и выполняете запись модификаций установок;
• при последующей перегрузке снова войдите в UEFI;
• переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”, вводите ранее указанный пароль;
• переходите во вкладку “Boot” и в строке “Secure Boot” указываете значение “Disabled”;
• снова сохраняете изменения.

Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?

1. Для входа в биос жмите на ESC или ESC => F10 перед запуском Windows.
2. Перейдите во вкладку “System Configuration”, а в ней отыщите строчку “Boot Options”.
3. Установите для критерия “Secure Boot” опцию “Disabled”, а для критерия “Legacy support” – “Enabled”.
4. Система спросит, действительно ли вы готовы изменить настройки – подтвердите это нажатием на “Yes”.
5. В конце нужно сохранить выполненные изменения нажатием на F10 и подтверждением “Yes”.

При последующей перезагрузке будьте внимательны. Система перестрахуется и включит “защиту от дурака”. Нужно смотреть на то, что идет после надписи “Operating System Boot Mode Change (021)” – там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения “защиты от дурака” жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.

На ноутбуках Dell

1. F12 сразу после включения компьютера и перед стартом ОС.
2. В верхней панели переходите во вкладку Boot и заходите в подраздел UEFI BOOT.
3. Устанавливаете для критерия “Secure Boot” опцию “Disabled”.
4. Сохраняете изменения (F10 => “Yes”) и перезагружаете ноутбук.

Secure Boot на ноутбуках Леново и Тошиба

Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:

• перейдите во вкладку “Security”;
• установите для критерия “Secure Boot” опцию “Disabled”;
• перейдите на вкладку “Advanced”, а в ней зайдите в меню “System Configuration”;
• установите для критерия “Boot Mode (OS Mode Selection)” опцию “CSM Boot (CMS OS), (UEFI and Legacy OS)”;
• сохраните все нажатием на F10 => “Yes”.

Отключения Secure Boot на материнских платах

Рынок материнских плат для настольных компьютеров достаточно консервативен и явными лидерами являются 2 компании: Asus и Gigabyte. Они поставляют более половины всего оборудования, так что рассматривать способы деактивации Secure Boot рациональней всего именно в разрезе этих производителей. В любом случае третье и четвертое место давно оккупировали MSI и ASRock, – первая четверка полностью состоит из компаний Тайваня. Итог: принципиальных различий в инструкции по отключению все равно не будет и большая часть пользователей найдет ниже именно то, что ищет.

Отметим, что перейти сразу в UEFI можно в некоторых случаях напрямую с Windows (от 8 версии и более поздних). Для этого пробуйте следующее:

• На рабочем столе справа вызовите выдвижную панель.
• После следуйте по пути:  “Параметры” => “Изменение параметров…” => “Обновление и…” => “Восстановление”;
• В возникшем окне найдите опцию перезагрузки системы и установите в этой строке значение “Настройки по UEFI” или “Параметры встроенного ПО UEFI”;
• После жмите на “Перезагрузить” и в дальнейшем должен автоматически запуститься UEFI.

Как отключить Secure Boot на материнской плате Gigabyte?

После входа в UEFI (нажатием на F12 перед запуском ОС) действуйте следующим образом:

• перейдите во вкладку “BIOS Features”;
• установите для критерия “Windows 8 Features” опцию “Other OS”;
• для критерия “Boot Mode Selection” — “Legacy only” или “UEFI and Legacy” (между ними нет особой разницы);
• для критерия “Other PCI Device ROM Priority” – “Legacy OpROM”.

После всего нужно выполнить запись изменений, то есть нажать F10 => “OK”.

Материнские платы и ноутбуки Асус

Сразу отметим, что чаще всего на материнках именно этого производителя появляется ошибка при загрузке ОС: Invalid signature detected. Check Secure Boot Policy in Setup. В большинстве случаев для устранения проблемы следует выключить Secure Boot, а для этого необходимо:

• зайти в UEFI – жмите перед загрузкой ОС на F2, Delete или комбинацию клавиш Fn+F2;
• на начальном экране жмите на F7 (Advanced Mode), а потом перейдите в меню “Boot” => “Secure Boot Menu”;
• укажите в строчке “Secure Boot State” значение “Enabled”, а в строчке “OS Type” – “Other OS”;
• вернитесь на один уровень назад в меню “Boot” => “Compatibility Support Module (CSM)”;
• установите в строчке “Launch CSM” значение “Enabled”, а в строчке “Boot Device Control” – “UEFI and Legacy …” либо “Legacy OpROM …”, а в строке “Boot From Storage Devices” – “Both Legacy opROM first”, либо “Legacy opROM first”;
• после этого жмите на F10 и сохраняйте все изменения, а после проверяйте корректность выполненных настроек.

Конкретно для ноутбуков Asus алгоритм будет следующим:

• зайдите в UEFI;
• перейдите во вкладку “Security”;
• отыщите строчку “Secure Boot Control”, укажите в ней значение “Disabled”;
• перейдите во вкладку “Boot”;
• отыщите строчку “Fast Boot”, установите в ней значение “Disabled”, а в строке “Launch CSM” значение “Enabled”.

Как узнать активирована ли функция Secure Boot на Windows?

Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:

1. При помощи сведений о системе. Запустите утилиту “Выполнить”. Для этого необходимо зажать комбинацию клавиш Win+R, в появившейся строке ввести msinfo32 и нажать на Enter. Возникнет новое окно. Убедитесь, что в его левой панели выбрана строчка “Сведения о системе”. В правой панели ищите строку “Состояние безопасной загрузки”, у которой есть только 2 значения “Включить” и “Отключить”.
2. При помощи PowerShell. В утилите “Выполнить” запустите команду powershell. Откроется новое окно, в которое скопируйте следующее: Confirm-SecureBootUEFI. Если на этот запрос выдаст ответ “True”, то значит опция активна, а если “False”, то деактивированна. Если же появится уведомление иного характера, то значит материнка не поддерживает функцию Secure Boot.
3. Эмпирическим путем. Создайте загрузочную флешку с Windows и попробуйте загрузиться с нее после перезагрузки компьютера. Если все получается успешно, то значит опция выключена, при иных обстоятельствах будет отображаться соответствующее сообщение о невозможности загрузки по соображениям безопасности.

Заключение

1. Secure Boot появился в компьютерном мире относительно недавно и этот протокол безопасности является составляющей UEFI – современным и актуальным видом прошивки материнских плат.
2. Протокол безопасности препятствует запуску вредоносного ПО на более низком уровне, чем это делают обычные антивирусы. Поэтому при правильной настройке эта технология может существенно повысить устойчивость ПК к вирусам.
3. Secure Boot стоит отключать по необходимости, если он препятствует старту системы с загрузочной флешки или при переустановке Windows. Просто для эксперимента технологию деактивировать не стоит.
4. Для любого компьютера схема деактивации одна и та же – за счет указания подходящего критерия в нужном меню UEFI. Главное – это найти правильный путь к такому меню. Даже при существенных сложностях это займет не больше 10 минут.

Почему не получается запустить операционную систему с флешки, учитывая, что с ней всё в порядке? Причина скорее будет во включенном «Secure Boot». В статье рассказывается о том, что это такое и способах его деактивации.

Это специальный протокол для создания безопасной среды при включении Windows, или, другими словами, безопасный запуск компьютера или ноутбука на надежном программном обеспечении, заслуживший доверие производителя.

На каждом устройстве применяется «Secure Boot» для предупреждения запуска неавторизованной операционки, вирусов или вредоносного софта. С целью защитить данные и работоспособность устройства была внесена такая функция обеспечения безопасности на BIOS, а также и UEFI.

Когда устройство запускается встроенная микропрограмма и идентифицирует подписи всех компонентов (приложения EFI, драйвера и операционку). Если она определила надежность и безопасность всех подписей, то операционка начинает запускаться.

BIOS и UEFI — это программы для ввода и вывода данных, запускающие ОС, последняя функционирует только на новых версиях Windows.

Принцип работы и особенности «Secure Boot»

Программа использует цифровую подпись, чтобы проверить подлинность и лицензию ОС, в частности, её файлов. Цифровая подпись гарантирует, что операционка не подделана и была взята из надежного источника.

Чтобы что-либо подписать, «Secure Boot» отправляет запрос в сертификационный центр, где и проверяется устанавливаемая операционка, после проведенного анализа ставится цифровая подпись. Только после этого совершается запуск ОС при включенном режиме безопасной загрузки.

В случаях, когда цифровая подпись недействительна, устройство с новой установленной ОС включить не получится.  

Программа может защищать только на стадии загрузки операционной системы. Однако при доступе к «железу» компьютера имеется возможность подмены ключей.

Существует два режима работы:

1. SETUP, необходимый для настройки доступа к UEFI-ключам и к их базам:

• Key Exchange Keys или KEK, подписывается PK;
•  OEM Key (Original Key) — есть на установленных заранее версиях Windows;
• Platform Key или PK — ключ главный;
• DBX — база, были отозваны ключи;
• DB — база, содержащая разрешенные ключи.

1. USER, позволяющий запустить файлы.

Чтобы запустить режим USER, нужно чтобы ключи были с подписью DB, но не DBX.

Пре-загрузчики Linux

Для сертификации компьютеров, с целью их совместимости с ОС Windows, Microsoft запрашивает активацию «Secure Boot», запускаемую с применением пре-загрузчиков от фирмы Linux. 

Компания Microsoft не поставляет собственные ключи доступа, поскольку их нужно будет предварительно устанавливать в прошивку во время производства, а это не выгодно, потому что потребуется множество согласований с разными производителями.  А также это приведет к появлению на рынках компьютеров, на которых не будет поддерживать система Linux. Выделяют два таких пре-загрузчика:

1. Shim, работает с тремя ключами:

• Shim keys (генерируются самостоятельно);
• Secure Boot keys (имеются в UEFI);
• Machine Owner Key (MOK, хранится в NVRAM).

Бинарные файлы необходимо подписать перед выполнением, потому что Shim находится в тесной взаимосвязи с ключом MOK и если нет поддержки системы у загрузчика, то и работать ничего не будет.

1.   PRELoader, наоборот, способен перестраивать запуск UEFI со встраиванием доверенных механизмов аутентификации.

При удалении ключа, которым была подписана программа, она уже не сможет запуститься.

Вышеуказанные пре-загрузчики предустановлены заранее и имеют подпись на всех устройствах Microsoft.

Как включить безопасную загрузку

Для того чтобы защитить компьютер от вирусов, нужно убедиться, что функция «Security Boot» активна, если нет, следует активировать её самостоятельно.

Программа UEFI считается более новой, удобной и управляется мышью, а в BIOS возможно пользоваться лишь клавишами.

Описание этапов, как включить безопасную загрузку в режиме БИОС или UEFI:

1. Как только устройство запустилось, рекомендуется переместиться в БИОС, определенное количество раз, нажав кнопку «F2» (для ноутбуков) или «Del» (для стационарных компьютеров), необходимая кнопка зависит от изготовителя.
2. В BIOS располагается «Secure Boot», изменяющийся зависимо от устройства, например: «Security», «Advanced Settings», «System Configuration» и в конце «Boot».
3. Переключить «Secure Boot» в режим функционирования «Enabled». Если ранее очищались ключи защищенной загрузки, рекомендуется их восстановление. После совершенных действий сохраняются настройки, выбирается «Exit» или нажимается «F10» на клавиатуре, и производится перезагрузка устройства.

Иногда в BIOS предусмотрено наличие поиска, где можно посмотреть «Secure Boot».

Несложным способом включить функцию защищенной загрузки считается сброс настроек BIOS. С этой целью при нажатии «Exit», найти «Load Defaults», так как она активирована по умолчанию на всех заводских устройствах.

Как отключить защиту «Secure Boot» в БИОСе

На каждом компьютере должна быть предусмотрена возможность отключать такую защиту. Поэтапная инструкция выключения практически не отличается от таковой по включению.

Для выключения «Secure Boot» в БИОСе на более ранних моделях, следует:

1. Перейти в BIOS.
2. Зайти в часть «Advanced Mode», нажав кнопку «F7».
3. Выбрать далее «Secure Boot».
4. Нажать на вкладку «Secure Boot Control», переведя в режим «Disabled».
5. Сохранить и закрыть раздел.

На ARM-планшеты с заранее установленной операционкой Microsoft невозможно выключить «Secure Boot».

Примеры, как отключить «Secure Boot» на разных ноутбуках

В соответствии с производителем порядок деактивации протокола обычно изменяется. Далее представлены самые распространенные марки ноутбуков.

Samsung

Чтобы понимать, как отключить «Secure Boot» на ноутбуке «Samsung», сразу после включения зажимается «F2» на клавиатуре, попав в БИОС. Далее найти располагающийся там раздел «Boot» и «Secure Boot», переключая его в «Disabled». Подтверждаются изменения «Enter» на клавиатуре. Дальше появится предупреждение об ошибке, которое нужно подтвердить.

Как только перезапуск ОС завершится, можно изменять функцию «OS Mode Selection», переводящихся в «CSM OS», либо «UEFI and Legacy OS», выбор которых потом подтверждается.

При перезагрузке может снова возникнуть сообщение про ошибку, его следует проигнорировать нажатием «Enter» на клавиатуре.

Далее перезагрузить ПК, используя «F10» клавишу. Затем откроется меню, где выбрать вид носителя информации (винчестер, флешка или другое).

Asus

С целью деактивации «Secure Boot» на аппаратах фирмы Asus, в UEFI открывается «Boot», потом «Secure Boot». В «OS Type» устанавливается «Other OS», настройки сохраняются выбором «F10» на клавиатуре.

Acer

Здесь нельзя деактивировать защищённую загрузку в стандартных настройках. Попав в БИОС, выбирается «Security» и вводится новый пароль, с данной целью переходят в пункт «Set Supervisor Password». Теперь, переходя на «Boot», отмечается «Disabled» в «Secure Boot».

Защищенный запуск выключается в части «Advanced — System Configuration» или «Authentication» только на стационарных ПК.

Dell

В БИОС управлении рекомендуется перейти в «Boot», потом выбрать «UEFI Boot», снова найдя «Secure Boot» установить «Disabled». Сохранить настройки нажатием «F10».

Lenovo и Toshiba

В процессе запуска устройства нажать «F2» либо «Fn» + «F2», с целью попадания в UEFI. Найти пункт «Security» и поменять «Secure Boot» в состояние «Disabled». Далее изменения сохраняются кнопками «Fn» + «F10» или только «F10».

При покупке ноутбука в официальных магазинах к каждому устройству должна быть вложена инструкция по эксплуатации, где описываются способы деактивации «Secure Boot», либо эту информацию следует находить в свободном доступе.

Как узнать, активен ли «Secure Boot»

Перед запуском софта или переустановкой операционки нужно посмотреть функцию «Secure Boot» в БИОСе для того, чтобы понять, активирована ли она. Для этого рекомендуется испытать один из способов.

Командная строка

Чтобы убедиться в том, что функция «Защищенная загрузка» активирована, можно, применяя командную строку «Выполнить». Нужно выполнить ряд условий. Зажать кнопки «Win» (логотип операционной системы) и «R» на клавиатуре, откроется окошко «Выполнить», в поле вписывается «msinfo32», далее нажимается «OK» или клавишу «Enter».

Появится вкладка «Сведения о системе», где можно увидеть все данные об операционной системе. Далее нужно найти «Состояние безопасной загрузки», чаще он включен, но иногда выключен, или не поддерживается.

Здесь также можно определить режим BIOS или UEFI.

Раздел «Безопасность устройства»

Существует другой метод проверки активации режима «Secure Boot» на устройстве (некоторых новых ОС Windows).

Можно перейти в «Параметры», затем найти «Безопасность устройства» и внизу будет раздел «Безопасная загрузка», где указано: включен режим или отключен. 

Windows PowerShell

Ещё один способ можно провести следующим образом:

1. От имени администратора выполнить команду: «Confirm-Secure Boot UEFI»
2. Ожидать ответ:

• «True» функция активирована;
•  «False» устройством может поддерживаться безопасная загрузка, но сейчас она отключена;
• «Error» или другой признак ошибки говорит о том, что режим не поддерживается данным устройством. 

Частые проблемы и пути решения

Нередко можно столкнуть с затруднениями в отключении и активировании функций защищенной загрузки.

Проблема № 1. Отсутствует «Security Boot» в БИОСе

Решение: «Защищенная загрузка» в основном предназначена для UEFI, а не БИОС. Если включены «Legacy» или «CSM», то настройка защищенной запуска иногда не работает. Поэтому можно воспользоваться вариантами:

1. Включить режим UEFI, что приведет к тому, что «Legacy» и «CSM» не будут загружаться.
2. Установить пароль для БИОС в настройке типа ОС, выбрать восьмую версию Windows.

Проблема № 2. Не получается поставить Windows на купленный ноутбук без предустановленной ОС.

Решение заключается в выполнении ряда условий:

1. Записать UEFI установочную флешку и с нужной версией Windows;
2. Вставить флешку в USB-порт;
3. Вызвать «Boot Menu», используя на клавиатуре «F2» или «F12» (может быть другая кнопка, лучше прочитать инструкцию по эксплуатации к устройству);
4. Выбрать загрузку с флешки.  

 Проблема № 3. Не запускается устройство с загрузочных флешек в «Secure Boot» при установлении Windows.

Решение изменяется, зависимо от того, где возникла проблема:

1. Чтобы знать, как включить «Secure Boot», следует установить Windows в UEFI (GPT —Таблицу разделов GUID).
2. Если флешка создана из официального ISO образа в программе «WinSetupFromUSB», нужно её отформатировать в «FAT32».
3. Извлечь содержимое образа в корневую часть флешки.

Задаваясь вопросами, как отключить «Secure Boot» на ноутбуке, следует задуматься, что выключение этого режима обычно не требуется, если пользоваться лицензионными продуктами. Отключение его может принести больше вреда, чем пользы. Например, лишит устройство защиты от вредоносных программ, таких как BOOTKIT, ROOTKIT и других вирусов. В случаях, когда действительно необходимо выключить защищённую загрузку, рекомендуется учитывать, что от вида устройства способы будут меняться.