зачем отключить безопасную загрузку windows 10
Немного про UEFI и Secure Boot
UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Основные отличия UEFI от BIOS:
Как происходит загрузка в UEFI?
С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.
Secure Boot
«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»
Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!
Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!
Как работает Secure Boot (безопасная загрузка) в Windows 8 и 10 и что она означает для Linux
Современные ПК поставляются с включённой функцией Secure Boot («Безопасная загрузка»). Это функция платформы в UEFI, которая заменяет традиционный BIOS ПК. Если производитель ПК хочет наклеить наклейку с логотипом «Windows 10» или «Windows 8» на свой компьютер, Microsoft требует, чтобы он включил безопасную загрузку и следовал некоторым рекомендациям.
К сожалению, это также мешает вам установить некоторые дистрибутивы Linux, что может быть довольно хлопотным.
Как безопасная загрузка защищает процесс загрузки вашего ПК
Безопасная загрузка предназначена не только для того, чтобы усложнить работу с Linux. Включение безопасной загрузки даёт реальные преимущества в плане безопасности, и даже пользователи Linux могут извлечь из этого пользу.
Традиционный BIOS загрузит любое программное обеспечение. Когда вы загружаете компьютер, он проверяет аппаратные устройства в соответствии с настроенным вами порядком загрузки и пытается загрузиться с них. Типичные ПК обычно находят и загружают загрузчик Windows, который загружает полную операционную систему Windows. Если вы используете Linux, BIOS найдёт и загрузит загрузчик GRUB или systemd-boot, которые используется в большинстве дистрибутивов Linux.
Однако вредоносное ПО, такое как руткит, может заменить ваш загрузчик. Руткит мог загружать вашу обычную операционную систему без каких-либо указаний на то, что что-то пошло не так, оставаясь полностью невидимым и необнаружимым в вашей системе. BIOS не знает разницы между вредоносным ПО и надёжным загрузчиком — он просто загружает всё, что находит.
Безопасная загрузка предназначена для предотвращения этого. ПК с Windows 8 и 10 поставляются с сертификатом Microsoft, хранящимся в UEFI. UEFI проверит загрузчик перед его запуском и убедится, что он подписан Microsoft. Если руткит или другое вредоносное ПО действительно заменяет ваш загрузчик или вмешивается в него, UEFI не позволит ему загрузиться. Это не позволяет вредоносным программам захватить процесс загрузки и скрыться от вашей операционной системы.
Как Microsoft разрешает дистрибутивам Linux загружаться с безопасной загрузкой
Теоретически эта функция предназначена только для защиты от вредоносных программ. Так что Microsoft предлагает способ помочь дистрибутивам Linux загрузиться в любом случае. Вот почему некоторые современные дистрибутивы Linux, такие как Ubuntu и Fedora, «просто работают» на современных ПК даже с включённой безопасной загрузкой. Дистрибутивы Linux могут заплатить единовременную плату в размере 99 долларов за доступ к порталу Microsoft Sysdev, где они могут подать заявку на подпись своих загрузчиков.
Дистрибутивы Linux обычно имеют подпись shim («прокладка»). shim — это небольшой загрузчик, который просто загружает основной загрузчик GRUB дистрибутива Linux. Прокладка, подписанная Microsoft, проверяет, загружается ли загрузчик, подписанный дистрибутивом Linux, а затем дистрибутив Linux загружается нормально.
Ubuntu, Fedora, Red Hat Enterprise Linux и openSUSE в настоящее время поддерживают безопасную загрузку и будут работать без каких-либо настроек на современном оборудовании. Могут быть и другие, но это те, о которых мы знаем. Некоторые дистрибутивы Linux с философской точки зрения возражают против подачи заявки на подписку Microsoft.
Как отключить безопасную загрузку или управлять ею
Если бы безопасная загрузка была обязательной, вы не смогли бы запускать на своём ПК операционные системы, не одобренные Microsoft. Но вы, вероятно, можете управлять безопасной загрузкой из прошивки UEFI вашего ПК, которая похожа на BIOS на старых ПК.
Есть два способа контролировать безопасную загрузку. Самый простой способ — перейти к настройкам прошивки UEFI и полностью отключить Secure Boot.
Прошивка UEFI перестанет проверять, используете ли вы подписанный загрузчик или нет, и всё будет загружаться. Вы можете загрузить любой дистрибутив Linux или даже установить Windows 7, которая не поддерживает безопасную загрузку. Windows 8 и 10 будут работать нормально, вы просто потеряете преимущества безопасности, связанные с безопасностью загрузки, защищающей процесс загрузки.
Вы также можете дополнительно настроить безопасную загрузку. Вы можете контролировать, какие сертификаты для подписи предлагает безопасная загрузка. Вы можете свободно устанавливать новые сертификаты и удалять существующие. Например, организация, использующая Linux на своих ПК, может удалить сертификаты Microsoft и установить вместо них собственный сертификат организации. Тогда эти ПК будут использовать только загрузчики, одобренные и подписанные этой конкретной организацией.
Человек тоже может это сделать — вы можете подписать свой собственный загрузчик Linux и быть уверенным, что ваш компьютер может загружать только загрузчики, которые вы скомпилировали и подписали лично. Именно такой контроль и мощность предлагает безопасная загрузка.
Что Microsoft требует от производителей ПК
Microsoft не просто требует, чтобы поставщики ПК включили безопасную загрузку, если им нужна наклейка с сертификатом «Windows 10» или «Windows 8» на своих ПК. Microsoft требует, чтобы производители ПК реализовывали его особым образом.
Для ПК с Windows 8 производители должны были дать вам возможность отключить безопасную загрузку. Microsoft потребовала от производителей ПК передать пользователям аварийный выключатель безопасной загрузки.
Для ПК с Windows 10 это больше не является обязательным. Производители ПК могут включить безопасную загрузку и не давать пользователям возможность её выключить. Однако на самом деле нам неизвестно о каких-либо производителях ПК, которые так поступают.
Точно так же, хотя производители ПК должны включать основной ключ Microsoft Windows Production PCA для загрузки Windows, им не нужно включать ключ Microsoft Corporation UEFI CA. Этот второй ключ только рекомендуется. Это второй необязательный ключ, который Microsoft использует для подписи загрузчиков Linux. Документация Ubuntu объясняет это.
Другими словами, не все ПК обязательно будут загружать подписанные дистрибутивы Linux с включённой безопасной загрузкой. Опять же, на практике мы не видели ни одного компьютера, который делал бы это. Возможно, ни один производитель ПК не захочет выпускать единственную линейку ноутбуков, на которую нельзя установить Linux.
На данный момент, по крайней мере, обычные ПК с Windows должны позволять вам отключать безопасную загрузку, если хотите, и они должны загружать дистрибутивы Linux, подписанные Microsoft, даже если вы не отключите безопасную загрузку.
Безопасную загрузку нельзя отключить в Windows RT, но Windows RT мертва
Все вышесказанное верно для стандартных операционных систем Windows 8 и 10 на стандартном оборудовании Intel x86. Для ARM всё иначе.
В Windows RT — версии Windows 8 для оборудования ARM, которая поставлялась на Microsoft Surface RT и Surface 2, среди других устройств — безопасную загрузку нельзя было отключить. Сегодня безопасную загрузку по-прежнему нельзя отключить на оборудовании Windows 10 Mobile, другими словами, на телефонах под управлением Windows 10.
Это потому, что Microsoft хотела, чтобы вы думали о системах Windows RT на базе ARM как об «устройствах», а не о ПК. Как Microsoft сообщила Mozilla, Windows RT «больше не Windows».
Однако Windows RT теперь мертва. Версии настольной операционной системы Windows 10 для ARM-оборудования не существует, так что вам больше не о чем беспокоиться. Но если Microsoft вернёт оборудование Windows RT 10, вы, скорее всего, не сможете отключить на нем безопасную загрузку.
Как отключить безопасную загрузку UEFI в Windows 10?
В наши дни, если вы покупаете компьютер с предустановленной Windows, он поставляется с системой загрузки UEFI.
UEFI — это не то, что изобрела Microsoft, это протокол, существовавший еще до Windows 8.
Некоторые устройства Mac использовали UEFI в течение очень длительного времени.
В UEFI есть функция «безопасной загрузки», которая загружает только те загрузчики, которые вошли в прошивку UEFI.
Эта функция безопасности предотвращает появление вредоносных программ-руткитов и обеспечивает дополнительный уровень безопасности.
Обратной стороной безопасной загрузки является то, что если вы хотите загрузиться с USB-накопителя Linux или если вы хотите использовать загрузочный USB-накопитель Windows, она вам не позволит.
Иногда это также может создавать проблемы при двойной установке с Linux (это когда стоит и Windows и Linux).
Хорошо то, что вы можете легко отключить безопасную загрузку.
Все, что вам нужно сделать, это получить доступ к настройкам прошивки UEFI, перейти к параметрам загрузки и отключить его.
Не волнуйтесь, я не оставлю вас в таком подвешенном состоянии.
Позвольте мне подробно показать шаги.
Отключение безопасной загрузки UEFI в Windows 10
Некоторые системы не позволяют изменить параметр безопасной загрузки без установки пароля администратора.
Я расскажу об этом позже.
Шаг 1. Доступ к настройкам UEFI
Вы можете получить доступ к настройкам UEFI, включив систему и нажав клавиши «F2 / F10» или «F12» во время загрузки.
Если это не сработает, не волнуйтесь. Вы также можете перейти к настройкам прошивки из Windows. Вот как.
Найдите UEFI и перейдите в раздел «Изменение расширенных параметров запуска» в меню Windows.
Теперь нажмите кнопку «Перезагрузить сейчас» в разделе «Особые варианты загрузки».
Через несколько секунд вы должны увидеть синий экран с несколькими вариантами на выбор.
Вы должны нажать на опцию «Устранение неполадок».
Теперь в некоторых системах на этом экране отображаются параметры прошивки UEFI.
В некоторых системах может потребоваться выбрать дополнительные параметры.
Если вы видите параметр «Настройки прошивки UEFI», то щелкните по нему.
В противном случае щелкните «Дополнительные параметры».
Когда вы увидите настройки прошивки UEFI, нажмите на них.
Он сообщит, что вам придется перезагрузить компьютер, чтобы изменить какие-либо настройки прошивки UEFI (или, вкратце, настройки UEFI).
Щелкните по кнопке «Перезагрузить».
Теперь ваша система перезагрузится, и когда она снова загрузится, вы окажетесь в интерфейсе настроек BIOS / UEFI.
Шаг 2. Отключите безопасную загрузку в UEFI
К этому времени вы должны быть загружены в утилиту UEFI.
Здесь вы можете изменить различные настройки, но все, что мы хотим сделать прямо сейчас — это отключить здесь параметр безопасной загрузки.
Перейдите на вкладку «Boot».
Здесь вы найдете параметр безопасной загрузки, который включен.
Используйте клавишу со стрелкой, чтобы перейти к опции безопасной загрузки, а затем нажмите клавишу ввода (Enter), чтобы выбрать ее.
Используйте «+» или «-«, чтобы изменить его значение. Подтвердите это при появлении запроса.
Нажмите «F10», чтобы сохранить изменения и выйти из настроек UEFI.
Совет по устранению неполадок: Отключить опцию безопасной загрузки отключена
Как упоминалось некоторыми читателями в комментариях, если вы используете ноутбук Acer, вы можете увидеть, что опция отключения безопасной загрузки выделена серым цветом (затушевана).
Если это так, то пока не нужно паниковать. Есть способ обойти это.
Используя клавиши со стрелками, перейдите на вкладку «Security».
Найдите здесь «Установить пароль супервизора».
Установите пароль супервизора, дважды щелкнув его.
Сохраните этот пароль в надежном месте, где вы сможете получить к нему доступ даже годы спустя.
Используйте менеджер паролей, облачный сервис или черновик в своей электронной почте.
В принципе, вы не должны потерять этот пароль.
Вы также можете сбросить пароль супервизора после отключения безопасной загрузки.
После того, как вы установили пароль супервизора, перейдите на вкладку «Boot».
На этот раз вы увидите, что действительно можете получить доступ к опции безопасной загрузки и изменить ее значение.
Нажмите клавишу Enter и измените ее значение на «Disabled».
Нажмите «F10», чтобы сохранить и выйти из настроек UEFI.
Затем вы загрузитесь в Windows в обычном режиме. Вот и все. Вы можете использовать аналогичные шаги, чтобы снова включить безопасную загрузку позже.
Надеюсь, вы найдете этот урок полезным.
Дайте мне знать, если вы запутались, и я постараюсь вам помочь.
Как отключить Secure Boot в Windows 10
Если же Вы решили установить другую операционную систему, но система не видит загрузочную флешку, но Вы приоритеты загрузки установили правильно, возможно Вам понадобиться отключить Secute Boot.
В этой статье мы рассмотрим как отключить Secure Boot в Windows 10 и почему Биос не видит загрузочную флешку, поскольку этих два вопроса могут быть связаны между собой. А также узнаем что делать если при загрузке Вашей операционной системы Вы видите на рабочем столе надпись безопасная загрузка настроена неправильно.
Secure Boot что это
Secure Boot это функция, которая разрешает или запрещает установку других операционных систем.
Если Вы спросите что это Secure Boot, то можно сказать что эта опция блокирует загрузку загрузочных дисков и флешек. Поэтому для того чтобы установить другую операционную систему необходимо отключить Secure Boot, если она включена.
Чтобы проверить включена ли функция Secure Boot, можно воспользоваться командой в операционной системе Windows 10.
Почему БИОС не видит загрузочную флешку
Для начала Вам нужно правильно создать загрузочную флешку, для этого рекомендуем ознакомиться с этой статьей. После того как Вы правильно создали загрузочную флешку нужно в Биосе отключить Secure Boot и установить приоритет загрузки флешки перед Вашим жестким диском.
В общем как Вы могли догадаться если Биос не видит загрузочную флешку Вам стоит отключить опцию Secure Boot. Поскольку она разрешает данную проверку подлинности загрузчика.
Настройка Secure Boot может находиться в BIOS и UEFI по пути:
А также Вам нужно включить режим загрузки в режиме совместимости Legacy OS или CMS OS.
Как отключить Secure Boot в Windows 10
Нет разницы какая у Вас операционная система, то ли Windows 10 или Windows 8, сама настройка Secure Boot находиться в BIOS или UEFI.
Поэтому нам придется для начала зайти в BIOS. А дальше расположение настройки Secure Boot зависит от версии BIOS. Мы рассмотрим несколько возможных расположений опции Secute Boot в ноутбуках от разных производителей.
Secure Boot на ноутбуках HP
Secure Boot на ноутбуках Samsung
Secure Boot на ноутбуках Lenovo и Toshiba
Secure Boot на ноутбуках Dell
Secure Boot на ноутбуках Acer
Secure Boot на ноутбуках Asus
После этих действий нужно сохранить изменения и выйти с BIOS или UEFI.
Безопасная загрузка настроена неправильно
Встретить ошибку безопасная загрузка настроена неправильно можно после обновления с предыдущей версии операционной системы например до Windows 10.
В большинстве случаев помогает включение Secure Boot. Нужно всё сделать наоборот как мы сделали выше, чтобы включить её.
Ещё есть один способ, который поможет убрать надпись с рабочего стола. Его мы рассмотрели здесь, но он только уберет надпись, а саму проблему не исправит.
Если же не помогло для пользователей Windows 8.1 Майкрософт выпустили патч, который уберет эту надпись с рабочего стола и исправит проблему.
В этой статье мы рассмотрели как отключить Secure Boot в Windows 10 и почему БИОС не видит загрузочную флешку.
Надеюсь эта статья будет для Вас полезной и поможет Вам разобраться с настройкой Secure Boot. Пишите в комментарии как Вы решили этот вопрос.
Как отключить безопасную загрузку в Windows 10
Если вам интересно, что такое UEFI, то он расширяется до Unified Extensible Firmware Interface и является следующим поколением популярных BIOS. Он безопасен, может хранить больше данных, намного быстрее, чем BIOS, и почти похож на крошечную операционную систему, которая работает поверх прошивки ПК, и может делать намного больше, чем BIOS. Лучшая часть, это может быть обновлено OEM через Windows Update.
Благодаря UEFI в Windows 10 предусмотрены такие функции безопасности, как безопасная загрузка, защита устройства защитника Windows, защита учетных данных защитника Windows и защита от эксплойтов защитника Windows. Ниже приведен список функций, которые вы получаете:
Отключить безопасную загрузку в Windows 10
Непосредственно перед тем, как перейти к отключению безопасной загрузки, потому что вы можете, давайте узнаем, есть ли на вашем компьютере безопасная загрузка.
Откройте Центр безопасности Защитника Windows и нажмите Безопасность устройства.
На следующем экране, если вы видите упомянутую безопасную загрузку, значит, на вашем ПК она есть, в противном случае ее нет. Если он доступен, вы узнаете, действительно ли он включен для вашего ПК. Мы рекомендуем вам включить его.
Если вы хотите иметь Secure Boot на вашем ПК, вам нужно будет купить новый у OEM, который его поддерживает.
Предполагая, что у вас есть безопасная загрузка и она включена, давайте разберемся, как ее отключить. Обязательно полностью прочитайте руководство, особенно предупреждающие сообщения в конце поста.
После этого вы можете сменить видеокарту или любое другое оборудование, которое, по вашему мнению, создает вам проблемы. Обязательно выполните те же действия еще раз, и на этот раз включите безопасную загрузку.
Предупреждение, если вы отключаете безопасную загрузку
После отключения Secure Boot и установки другого программного и аппаратного обеспечения может быть трудно повторно активировать Secure Boot без восстановления вашего компьютера до заводского состояния. Также будьте осторожны при изменении настроек BIOS. Меню BIOS предназначено для опытных пользователей, и есть возможность изменить настройку, которая может помешать правильному запуску вашего ПК. Обязательно точно следуйте инструкциям производителя.