Большинство современных компьютеров вместо привычной всем первичной системы ввода/вывода оснащается новейшим управляющим инструментом, получившим название UEFI. Что это такое, пока еще знают далеко не все пользователи компьютеров и ноутбуков. Далее будут рассмотрены некоторые важные аспекты, связанные с этой разработкой. Кроме того, кратко коснемся вопросов, касающихся инсталляции операционных систем через этот интерфейс с помощью загрузочных USB-носителей, а также определим, как отключить UEFI, если использование этой системы по каким-то причинам является нецелесообразным. Но для начала разберемся в первичном понимании того, что это за система.
UEFI: что это такое?
Многие пользователи привыкли к тому, что для настройки первичных параметров компьютерной системы еще до старта ОС нужно использовать BIOS. По сути, режим UEFI, который используется вместо BIOS, представляет собой практически то же самое, но сама система выстроена на основе графического интерфейса.
How to Boot From a USB Drive on Lenovo laptops / UEFI BIOS
При загрузке этой системы, которую, кстати, многие называют своеобразной мини-ОС, сразу же обращает внимание на себя факт поддержки мыши и возможность установки для интерфейса регионального языка. Если пойти дальше, можно заметить, что, в отличие от BIOS, UEFI может работать с поддержкой сетевых устройств и отображать оптимальные режимы работы некоторых компонентов установленного оборудования.
Некоторые данную систему называют сдвоенным термином — BIOS UEFI. Хотя это и не противоречит логике программного-аппаратного обеспечения, тем не менее такое определение является несколько некорректным. Во-первых, UEFI является разработкой корпорации Intel, а BIOS-системы разрабатываются множеством других брендов, хотя кардинально между собой не отличаются. Во-вторых, BIOS и UEFI функционируют по несколько отличающимся принципам.
Основные отличия UEFI от BIOS
Теперь еще один взгляд на UEFI. Что это в более четком понимании, можно определить, выяснив отличия этой системы от BIOS. Как считается, UEFI позиционируется как некая альтернатива BIOS, поддержка которой сегодня заявлена многими производителями материнских плат. А вот отличия лучше рассматривать на основе минусов устаревающих систем BIOS.
Самое первое отличие состоит в том, что первичные системы ввода/вывода BIOS не позволяют корректно работать с жесткими дисками, объем которых составляет 2 Тб и более, что состоит в том, что система не имеет возможности полноценного использования дискового пространства.
Второй момент касается того, что для BIOS-систем установлено ограничение по работе с дисковыми разделами, в то время как UEFI поддерживает до 128 разделов, что становится возможным, благодаря наличию таблицы разделов стандарта GPT.
Наконец, в UEFI реализованы совершенно новые алгоритмы обеспечения безопасности, что полностью исключает подмену загрузчика при старте основной ОС, предупреждая даже воздействие вирусов и вредоносных кодов, и предоставляет выбор загружаемой операционной системы без использования специфичных средств внутри загрузчиков самих ОС.
Fix UEFI Firmware Settings missing in Windows 11/10/8/7 | How To Solve uefi Option Not Found
Немного истории
Такова система UEFI. Что это такое, уже немного понятно. Теперь посмотрим, с чего же все начиналось. Ошибочно считать, что UEFI является относительно недавней разработкой.
Создание UEFI и универсального интерфейса началось еще в начале 90-годов. Как тогда оказалось для серверных платформ Intel возможностей стандартных BIOS-систем оказалось недостаточно. Поэтому была разработана совершенно новая технология, которая впервые была внедрена в платформе Intel-HP Itanium. Сначала она называлась Intel Boot Initiative, а вскоре была переименована в Extensible Firmware Interface или EFI.
Первая модификация версии 1.02 была представлена в 2000 году, в 2002 году вышла версия 1.10, а с 2005 года новой разработкой стал заниматься сформированный тогда альянс из нескольких компаний, получивший название Unified EFI Forum, после чего и сама система стала называться UEFI. На сегодняшний день в составе разработчиков можно встретить многие именитые бренды, как Intel, Apple, AMD, Dell, American Megatrends, Microsoft, Lenovo, Phoenix Technologies, Insyde Software и др.
Система безопасности UEFI
Отдельно стоит остановиться на механизмах системы защиты. Если кто не знает, сегодня существует особый класс вирусов, которые способны прописывать собственные вредоносные коды при внедрении в саму микросхему, изменяя начальные алгоритмы системы ввода/вывода, что приводит к появлению возможности запуска основной операционной системы с расширенными правами по управлению. Именно таким образом вирусы могут получить несанкционированный доступ ко всем компонентам ОС и средствам управления ей, не говоря уже о пользовательской информации. Установка UEFI полностью исключает появление таких ситуаций за счет реализации режима безопасной загрузки под названием Secure Boot.
Не вдаваясь в технические аспекты, стоит отметить только то, что сам алгоритм защиты (безопасной загрузки) основан на использовании особых сертифицированных ключей, поддерживаемых некоторыми известными корпорациями. Но, как почему-то считается, данную опцию поддерживают только операционные системы Windows 8 и выше, а также некоторые модификации Linux.
Чем UEFI лучше BIOS?
То, что UEFI по своим возможностям превосходит BIOS, отмечается всеми специалистами. Дело в том, что новая разработка позволяет решать некоторые задачи даже без загрузки операционной системы, старт которой, кстати, при установленном оптимальном режиме работы основных «железных» компонентов вроде процессора или оперативной памяти, происходит намного быстрее. По некоторым данным, та же Windows 8 загружается в течение 10 секунд (правда, показатель этот является явно условным, поскольку нужно учитывать общую конфигурацию оборудования).
Однако поддержка UEFI имеет и ряд неоспоримых преимуществ, среди которых можно выделить следующие:
- простой интуитивно понятный интерфейс;
- поддержка региональных языков и управления мышью;
- работа с дисками 2 Тб и выше;
- более быстрая загрузка операционной системы;
- наличие собственного загрузчика;
- возможность работы на базе процессоров с архитектурой x86, x64 и ARM;
- возможность подключения к локальным и виртуальным сетям с доступом в интернет;
- наличие собственной системы защиты от проникновения вредоносных кодов и вирусов;
- упрощенное обновление.
Поддерживаемые операционные системы
К сожалению, далеко не все операционные системы поддерживают работу с UEFI. Как уже говорилось, в основном такая поддержка заявлена для некоторых модификаций Linux и Windows, начиная с восьмой версии.
Теоретически можно установить и Windows 7 (UEFI инсталляционный дистрибутив распознает). Но вот полной гарантии, что установка будет завершена успешно, никто не даст. К тому же в случае использования Windows 7 UEFI-интерфейс и все сопутствующие возможности новой системы останутся просто невостребованными (а часто и недоступными). Таким образом, на компьютер или ноутбук с поддержкой UEFI ставить именно эту систему нецелесообразно.
Особенности режима загрузки Secure Boot
Как уже было сказано выше, система безопасной загрузки основана на использовании сертифицированных ключей для предотвращения проникновения вирусов. Но такую сертификацию поддерживает ограниченное количество разработчиков.
Когда для операционной системы производится повторная установка через UEFI, проблем не будет при условии, что инсталлируемая система приближена к оригиналу установленной ранее по максимуму. В противном случае (что не редкость) может быть выдан запрет на установку. Однако и тут выход есть, поскольку сам режим Secure Boot можно отключить в настройках. Об этом будет сказано отдельно.
Нюансы доступа и настройки UEFI
Самих версий UEFI существует достаточно много, и разные производители компьютерной техники устанавливают собственные варианты запуска первичной системы. Но иногда при попытке доступа к интерфейсу могут возникать проблемы вроде того, что не отображается главное меню настроек.
В принципе, для большинства компьютеров и ноутбуков с поддержкой UEFI можно использовать универсальное решение – нажатие клавиши Esc при входе в систему. Если такой вариант не срабатывает, можно воспользоваться и собственными средствами Windows.
Для этого необходимо войти в раздел параметров, выбрать меню восстановления и в строке особых вариантов загрузки кликнуть по ссылке «перезагрузить сейчас», после чего на экране появится несколько вариантов старта.
Что касается основных настроек, от стандартных систем BIOS они практически не отличаются. Отдельно можно отметить наличие режима эмулятора BIOS, который в большинстве случаев может называться либо Legacy, либо Launch CSM.
Кроме того, стоит обратить внимание на то, что при переходе на режим работы Legacy при первом удобном случае следует снова задействовать настройки UEFI, поскольку операционная система может и не загрузиться. Кстати сказать, отличия между разными версиями UEFI состоят в том, что в одних предусмотрен гибридный режим запуска либо эмулятора BIOS, либо UEFI, в других же такая возможность при работе в штатном режиме отсутствует. Иногда это может касаться и невозможности отключения безопасной загрузки Secure Boot.
Загрузочная флешка UEFI: обязательные условия для создания
Теперь посмотрим, как создать загрузочный USB-носитель для последующей установки операционной системы с использованием интерфейса UEFI. Первое и главное условие состоит в том, что загрузочная флешка UEFI должна иметь объем не менее 4 Гб.
Вторая проблема касается файловой системы. Как правило, Windows-системы по умолчанию производят форматирование съемных накопителей с использованием NTFS. А вот UEFI USB-носители с файловыми системами, отличными от FAT32, не распознает. Таким образом, на первом этапе следует произвести форматирование именно с применением такого параметра.
Форматирование и запись образа дистрибутива
Теперь самый главный момент. Форматирование лучше всего производить из командной строки (cmd), запущенной с правами администратора.
В ней сначала вводится команда diskpart, после чего прописывается строка list disk, и командой select disk N, где N – порядковый номер USB-флешки, выбирается нужное устройство.
Далее для полной очистки используется строка clean, а затем командой create partition primary создается первичный раздел, который активируется командой active. После этого используется строка list volume, строкой select volume N (вышеуказанный порядковый номер раздела) выбирается флешка, а затем командой format fs=fat32 активируется старт процесса форматирования. По окончании процесса командой assign носителю можно присвоить определенную литеру.
После этого на носитель записывается образ будущей системы (можно использовать либо обычное копирование, либо создание загрузочной флешки в программах вроде UltraISO). При перезагрузке выбирается нужный носитель, и производится инсталляция ОС.
Иногда может появиться сообщение о том, что установка в выбранный раздел MBR невозможна. В этом случае нужно зайти в настройки приоритета загрузки UEFI. Там отобразится не одна, а две флешки. Старт загрузки нужно произвести с того устройства, в названии которого отсутствует сокращение EFI. При этом отпадает необходимость преобразования MBR в GPT.
Обновление прошивки UEFI
Как оказывается, обновить прошивку UEFI намного проще, чем выполнять аналогичные операции для BIOS.
Достаточно просто на официальном сайте разработчика найти и скачать самую свежую версию, после чего запустить загруженный файл от имени администратора в среде Windows. Процесс обновления пройдет после перезагрузки системы без участия пользователя.
Отключение UEFI
Наконец, посмотрим, как отключить UEFI, например, для случаев, когда загрузка со съемного носителя оказывается невозможной только по причине того, что само устройство не поддерживается.
Сначала нужно зайти в раздел безопасности Security и отключить режим безопасной загрузки Secure Boot (если это возможно), установив для него параметр Disabled. После этого в загрузочном меню Boot в строке приоритета Boot Priority следует выставить значение Legacy First. Далее из списка нужно выбрать устройство, которое будет первым для загрузки (жесткий диск) и выйти из настроек, предварительно сохранив изменения (Exit Saving Changes). Процедура полностью аналогична настройкам BIOS. Вместо команд меню можно использовать клавишу F10.
Краткие итоги
Вот кратко и все о системах UEFI, которые пришли на смену BIOS. Преимуществ у них, как уже можно было заметить, достаточно много. Многих пользователей особо радует графический интерфейс с поддержкой родного языка и возможность управления при помощи мыши. Впрочем, поклонников седьмой версии Windows придется огорчить.
Ее установка в компьютерные системы с поддержкой UEFI выглядит не то что нецелесообразной, а иногда становится и вовсе невозможной. В остальном же использование UEFI выглядит очень простым, не говоря о некоторых дополнительных функциях, которые можно задействовать даже без загрузки операционной системы.
Источник: www.syl.ru
Что такое UEFI, и чем он отличается от BIOS?
Новые компьютеры используют прошивку UEFI вместо традиционного BIOS. Обе эти программы – примеры ПО низкого уровня, запускающегося при старте компьютера перед тем, как загрузится операционная система. UEFI – более новое решение, он поддерживает жёсткие диски большего объёма, быстрее грузится, более безопасен – и, что очень удобно, обладает графическим интерфейсом и поддерживает мышь.
Некоторые новые компьютеры, поставляемые с UEFI, по-прежнему называют его «BIOS», чтобы не запутать пользователя, привычного к традиционным PC BIOS. Но, даже встретив его упоминание, знайте, что ваш новый компьютер, скорее всего, будет оснащён UEFI, а не BIOS.
Что такое BIOS?
BIOS — это Basic Input-Output system, базовая система ввода-вывода. Это программа низкого уровня, хранящаяся на чипе материнской платы вашего компьютера. BIOS загружается при включении компьютера и отвечает за пробуждение его аппаратных компонентов, убеждается в том, что они правильно работают, а потом запускает программу-загрузчик, запускающую операционную систему Windows или любую другую, установленную у вас.
На экране настройки BIOS вы можете изменять множество параметров. Аппаратная конфигурация компьютера, системное время, порядок загрузки. Этот экран можно вызвать в начале загрузки компьютера по нажатию определённой клавиши – на разных компьютерах она разная, но часто используются клавиши Esc, F2, F10, Delete. Сохраняя настройку, вы сохраняете её в памяти материнской платы. При загрузке компьютера BIOS настроит его так, как указано в сохранённых настройках.
Перед загрузкой операционки BIOS проходит через POST, или Power-On Self Test, самотестирование после включения. Она проверяет корректность настройки аппаратного обеспечения и его работоспособность. Если что-то не так, на экране вы увидите серию сообщений об ошибках или услышите из системного блока загадочный писк. Что именно означают звуковые сигналы описано в инструкции к компьютеру.
При загрузке компьютера по окончанию POST BIOS ищет Master Boot Record, или MBR — главную загрузочную запись. Она хранится на загрузочном устройстве и используется для запуска загрузчика ОС.
Вы также могли видеть аббревиатуру CMOS, что расшифровывается, как Complementary Metal-Oxide-Semiconductor — комплементарная структура металл-оксид-полупроводник. Она относится к памяти, в которой BIOS хранит различные настройки. Использование её устарело, поскольку такой метод уже заменили флэш-памятью (также её называют EEPROM).
Почему BIOS устарел?
BIOS существует уже давно и эволюционировал мало. Даже у компьютеров с ОС MS-DOS, выпущенных в 1980-х, был BIOS.
Конечно, со временем BIOS всё-таки менялся и улучшался. Разрабатывались его расширения, в частности, ACPI, Advanced Configuration and Power Interface (усовершенствованный интерфейс управления конфигурацией и питанием). Это позволяло BIOS проще настраивать устройства и более продвинуто управлять питанием, например, уходить в спящий режим. Но BIOS развился вовсе не так сильно, как другие компьютерные технологии со времён MS-DOS.
У традиционного BIOS до сих пор есть серьёзные ограничения. Он может загружаться только с жёстких дисков объёмом не более 2,1 Тб. Сейчас уже повсеместно встречаются диски на 3 Тб, и с них компьютер с BIOS не загрузится. Это ограничение BIOS MBR.
BIOS должен работать в 16-битном режиме процессора и ему доступен всего 1 Мб памяти. У него проблемы с одновременной инициализацией нескольких устройств, что ведёт к замедлению процесса загрузки, во время которого инициализируются все аппаратные интерфейсы и устройства.
BIOS давно пора было заменить. Intel начала работу над Extensible Firmware Interface (EFI) ещё в 1998 году. Apple выбрала EFI, перейдя на архитектуру Intel на своих Маках в 2006-м, но другие производители не пошли за ней.
В 2007 Intel, AMD, Microsoft и производители PC договорились о новой спецификации Unified Extensible Firmware Interface (UEFI), унифицированный интерфейс расширяемой прошивки. Это индустриальный стандарт, обслуживаемый форумом UEFI и он зависит не только от Intel. Поддержка UEFI в ОС Windows появилась с выходом Windows Vista Service Pack 1 и Windows 7. Большая часть компьютеров, которые вы можете купить сегодня, используют UEFI вместо BIOS.
Как UEFI заменяет и улучшает BIOS
UEFI заменяет традиционный BIOS на PC. На существующем PC никак нельзя поменять BIOS на UEFI. Нужно покупать аппаратное обеспечение, поддерживающее UEFI. Большинство версий UEFI поддерживают эмуляцию BIOS, чтобы вы могли установить и работать с устаревшей ОС, ожидающей наличия BIOS вместо UEFI – так что обратная совместимость у них есть.
Новый стандарт обходит ограничения BIOS. Прошивка UEFI может грузиться с дисков объёмом более 2,2 Тб – теоретический предел для них составляет 9,4 зеттабайт. Это примерно в три раза больше всех данных, содержащихся в сегодняшнем Интернете. UEFI поддерживает такие объёмы из-за использования разбивки на разделы GPT вместо MBR. Также у неё стандартизирован процесс загрузки, и она запускает исполняемые программы EFI вместо кода, расположенного в MBR.
UEFI может работать в 32-битном или 64-битном режимах и её адресное пространство больше, чем у BIOS – а значит, быстрее загрузка. Также это значит, что экраны настройки UEFI можно сделать красивее, чем у BIOS, включить туда графику и поддержку мыши. Но это не обязательно. Многие компьютеры по сию пору работают с UEFI с текстовым режимом, которые выглядят и работают так же, как старые экраны BIOS.
В UEFI встроено множество других функций. Она поддерживает безопасный запуск Secure Boot, в котором можно проверить, что загрузку ОС не изменила никакая вредоносная программа. Она может поддерживать работу по сети, что позволяет проводить удалённую настройку и отладку. В случае с традиционным BIOS для настройки компьютера необходимо было сидеть прямо перед ним.
И это не просто замена BIOS. UEFI – это небольшая операционная система, работающая над прошивкой PC, поэтому она способна на гораздо большее, чем BIOS. Её можно хранить в флэш-памяти на материнской плате или загружать с жёсткого диска или с сети.
У разных компьютеров бывает разный интерфейс и свойства UEFI. Всё зависит от производителя компьютера, но основные возможности одинаковы у всех.
Как получить доступ к настройкам UEFI на современном ПК
Если вы обычный пользователь, перехода на компьютер с UEFI вы и не заметите. Загружаться и выключаться компьютер будет быстрее, а также вам будут доступны диски размером более 2,2 Тб.
А вот процедура доступа к настройкам будет немного отличаться. Для доступа к экрану настроек UEFI вам может потребоваться загрузочное меню Windows. Производители ПК не хотели замедлять быструю загрузку компьютера ожиданием нажатия клавиши. Но нам встречались и такие UEFI, в которых производители оставили возможность входа в настройки тем же способом, какой был в BIOS – по нажатию клавиши во время загрузки.
UEFI – это большое обновление, но произошло оно незаметно. Большинство пользователей ПК не заметят его, и им не нужно беспокоиться по поводу того, что их новый компьютер использует UEFI вместо обычного BIOS. ПК просто будут лучше работать и поддерживать больше современного аппаратного обеспечения и возможностей.
Более подробное объяснение отличий в загрузочном процессе UEFI можно почитать в статье Адама Уильямсона из Red Hat, и в официальном вопроснике UEFI FAQ.
- Компьютерное железо
- Настольные компьютеры
- UEFI
Источник: habr.com
Что такое uefi boot — подробное руководство
Большинство пользователей обновили свои компьютеры: приобрели новые системным блоки, материнские платы или ноутбуки в последние года четыре.
Примечательностью новых машин является то, что устаревшая система ввода-вывода BIOS больше не используется, её место заняла усовершенствованная прошивка под названием UEFI.
Она обладает огромными количеством преимуществ над BIOS, которые сегодня и рассмотрим.
Более подробно же остановимся на утилите UEFI Boot: узнаем, что это и почему его так не любят пользователи.
- Эволюция системного программного обеспечения
- Secure Boot
- Режимы
- Преимущества и недостатки
- Как проверить текущее состояние
- Включение и отключение
- Проблемы
Эволюция системного программного обеспечения
Более двух десятилетий в качестве ПО низкого уровня, используемого при старте компьютера для тестирования его оборудования, передачи управления железом главной загрузочной записи MBR, которая выбирает и запускает загрузчик нужной операционной системы, использовался BIOS.
C его помощью пользователи могут управлять огромным количеством параметров аппаратных компонентов.
CMOS – электронный элемент с независимым питанием в виде батарейки, где и хранится вся текущая конфигурация компьютера.
BIOS появился еще в конце 80-х годов. Да, он регулярно усовершенствовался и обновлялся, модифицировался под потребности пользователей и разработчиков, давая им возможность управлять режимами работы оборудования и электропитанием, но всему когда-то приходит конец. Тем более, что система ввода/вывода – тот компонент, который меньше всего претерпел изменения за почти три десятка лет в области информационных технологий.
Рис. 1 – Внешний вид UEFI
BIOS обладает массой недостатков:
- он не поддерживает загрузку из жестких дисков объёмом больше 2 ТБ – купили вы новый винчестер на 3 или 4 ТБ, а установить операционную систему на него не сможете, это технологическое ограничение главной загрузочной записи (никто в 80-х и не подумывал, что HDD могут быть столь неимоверного объема);
- BIOS функционирует в 16-ти битном режиме (при том, что фактически все современные процессоры являются 64 и 32-х битными) при использовании всего 1024 КБ памяти;
- процесс одновременной инициализации нескольких устройств поддерживается, но он весьма неотлажен и проблематичен, что снижает скорость запуска компьютера (каждый аппаратный компонент и интерфейс инициализируется отдельно);
- БИОС – рай для пиратов – он не имеет никаких защитных механизмов, что позволяет загружать любые операционные системы и драйверы, в том числе с изменённым кодом и неподписанные (нелицензионные).
Первая версия UEFI разработана корпорацией Intel для Itanium, но позже была портирована на IBM PC.
Это самостоятельная операционная система с графическим интерфейсом, состоящая из множества модулей и имеющая неограниченный доступ к ресурсам аппаратных компонентов.
Особенности новой EFI с графическим интерфейсом:
- её код написан полностью на C++, что позволяет увеличить производительность во время загрузки ПК посредством задействования возможностей 64-разрядных центральных процессоров;
- адресного пространства операционной системы хватает для поддержки 8*10 18 байт дискового пространства (такого запаса хватит на несколько десятилетий) при том, что весь объем цифровой информации на данный момент почти на три порядка ниже;
- адресация оперативной памяти – теоретические расчёты показывают, что UEFI позволит устанавливать до 16 эксабайт оперативной памяти (на 9 порядков больше, чем в мощных современных ПК);
- ускоренная загрузка ОС осуществляется благодаря параллельной инициализации аппаратных компонентов и загрузке драйверов;
- драйверы подгружаются в оперативную память ещё до запуска операционной системы, причём они не являются платформозависимыми;
- вместо старой схемы разметки разделов используется прогрессивная GPT, однако для её задействования придётся отформатировать жесткий диск;
- удобная и симпатичная графическая оболочка поддерживает управление посредством мыши;
- есть встроенные утилиты для диагностики, изменения конфигурации и обновления прошивок аппаратных компонентов;
- поддержка макросов в формате .nsh;
- модульная архитектура – позволяет загружать собственные драйверы или скачанные из интернета;
- одно из самых значимых и важнейших изменений (в частности для Microsoft), которые привнесла UEFI – наличие Secure Boot Option. Она вызвана оберегать Bootloader от выполнения вредоносного кода, защитить операционную систему от вирусов ещё до её запуска посредством эксплуатации цифровых подписей.
Рис. 2 – Схема взаимодействия оборудования и ОС посредством UEFI
О последней функции поговорим подробнее.
Secure Boot
Название технологии переводится как «безопасная загрузка» и представляет собой протокол, который является составляющей спецификации графической EFI.
Появился вместе в Windows 8, но не является обязательным для реализации производителями материнских плат и портативных компьютеров.
Если вкратце, Secure Boot позволяет проверять наличие и подлинность цифровых подписей, находящихся в хранилище, посредством эксплуатации технологий ассиметричной криптографии.
В 2011 году, когда интерфейс ещё не был представлен для широкой публики, Microsoft выдвинули требования для сертификации персональных компьютеров с операционной системой Windows 8 (и как следствие Windows 10).
Этим софтвенная корпорация попыталась уменьшить количество пользователей, устанавливающих на свои компьютеры взломанные версии ОС и увеличить без того колоссальные прибыли.
Однако пользовательское сообщество встретило такие изменения весьма недружелюбно. Во-первых, далеко не каждый готов платить сотни долларов за какую-то ни было Windows, во-вторых, для ARM отключить Secure Boot нельзя, что повлекло за сотой третье последствие – затруднение, а порой и невозможность установки операционных систем, отличных от Windows.
На планшетах под управлением предустановленной «десятки» деактивировать Secure Boot невозможно.
Режимы
Работает «безопасная загрузка» в четырёх режимах, а не двух, как себе представляет большинство пользователей:
- Setup Mode (режим настройки) – активация возможна только из пользовательского режима, в нем требуется аутентификация для записей db, dbx, KEK и PK;
- Audit Mode – режим аудита – возможна активация из пользовательского или режима настройки – не требует аутентификации, в нем могут запускаться прошедшие проверку образы, а сведения обо всех процедурах аутентификации заносятся в специальную базу данных, которую можно просматривать из среды операционной системы. Это предоставляет возможность тестировать комбинации ключей/цифровых подписей;
- User Mode – пользовательский – возможен переход из развёрнутого и режима настройки. В нём осуществляется валидация образов;
- Deployed Mode – развёрнутый – переход возможен из второго или третьего режима, самый безопасный ввиду того, что все переменные доступны только для чтения.
Особенностью технологии является то, что защита от выполнения неподписанного кода осуществляется не только на этапе запуска операционной системы, но и в её среде, как в Windows, так и в Linux на уровне ядра. Но при наличии определённых навыков и знаний ключи можно легко заменить.
Преимущества и недостатки
- Высокий уровень безопасности – гарантирует защиту от функционирования руткитов в системных файлах операционной системы, работа которых приведёт к недействительности цифровых подписей модифицированных файлов.
- Путём внесения в базу запрещенных для запуска операционных систем можно ограничить список загружаемых ОС.
- Все драйверы, которые запускаются на этапе загрузки ОС, должны быть подписанными, иначе они не загрузятся и соответствующие устройства не будут использоваться. Это требует согласования разработчиками системного программного обеспечения и производителями платформ момента добавления их ключей продуктов в доверенное хранилище.
- Разработчики ОС не обязаны реализовывать функцию деактивации Secure Boot. Добавление ключей программами в доверенное хранилище должно быть запрещено, что усложняет эту процедуру и для пользователей.
- Многие версии прошивок имеют уязвимости, позволяющие обходить Secure B
Пара первых недостатков значительно усложняет эксплуатацию неподписанных платформ и ОС, а также драйверов, имеющих неизвестные для запускаемых операционок подписи.
Как проверить текущее состояние
Узнать, активирована ли данная функция на вашем компьютере или ноутбуке, можно несколькими путями:
- в процессе инсталляции новой операционной системы, когда появится ошибка, что это сделать невозможно;
- посредством диагностической утилиты msinfo32;
- через командную строку.
Msinfo32
Запустить приложение можно множеством способов. Мы используем самый простой.
- Открываем окно «Выполнить» посредством комбинации клавиш Win + R или через ярлык в «Пуске» .
- Вводим команду «msinfo32» и выполняем её кнопкой «ОК» или клавишей «Enter» .
Вследствие появится окно «Сведения о системе» , где в строке «Состояние безопасности системы» содержатся необходимые сведения о текущем режиме защиты.
Рис.3 — Сведения о системе
Командная строка
- Запускаем её любым способом.
- Выполняем команду «Confirm-SecureBootUEFI».
Если ответом будет «True», функция активирована, «False» — отключена, «Не является внутренней командой» или «not supported» — не поддерживается текущей операционной системой.
Может быть в случаях эксплуатации Windows 7 или старых системных плат с BIOS.
Рис.4 – Проверка режима работы Secure Boot через командную строку в Windows 10
Включение и отключение
В той или иной ситуации может потребоваться отключить Secure Boot.
Для этого необходимо войти в меню настройки UEFI, найти соответствующий параметр и изменить его значение на требуемое.
Зайти в меню настройки можно посредством специальной клавиши ( F11 , Del , F2 ), которая зависит от производителя устройства или через «Параметры» Windows 8-10.
- Жмём Win + I .
- Выбираем «Обновление, безопасность» .
- Кликаем по пиктограмме «Восстановление» и перезагружаем компьютер.
После этого ПК перезапустится и появится интерфейс UEFI.
В настройках модифицированного БИОС находим пункт, отвечающий за деактивацию функции Secure Boot, и переключаем её в нужный режим.
На многих устройствах опция размещена на главной странице или в разделе безопасности «Security».
Вместо положения «Отключено» («Disable») могут быть варианты с иной операционной системой, например, «Other OS».
После выбора нужного варианта сохраняем настройки и выходим из меню.
Проблемы
Иногда после завершения запуска Windows 8-10 в углу рабочего стола отображается надпись, предупреждающая, что Secure Boot неправильно сконфигурирована.
Чаще всего, для решения проблемы необходимо перейти в меню настроек BIOS и включить функцию защиты SB точно таким образом, как мы её отключали немного выше.
Если это не поможет, сбрасываем настройки UEFI на заводские.
Ещё может помочь обновление ОС, в частности апдейт под названием KB288320.