Boot secure windows 10: Включение безопасной загрузки на устройствах с Windows (Microsoft Intune)

Включение безопасной загрузки на устройствах с Windows (Microsoft Intune)





Twitter




LinkedIn




Facebook




Адрес электронной почты










  • Статья


  • Чтение занимает 2 мин


Безопасная загрузка — это стандарт безопасности, разработанный участниками компьютерной индустрии, чтобы гарантировать загрузку устройства с использованием только программного обеспечения, которому доверяет изготовитель оборудования (OEM). В политиках управления устройствами вашей организации может потребоваться включить ее на зарегистрированном устройстве с Windows. У устройств, которые не соответствуют этому требованию, может отсутствовать доступ к рабочим или учебным ресурсам.

Включение безопасной загрузки

Если ваше зарегистрированное устройство является мобильным устройством, обратитесь к представителю службы поддержки, который включит для вас безопасную загрузку.

Если зарегистрированное устройство является компьютером, вы можете выполнить одно из следующих действий.

  • Обратиться к представителю службы поддержки.
  • Включить безопасную загрузку в меню BIOS компьютера. Пошаговые инструкции см. в разделе Повторное включение безопасной загрузки.

Чтобы проверить состояние безопасной загрузки на компьютере, сделайте следующее:

  1. Выберите «Пуск».
  2. В строке поиска введите msinfo32 и нажмите клавишу ВВОД.
  3. Откроется окно Сведения о системе. Выберите элемент Сведения о системе.
  4. В правой области экрана найдите записи Режим BIOS и Состояние безопасной загрузки. Если для режима BIOS отображается значение UEFI, а для состояния безопасной загрузки — Откл., безопасная загрузка отключена.

Дальнейшие действия

  • Дополнительные сведения о функции безопасной загрузки см. в документации по оборудованию для разработчиков Windows.
  • Требуется дополнительная помощь? Обратитесь к представителю службы поддержки, если у вас возникли проблемы с включением безопасной загрузки или если она отображается включенной. Войдите на веб-сайт Корпоративного портала, чтобы проверить контактные данные представителя службы поддержки.






Безопасная загрузка | Microsoft Learn





Twitter




LinkedIn




Facebook




Адрес электронной почты










  • Статья


  • Чтение занимает 3 мин


Безопасная загрузка — это стандарт безопасности, разработанный участниками компьютерной индустрии, чтобы гарантировать загрузку устройства с использованием только программного обеспечения, которому доверяет изготовитель оборудования (OEM). При запуске компьютера встроенное ПО проверяет сигнатуру каждого программного обеспечения загрузки, включая драйверы встроенного ПО UEFI (также называемые вариантами ROM), приложения EFI и операционную систему. Если подписи являются допустимыми, загрузка компьютера и встроенное ПО обеспечивает управление операционной системе.

Изготовитель оборудования может использовать инструкции от производителя встроенного ПО для создания безопасных ключей загрузки и хранения их в встроенном ПО компьютера. При добавлении драйверов UEFI необходимо также убедиться, что они подписаны и включены в базу данных безопасной загрузки.

Сведения о том, как работает безопасный процесс загрузки, включает в себя надежную загрузку и измеряемую загрузку, см. в разделе «Защита процесса загрузки Windows 10».

Требования к безопасной загрузке

Чтобы обеспечить поддержку безопасной загрузки, необходимо указать следующее.

Требования к оборудованиюСведения
Переменные UEFI версии 2. 3.1 Errata CПеременные должны иметь значение SecureBoot=1 и SetupMode=0 с базой данных сигнатуры (EFI_IMAGE_SECURITY_DATABASE), необходимой для безопасной предварительной загрузки компьютера и включая PK, заданный в допустимой базе данных KEK. Дополнительные сведения см. в разделе «Требования к системе System.Fundamentals.Firmware.UEFISecureBoot» в PDF-файле для скачивания спецификаций и политик программы совместимости оборудования Windows.
Раздел 27 UEFI версии 2.3.1Платформа должна предоставлять интерфейс, который соответствует профилю UEFI версии 2.3.1, раздел 27.
База данных подписи UEFIПлатформа должна быть подготовлена с правильными ключами в базе данных подписи UEFI (db), чтобы разрешить загрузку Windows. Она также должна поддерживать защищенные обновления, прошедшие проверку подлинности, для баз данных. служба хранилища безопасных переменных необходимо изолировать от работающей операционной системы, чтобы их нельзя было изменять без обнаружения.
Подписывание встроенного ПОВсе компоненты встроенного ПО должны быть подписаны по крайней мере с помощью RSA-2048 с SHA-256.
Диспетчер загрузкиПри включении питания система должна начать выполнение кода в встроенном ПО и использовать криптографию с открытым ключом в качестве политики алгоритма для проверки подписей всех образов в последовательности загрузки до Windows Boot Manager.
Защита откатаСистема должна защититься от отката встроенного ПО до более ранних версий.
EFI_HASH_PROTOCOLПлатформа предоставляет EFI_HASH_PROTOCOL (на UEFI версии 2.3.1) для разгрузки криптографических хэш-операций и EFI_RNG_PROTOCOL (microsoft defined) для доступа к энтропии платформы.

Перед развертыванием компьютера вы в качестве изготовителя оборудования храните базы данных безопасной загрузки на компьютере. Сюда входят база данных подписей (db), база данных отозванных подписей (dbx) и база данных ключей регистрации ключей (KEK). Эти базы данных хранятся в неизменяемом ОЗУ встроенного ПО (NV-RAM) во время производства.

База данных сигнатур (db) и база данных отозванных подписей (dbx) перечисляют подписи или хэши образов приложений UEFI, загрузчиков операционной системы (например, загрузчика операционной системы Майкрософт или Boot Manager) и драйверы UEFI, которые можно загрузить на устройство. Отозванный список содержит элементы, которые больше не являются доверенными и не могут быть загружены. Если хэш изображения находится в обеих базах данных, база данных отозванных подписей (dbx) имеет прецедент.

База данных ключей регистрации ключей (KEK) — это отдельная база данных ключей подписывания, которую можно использовать для обновления базы данных подписей и отозванной базы данных подписей. Корпорация Майкрософт требует, чтобы указанный ключ был включен в базу данных KEK, чтобы в будущем корпорация Майкрософт может добавить новые операционные системы в базу данных подписей или добавить известные плохие образы в базу данных отозванных подписей.

После добавления этих баз данных и после окончательной проверки встроенного ПО ИЗГОТОВИТЕЛЬ блокирует встроенное ПО от редактирования, за исключением обновлений, подписанных правильным ключом или обновлениями физического пользователя, использующего меню встроенного ПО, а затем создает ключ платформы (PK). Ключ PK можно использовать для подписывания обновлений KEK или для отключения безопасной загрузки.

Обратитесь к производителю встроенного ПО для получения средств и помощи в создании этих баз данных.

Последовательность загрузки

  1. После включения компьютера базы данных сигнатуры проверяются на соответствие ключу платформы.
  2. Если встроенное ПО не является доверенным, встроенное ПО UEFI должно инициировать восстановление, зависят от изготовителя оборудования, чтобы восстановить доверенное встроенное ПО.
  3. Если возникла проблема с диспетчером загрузки Windows, встроенное ПО попытается загрузить резервную копию диспетчера загрузки Windows. Если это также не удается, встроенное ПО должно инициировать исправление для изготовителя оборудования.
  4. После запуска диспетчера загрузки Windows если возникла проблема с драйверами или ядром NTOS, загружается среда восстановления Windows (Windows RE), чтобы эти драйверы или образ ядра можно было восстановить.
  5. Windows загружает антивредоносное программное обеспечение.
  6. Windows загружает другие драйверы ядра и инициализирует процессы пользовательского режима.

  • Windows 10 функции безопасности S и требования к изготовителям оборудования

  • Требования к встроенному ПО UEFI

  • Отключение безопасной загрузки






Windows 11 и безопасная загрузка

Опубликовано в августе 2021 г.

Эта статья предназначена для пользователей, которые не могут выполнить обновление до Windows 11, поскольку их компьютер в настоящее время не поддерживает безопасную загрузку. Если вы не знакомы с таким уровнем технических деталей, мы рекомендуем вам обратиться к информации поддержки производителя вашего ПК для получения дополнительных инструкций, относящихся к вашему устройству.

Безопасная загрузка – это важная функция безопасности, предназначенная для предотвращения загрузки вредоносного программного обеспечения при запуске (загрузке) компьютера. Большинство современных ПК поддерживают безопасную загрузку, но в некоторых случаях могут быть настройки, из-за которых компьютер не поддерживает безопасную загрузку. Эти настройки можно изменить в прошивке ПК. Микропрограмма, часто называемая BIOS (базовая система ввода/вывода), – это программа, которая запускается перед Windows при первом включении компьютера.

Чтобы получить доступ к этим настройкам, обратитесь к документации производителя вашего ПК или следуйте этим инструкциям: Запустите Настройки > Обновление и безопасность > Восстановление и выберите Перезагрузить сейчас в разделе Расширенный запуск. На следующем экране выберите Устранение неполадок > Дополнительные параметры > Настройки встроенного ПО UEFI > Перезапустите , чтобы внести изменения.

Чтобы изменить эти настройки, вам потребуется переключить режим загрузки ПК с «устаревшего» BIOS (также известного как режим «CSM») на UEFI/BIOS (унифицированный расширяемый интерфейс встроенного ПО). В некоторых случаях есть возможность включить как UEFI, так и Legacy/CSM. Если это так, вам нужно будет выбрать UEFI в качестве первого или единственного варианта. Если вы не знаете, как внести необходимые изменения для включения UEFI/BIOS, мы рекомендуем вам проверить информацию о поддержке производителя вашего ПК на их веб-сайте. Вот несколько ссылок на информацию от некоторых производителей ПК, которая поможет вам начать работу:

  • Делл

  • Леново

  • org/ListItem»>

    HP

Хотя для обновления устройства с Windows 10 до Windows 11 требуется только наличие на ПК возможности безопасной загрузки с включенным UEFI/BIOS, вы также можете включить или включить безопасную загрузку для повышения безопасности.

Системные требования Windows 11

Способы установки Windows 11

Справка и обучение Windows

Как включить доверенный платформенный модуль (TPM) на вашем ПК, если он поддерживается

Включите TPM на вашем ПК
(Изображение предоставлено Windows Central)

Хотя ваше устройство может включать чип доверенного платформенного модуля (TPM), это не обязательно означает, что он включен по умолчанию. Если это не так, вам может потребоваться включить его вручную, чтобы использовать такие функции, как BitLocker в Windows 10, выполнить обновление на месте или новую установку Windows 11.

Доверенный платформенный модуль — это защищенный от несанкционированного доступа кремний, предназначенный для создания, хранения и защиты ключей шифрования. Обычно он встроен в материнскую плату, но вы также можете получить модуль, который затем можно интегрировать в систему.

Обычно вы не задумываетесь о TPM на домашних устройствах, так как эта функция больше предназначена для предприятий. Однако ожидается, что Windows 11 начнет развертываться на устройствах ближе к концу года, и теперь Microsoft делает модуль доверенной платформы необходимым условием для установки ОС.

Если вы планируете установить Windows 11, а приложение Windows PC Health Check сообщает вам, что ваше оборудование несовместимо, даже если вы знаете, что все остальное соответствует требованиям, или вы хотите воспользоваться расширенными функциями безопасности в Windows 10, вы можете быстро включить модуль безопасности в настройках Unified Extensible Firmware Interface (UEFI).

В этом руководстве по Windows 10 вы узнаете, как включить TPM на вашем компьютере, чтобы вы могли установить Windows 11, когда она станет доступной.

  • Как включить TPM через Windows 10
  • Как включить TPM через последовательность загрузки  

Как включить TPM через Windows 10

следующие шаги:

Предупреждение: Изменение неправильных настроек прошивки может помешать правильному запуску вашего устройства. Вы должны получить доступ к настройкам материнской платы только тогда, когда у вас есть веская причина. Предполагается, что вы знаете, что делаете.

  1. Открыть Настройки .
  2. Нажмите Обновление и безопасность .
  3. Нажмите Восстановление .
  4. В разделе «Расширенный запуск» нажмите кнопку Перезагрузить сейчас .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Нажмите Устранение неполадок .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Нажмите Дополнительные параметры .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Выберите параметр Настройки прошивки UEFI . Совет: Если у вас устаревшая версия BIOS, этот параметр будет недоступен.

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Нажмите кнопку Перезапустить .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Откройте страницу настроек безопасности. Краткое примечание: Настройки UEFI обычно различаются в зависимости от производителя и даже модели компьютера. В результате вам может потребоваться посетить веб-сайт поддержки производителя для получения более подробной информации, чтобы найти настройки безопасности.
  2. Выберите параметр Trusted Platform Module (TPM) и нажмите Введите .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Выберите Включите опцию и нажмите Введите .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Выйдите из настроек UEFI.
  2. Подтвердите изменения, чтобы перезагрузить компьютер.

После выполнения этих шагов модуль безопасности позволит вам настроить и использовать такие функции, как BitLocker, или пройти проверку совместимости для установки Windows 11.

Как включить TPM с помощью последовательности загрузки

Если вы этого не сделаете есть доступ к рабочему столу Windows 10 или это новый компьютер, вы можете получить доступ к настройкам UEFI, чтобы включить модуль доверенной платформы во время процесса запуска.

Чтобы получить доступ к настройкам встроенного ПО для включения чипа TPM на вашем компьютере во время процесса загрузки, выполните следующие действия:

  1. Нажмите кнопку Power .
  2. См. заставку на экране, чтобы определить клавишу, которую необходимо нажать для входа в прошивку (если применимо).
  3. Несколько раз нажмите нужную клавишу, пока не войдете в режим настройки. Как правило, вам нужно нажать Esc , Delete или одну из функциональных клавиш (F1, F2, F10 и т. д.).
  4. Откройте страницу настроек безопасности.
  5. Выберите параметр Trusted Platform Module (TPM) и нажмите Введите .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Выберите параметр Enabled и нажмите Enter .

Источник: Windows Central (Изображение предоставлено: Источник: Windows Central)

  1. Выйдите из настроек UEFI.
  2. Подтвердите изменения, чтобы перезагрузить компьютер.

После выполнения этих шагов на компьютере будет включен доверенный платформенный модуль.

Если вы не видите информацию на экране или компьютер загружается слишком быстро, снова перезагрузите устройство, и как только начнется загрузка, несколько раз быстро нажмите нужную клавишу.

В случае, если вы не можете получить доступ к микропрограмме с помощью клавиатуры, вам может потребоваться проверить документацию производителя, чтобы определить клавишу, которую нужно нажимать во время загрузки. Вот некоторые марки компьютеров и соответствующие им ключи для доступа к прошивке материнской платы:

  • Dell: F2 или F12.
  • HP: Esc или F10.
  • Acer: F2 или Удалить.
  • ASUS: F2 или Удалить.
  • Lenovo: F1 или F2.
  • MSI: Удалить.
  • Toshiba: F2.
  • Samsung: F2.
  • Поверхность: Нажмите и удерживайте кнопку увеличения громкости.

Дополнительные ресурсы по Windows 10

Для получения дополнительных полезных статей, обзоров и ответов на распространенные вопросы о Windows 10 посетите следующие ресурсы:

  • Windows 10 в Windows Central — все, что вам нужно знать
  • Справка, советы и рекомендации по Windows 10
  • Форумы Windows 10 в Windows Central

Мауро Хукулак — технический писатель WindowsCentral.

Читайте также: