Срок доставки товара в течении 1-3 дней !!!
|
|
Блог Евгения Крыжановского. Boot security
Как выключить Secure Boot?
Одной из функций UEFI является Secure Boot, которая обеспечивает запуск не авторизованных операционок и ПО в процессе старта компьютера. Это означает, что эта функция не принадлежит Windows 8 и 10, а только применяется системой. Причиной для отключения этой функции может стать отсутствие возможности загрузки ПК с USB-накопителя при правильном создании флешки.
Иногда возникает необходимость выключить опцию Secure Boot в UEFI, которое предназначено для настройки оборудования, применяемое на сегодняшний день вместо BIOS на материнках. Secure Boot может не позволять загружаться с диска или USB-накопителя при инсталляции операционки Windows XP, 7 или Ubuntu.
Очень часто на экране рабочего стола в восьмой версии Windows может возникать уведомление о том, что некорректно настроена безопасная загрузка Secure Boot. Чтобы подобного не возникало, необходимо ознакомиться с инструкцией, как выключить эту опцию в различных вариантах UEFI.
Переход в настройки UEFIДля выключения опции Secure Boot первым делом требуется перейти в настройки UEFI ПК.Выполнить это можно двумя способами.
Вариант № 1. Если используется восьмая версия Windows, тогда можно перейти в «Параметры», где выбрать «Изменение параметров ПК». В этом окне следует кликнуть на «Обновление и восстановление» и указать «Восстановление». После этого требуется кликнуть «Перезагрузить» в особых случаях загрузки. Далее требуется нажать на «Дополнительные параметры», а потом «Параметры ПО UEFI». Вследствие этого ПК перезагрузится с указанными настройками.
Вариант № 2. Кроме того, при запуске стационарного компьютера нужно нажать Delete. Если запускается ноутбук, тогда следует кликнуть F2. Это самые распространенные кнопки, однако, они могут меняться в зависимости от модели ноутбука. В основном эти кнопки указываются при включении устройства.
Варианты выключения Secure Boot на разных лэптопах и материнкахСуществует несколько вариантов отключения этой опции в разных интерфейсах UEFI. Все описанные ниже варианты могут применяться на большинстве существующих материнок, которые поддерживают эту опцию. Если в этом перечне нет подходящего варианта, тогдав BIOS ноутбука может найтись подобный пункт для выключения Secure Boot.
Материнки и устройства AsusДля выключения опции безопасной загрузки на компьютерах Asus, а точнее его современных моделях, требуется перейти в UEFI и войти в раздел Boot. После этого нужно выбрать Secure Boot, а затем в параметре OS Type необходимо выставить Other OS. Затем нужно нажать на F10 для сохранения настроек.
Иногда на некоторых разновидностях материнок лэптопов Asus для выполнения этих задач требуется перейти в раздел Security или Boot, в которых необходимо выставить значение Disabled для параметра Secure Boot.
Выключение Secure Boot на лэптопах HP Pavilion и других моделях HPЧтобы отключить безопасную загрузку на устройствах HP, необходимо выполнить несколько манипуляций. Запустив ПК, требуется сразу нажать на Esc, после чего на кране отобразится меню, через которое можно перейти в настройки BIOS. Для этого необходимо нажать на кнопку F10.
Перейдя в BIOS, нужно посетить раздел System Configuration и выбрать пункт Boot Options. Здесь необходимо отыскать пункт Secure Boot и задать в нем значение Disabled. После всех манипуляций необходимо сохранить все настройки.
Устройства Lenovo и ToshibaЧтобы выключить опцию Secure Boot в UEFI на лэптопах Lenovo и Toshiba, необходимо перейти в ПО UEFI. Для перехода в UEFI необходимо при запуске ноутбука нажать на F2. Затем требуется перейти в раздел Security. В этой вкладке в строке Secure Boot необходимо выставит Disabled. После всех манипуляций нужно сохранить изменения. Для этого следует нажать F10.
На ноутбуках DellВ лэптопах Dell с установленным Insydeh3O опция Secure Boot расположена во вкладке Boot, в которой требуется перейти в UEFI Boot. Чтобы выключить безопасную загрузку, необходимо выставить значение Disabled. После всех действий для сохранения изменений нужно нажать F10.
Выключение безопасной загрузки на AcerЧтобы найти в лэптопах Aser пункт Secure Boot, необходимо перейти в раздел Boot параметров UEFI, но отключить его по умолчанию нельзя, т.е. невозможно изменить значение Enabled на Disabled. На стационарных ПК Aser деактивировать эту опцию можно во вкладке Authentication. Кроме того, этот пункт может размещаться в разделе System Configuration, в который можно попасть через Advanced.
Чтобы появилась возможность изменять эту опцию, необходимо в разделе Security задать пароль, используя Set Supervisor Password. После этих действий можно проводить манипуляции по выключению безопасной загрузки. Кроме того, возможно понадобится активация режима загрузки CSM или Legacy Mode вместо UEFI.
Gigabyte
Чтобы отключить безопасный запуск на материнках Gigabyte, необходимо перейти в BIOS Features. Чтобы запустить ПК с загрузочного накопителя, необходимо активировать загрузку CSM и предыдущую версию загрузки.
Несколько вариантов отключенияНа большей части компьютеров можно найти такие же варианты необходимой опции, что описывались выше. Иногда некоторые моменты могут немного разниться. К примеру, выключение Secure Boot может происходить по типу выбора операционки. В BIOS необходимо выбрать Windows 8 или 7. Тогда необходимо выбрать Windows 7, что практически то же самое, что и выключение безопасной загрузки.
Если возникают какие-то вопросы по поводу определенной материнки, можно поискать ответы в интернете или на сайте разработчика устройства. Чтобы поверить активна ли опция Secure Boot в Windows 8 и Windows 10, необходимо нажать на Win+R и прописать команду msinfo32, после чего кликнуть OK.
В появившемся окне требуется указать корневой раздел, где нужно найти «Сведения о системе». Здесь необходимо отыскать пункт «Состояние безопасной загрузки», в котором можно посмотреть запущена ли опция Secure Boot.
computerologia.ru
Как отключить Secure Boot | Настройка серверов windows и linux
Как отключить Secure Boot-01
Всем привет сегодня расскажу как отключить Secure Boot. Secure boot представляет собой функцию UEFI, предотвращающую запуск не авторизованных операционных систем и программного обеспечения во время запуска компьютера. То есть Secure Boot не является функцией Windows 8 или 8.1, а лишь используется операционной системой.
В некоторых случаях возникает необходимость отключить Secure Boot в UEFI (ПО настройки оборудования, использующийся в настоящее время вместо БИОС на материнских платах): например, данная функция может мешать загрузке с флешки или диска, при установке Windows 7, XP или Ubuntu и в других случаях. Один из самых распространенных случаев — сообщение «Безопасная загрузка Secure Boot настроена неправильно» на рабочем столе Windows 8.1. О том, как это отключить эту функцию в разных вариантах интерфейса UEFI и пойдет речь в этой статье.
Шаг 1 — зайдите в настройки UEFI
Для того, чтобы отключить Secure Boot прежде всего потребуется зайти в настройки UEFI (зайти в БИОС) вашего компьютера. Для этого предусмотрено два основных способа.
Способ 1. Если на вашем компьютере установлена ОС Windows 8.1, то вы можете зайти в правой панели в Параметры — Изменение параметров компьютера — Обновление и восстановление — Восстановление и нажать кнопку Перезагрузить в особых вариантах загрузки. После этого, выбрать дополнительные параметры — Настройки ПО UEFI, компьютер перезагрузится сразу в необходимые настройки.
Способ 2. При включении компьютера нажать Delete (для настольных компьютеров) или F2 (для ноутбуков). Я указал обычно используемые варианты клавиш, однако для некоторых материнских плат они могут отличаться, как правило эти клавиши указаны на начальном экране при включении.
Примеры отключения Secure Boot на разных ноутбуках и материнских платах
Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции.
Материнские платы и ноутбуки Asus
Для того, чтобы отключить Secure Boot на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку Boot (Загрузка) — Secure Boot (Безопасная загрузка) и в пункте OS Type (Тип операционной системы) установите «Other OS» (Другая ОС), после чего сохраните настройки (клавиша F10).
Как отключить Secure Boot-02
На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.
Отключение Secure Boot на Acer
Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).
Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.
Как отключить Secure Boot-03
Gigabyte
На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).
Как отключить Secure Boot-04
Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).
Еще варианты
На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых HP нужно зайти в System Configuration — Boot Options чтобы найти Secure Boot, но суть не меняется.
Материал сайта pyatilistnik.org
pyatilistnik.org
Укрощаем UEFI SecureBoot / Хабр
Введение
О том, как устроен и работает SecureBoot, я уже рассказывал в начале пятой части вышеупомянутого опуса, повторяться смысла не вижу. Если вы не в курсе, о чем весь этот UEFI SecureBoot вообще, кто такие PK, KEK, db и dbx, и почему с точки зрения SecureBoot по умолчанию хозяином вашей системы является производитель UEFI, а единственным авторизованным пользователем является Microsoft — смело проследуйте туда, мы вас тут пока подождем. С ликбезом закончили, теперь к делу. Несмотря на то, что про создание своих ключей и настройку SecureBoot написано за три последних года с десяток отличных статей (ссылки на часть из которых приведены в разделе Литература), воз и ныне там. Основная проблема с информацией о настройке SecureBoot даже в англоязычном сегменте сети (не говоря уже о рунете) — большая часть статей, текстов и постов обрывается на «вот у нас теперь есть ключи в формате EFI Signature List, добавьте их зависимым от вашего вендора прошивки способом и готово». При этом сами вендоры не торопятся описывать меню настройки SecureBoot ни в документации на свои платформы для OEM'ов, ни в мануалах на конечные системы, в результате пользователь теряется на незнакомой местности и либо отключает SecureBoot, мешающий загружать его любимую OpenBSD (или что там у него), либо оставляет его на настройках по умолчанию (а чего, Windows грузится же). Именно этот последний шаг я и попытаюсь описать более подробно, но не в ущерб остальным необходимым шагам.
Тестовая конфигурация
Специально для этой статьи я достал из закромов пару не самых новых ноутбуков с прошивками на платформах Phoenix SCT и Insyde h3O, а также совершенно новую плату congatec (разработкой прошивки для которой я занят в данный момент) на платформе AMI AptioV. Встречайте, наши тестовые стенды:1. AMI, они же "треугольные": congatec conga-TR3 @ conga-TEVAL, AMD RX-216GD (Merlin Falcon), AMI AptioV (UEFI 2.4)2. Insyde, они же "квадратные": Acer Aspire R14 R3-471T (Quanta ZQX), Intel Core i3-4030U (Ivy Bridge), Insyde h3O (UEFI 2.3.1C)3. Phoenix, они же "полукруглые": Dell Vostro 3360 (Quanta V07), Intel Core i7-3537U (Ivy Bridge), Phoenix SCT (UEFI 2.3.1C)Об интерфейсах для настройки SecureBoot
На всех вышеперечисленных системах производитель заявляет о поддержке технологии UEFI SecureBoot, но интерфейс для ее настройки сильно отличается между системами. К счастью, это не очень большая проблема, поскольку для настройки SecureBoot на совместимых со спецификацией UEFI 2.3.1C (и более новых) прошивках никакого интерфейса в Setup, кроме возможности удаления текущего PK (т.е. перевода SecureBoot в так называемый Setup Mode) не требуется, а после этого можно использовать любое EFI-приложение, способное вызвать UEFI-сервис gRS->SetVariable с предоставленными пользователем данными, в том числе утилиту KeyTool.efi из пакета efitools, которая специально для управления ключами и предназначена, осталось только научиться ей пользоваться. Тем не менее, если удобный интерфейс для настройки присутствует (у AMI он, на мой взгляд, даже удобнее KeyTool'а) — можно воспользоваться им, так что рассказывать про эти самые интерфейсы все равно придется.Пара слов про скриншоты UEFIБлагодаря универсальности GOP, ConIn/ConOut и DevicePath можно было сесть и написать за полчаса простой DXE-драйвер, который снимал бы замечательные скриншоты в формате BMP со всего, что происходит в графической консоли после его (драйвера) загрузки по нажатию горячей клавиши, после чего сохранял бы их на первом попавшемся USB-носителе с ФС FAT32… Но его нужно сначала написать, потом отладить, потом интегрировать в прошивки так, чтобы они от этого не развалились (а на ноутбуках придется микросхему с прошивкой выпаивать и под программатор класть, если вдруг что-то не так пойдет), плюс с подконтрольного мне AptioV можно снимать скриншоты просто используя терминал и console serial redirection, а у остальных там настроек буквально на два-три экрана, которые можно банально с монитора сфотографировать, поэтому прошу вас, уважаемые читатели, простить вашего покорного слугу за эти кривые фотографии и за тот факт, что он — ленивая жопа.
Готовим плацдарм
Начнем с лирического отступления о наличии нужного софта для разных ОС. Несмотря на то, что Microsoft является одним из разработчиков технологии, в открытом доступе до сих пор отсутствуют нормальные средства для работы с ней из Windows (ключи можно сгенерировать утилитой MakeCert из Windows SDK, а для всего остального предлагается использовать HSM третьих лиц за большие деньги). Я подумывал сначала взять и написать нужную утилиту на Qt, но потому решил, что ключи и подписи каждый день генерировать не нужно, а на пару раз хватит и существующих решений. Можете попробовать переубедить меня в комментариях, если хотите. В общем, для всего нижеперечисленного вам понадобится Linux (который можно запустить с LiveUSB, если он у вас не установлен). Для него существует целых два набора утилит для работы с SecureBoot: efitools/sbsigntool и EFIKeyGen/pesign. У меня есть положительный опыт работы с первым набором, поэтому речь пойдет именно о нем. В итоге, кроме Linux, нам понадобятся несколько вещей: 1. Пакет openssl и одноименная утилита из него для генерирования ключевых пар и преобразования сертификатов из DER в PEM. 2. Пакет efitools, а точнее утилиты cert-to-efi-sig-list, sign-efi-sig-list для преобразования сертификатов в формат ESL и подписи файлов в этом формате, и KeyTool.efi для управления ключами системы, находящейся в SetupMode. 3. Пакет sbsigntool, а точнее утилита sbsign для подписи исполняемых файлов UEFI (т.е. загрузчиков, DXE-драйверов, OptionROM'ов и приложений для UEFI Shell) вашим ключом. Загрузите Linux, установите вышеуказанные пакеты, откройте терминал в домашней директории и переходите к следующему шагу.Генерируем собственные ключи для SecureBoot
Как обычно, есть несколько способов сделать что-либо, и чем мощнее используемый инструмент, тем таких способов больше. OpenSSL же как инструмент развит настолько, что кажется, что он умеет делать вообще всё, а если почитать к нему man — то и абсолютно всё остальное. Поэтому в этой статье я ограничусь непосредственной генерацией ключевых файлов, а танцы вокруг создания собственного CA оставлю на самостоятельное изучение.Генерируем ключевые пары
Ключей понадобится сгенерировать три штуки: PK, KEK и ISK. Начнем с PK, для генерации которого нужно выполнить следующееopenssl req -new -x509 -newkey rsa:2048 -sha256 -days 365 -subj "/CN=Platform Key" -keyout PK.key -out PK.pemпосле чего ввести и подтвердить пароль, который потом спросят при попытке подписи чего-либо получившимся закрытым ключом. Командой выше мы просим OpenSSL сгенерировать нам ключевую пару RSA2048/SHA256 со сроком действия на один год, под названием Platform Key, с выводом закрытого ключа в файл PK.key, а открытого — в файл PK.pem. Если добавить -nodes, то для подписи этой ключевой парой не нужен будет пароль, но здесь мы этого делать не станем — с паролем хоть ненамного, но безопаснее. Таким же образом генерируем ключевые пары для KEK и ISK, пароли при этом советую вводить разные:openssl req -new -x509 -newkey rsa:2048 -sha256 -days 365 -subj "/CN=Key Exchange Key" -keyout KEK.key -out KEK.pemopenssl req -new -x509 -newkey rsa:2048 -sha256 -days 365 -subj "/CN=Image Signing Key" -keyout ISK.key -out ISK.pemКонвертируем открытые ключи в формат ESL
Теперь нужно сконвертировать открытые ключи из формата PEM в понятный UEFI SecureBoot формат ESL. Этот бинарный формат описан в спецификации UEFI (раздел 30.4.1 в текущей версии 2.5) и интересен тем, что файлы в нем можно соединять друг с другом конкатенацией, и этот факт нам еще пригодится.cert-to-efi-sig-list -g "$(uuidgen)" PK.pem PK.eslcert-to-efi-sig-list -g "$(uuidgen)" KEK.pem KEK.eslcert-to-efi-sig-list -g "$(uuidgen)" ISK.pem ISK.eslКлюч -g добавляет к сгенерированному ESL-файлу GUID, в нашем случае — случайный, полученый запуском утилиты uuidgen и использованием ее вывода. Если этой утилиты у вас нет — придумывайте GUIDы сами или оставьте значение по умолчанию.Подписываем ESL-файлы
Для правильно работы SecureBoot необходимо, чтобы PK был подписан сам собой, KEK подписан PK, а хранилища db и dbx — сответственно KEK. При этом PK не может быть несколько, а вот ситуация с несколькими KEK хоть и встречается в дикой природе, но я все же настоятельно рекомендую удалить предустановленный ключ Microsoft из KEK по простой причине — db и dbx могут быть подписаны любым ключом из хранилища KEK, т.е. если ключ MS оттуда не удалить, то у MS будет возможность управлять содержимым db и dbx, т.е. добавлять любые новые ключи или хеши в список доверенной загрузки и удалять из него существующие. На мой взгляд, это немного слишком, и если мы берем управление ключами в свои руки, то нужно делать это до конца. Если вы думаете иначеНу тогда вам прямая дорога вот сюда, там в самом конце раздела 1.3.4.3 есть ссылка на сертификат Microsoft Corporation KEK CA 2011 в формате DER, из которого нужно сначала получить PEM командой openssl x509 -in MicCorKEKCA2011_2011-06-24.crt -inform DER -out MsKEK.pem -outform PEMзатем сконвертировать полученный PEM в ESL командойcert-to-efi-sig-list -g "$(uuidgen)" MsKEK.pem MsKEK.eslпосле чего добавить получившийся файл к нашему файлу KEK.esl командойcat KEK.esl MsKEK.esl > NewKEK.eslmv -f NewKEK.esl KEK.eslТеперь Microsoft такой же авторизованный пользователь вашей платформы, как и вы сами, с чем я вас и поздравляю.С другой стороны, если вы не хотите терять возможность загрузки Windows и подписанных ключом Microsoft исполняемых компонентов (к примеру, GOP-драйверов внешних видеокарт и PXE-драйверов внешних сетевых карточек), то к нашему ISK.esl надо будет добавить еще пару ключей — ключ Microsoft Windows Production CA 2011, которым MS подписывает собственные загрузчики и ключ Microsoft UEFI driver signing CA, которым подписываются компоненты третьих сторон (именно им, кстати, подписан загрузчик Shim, с помощью которого теперь стартуют разные дистрибутивы Linux, поддерживающие SecureBoot из коробки). Последовательность та же, что и под спойлером выше. Конвертируем из DER в PEM, затем из PEM в ESL, затем добавляем к db.esl, который в конце концов надо будет подписать любым ключом из KEK:openssl x509 -in MicWinProPCA2011_2011-10-19.crt -inform DER -out MsWin.pem -outform PEMopenssl x509 -in MicCorUEFCA2011_2011-06-27.crt -inform DER -out UEFI.pem -outform PEMcert-to-efi-sig-list -g "$(uuidgen)" MsWin.pem MsWin.eslcert-to-efi-sig-list -g "$(uuidgen)" UEFI.pem UEFI.eslcat ISK.esl MsWin.esl UEFI.esl > db.esl Теперь подписываем PK самим собой:sign-efi-sig-list -k PK.key -c PK.pem PK PK.esl PK.authПодписываем KEK.esl ключом PK: sign-efi-sig-list -k PK.key -c PK.pem KEK KEK.esl KEK.auth Подписываем db.esl ключом KEK:sign-efi-sig-list -k KEK.key -c KEK.pem db db.esl db.auth Если еще не надоело, можно добавить чего-нибудь еще в db или создать хранилище dbx, нужные команды вы теперь знаете, все дальнейшее — на ваше усмотрение.Подписываем загрузчик
Осталось подписать какой-нибудь исполняемый файл ключом ISK, чтобы проверить работу SecureBoot после добавления ваших ключей. Для тестов я советую подписать утилиту RU.efi, она графическая и яркая, и даже издалека видно, запустилась она или нет. На самом деле, утилита эта чрезвычайно мощная и ей можно натворить немало добрых и не очень дел, поэтому после тестов лучше всего будет её удалить, и в дальнейшем подписывать только загрузчики. В любом случае, подписываются исполняемые файлы вот такой командой:sbsign --key ISK.key --cert ISK.pem --output bootx64.efi RU.efiЗдесь я заодно переименовал исполняемый файл в bootx64.efi, который нужно положить в директорию /EFI/BOOT тестового USB-носителя с ФС FAT32. Для 32-битных UEFI (избавь вас рандом от работы с ними) используйте bootia32.efi и RU32.efi.В результате вот этого всего у вас получились три файла .auth, которые нужно будет записать «как есть» в NVRAM-переменные db, KEK и PK, причем именно в таком порядке. Скопируйте все три файла в корень другого USB-носителя с ФС FAT32, на котором в качестве /EFI/BOOT/bootx64.efi выступит /usr/share/efitools/efi/KeyTool.efi (скопируйте его еще и в корень, на всякий случай) и ваш «набор укротителя SecureBoot» готов.
Укрощение строптивого
Начинается все одинаково: вставляем нашу флешку с ключами и KeyTool'ом в свободный USB-порт, включаем машину, заходим в BIOS Setup. Здесь, прежде чем заниматься настройкой SecureBoot, нужно отключить CSM, а с ним — и легаси-загрузку, с которыми наша технология не совместима. Также обязательно поставьте на вход в BIOS Setup пароль подлиннее, иначе можно будет обойти SecureBoot просто отключив его, для чего на некоторых системах с IPMI и/или AMT даже физическое присутсвие не потребуется.AMI AptioV
У большинства прошивок, основанных на коде AMI, управление технологией SecureBoot находится на вкладке Security, у меня это управление выглядит так: Заходим в меню Key Management (раньше оно было на той же вкладке, сейчас его выделили в отдельное) и видим там следующее: Выбираем нужную нам переменную, после чего сначала предлагают выбрать между установкой нового ключа и добавлением к уже имеющимся, выбираем первое: Теперь предлагается либо установить значение по умолчанию, либо загрузить собственное из файла, выбираем последнее: Далее нужно устройство и файл на нем, а затем выбрать формат этого файла, в нашем случае это Authenticated Variable: Затем нужно подтвердить обновление файла, и если все до этого шло хорошо, в результате получим лаконичное сообщение: Повторяем то же самое для KEK и PK, и получам на выходе вот такое состояние: Все верно, у нас есть единственный PK, всего один ключ в KEK и три ключа в db, возвращаемся в предыдущее меню кнопкой Esc и включаем SecureBoot: Готово, сохраняем настройки и выходим с перезагрузкой, после чего пытаемся загрузиться с нашей флешки и видим вот такую картину: Отлично, неподписанные загрузчики идут лесом, осталось проверить подписанный. Вставляем другую флешку, перезагружаемся и видим что-то такое: Вот теперь можно сказать, что SecureBoot работает как надо. Если у вашего AMI UEFI такого интерфейса для добавления ключей нет, то вам подойдет другой способ, о котором далее.Insyde h3O
Здесь все несколько хуже, чем в предыдущем случае. Никакого интерфейса для добавления собственных ключей нет, и возможностей настройки SecureBoot предлагается всего три: либо удалить все переменные разом, переведя SecureBoot в Setup Mode, либо выбрать исполняемый файл, хеш которого будет добавлен в db, и его можно будет запускать даже в том случае, если он не подписан вообще, либо вернуться к стандартным ключам, в качестве которых на этой машине выступают PK от Acer, по ключу от Acer и MS в KEK и куча всякого от Acer и MS в db. Впрочем, нет интерфейса — ну и черт с ним, у нас для этого KeyTool есть, главное, что в Setup Mode перейти можно. Интересно, что BIOS Setup не дает включить SecureBoot, если пароль Supervisor Password не установлен, поэтому устанавливаем сначала его, затем выполняем стирание ключей: После чего на соседней вкладке Boot выбираем режим загрузки UEFI и включаем SecureBoot: Т.к. фотографии у меня посреди ночи получаются невыносимо отвратительными, то скриншоты KeyTool'а я сделаю на предыдущей системе, и придется вам поверить в то, что на этой все выглядит точно также (мамой клянусь!). Загружаемся с нашего носителя в KeyTool, и видим примерно следующее: Выбираем Edit Keys, попадаем в меню выбора хранилища: Там сначала выбираем db, затем Replace Keys, затем наше USB-устройство, а затем и файл: Нажимаем Enter и без всяких сообщений об успехе нам снова показывают меню выбора хранилища. Повторяем то же самое сначала для KEK, а затем и для PK, после выходим в главное меню двойным нажатием на Esc. Выключаем машину, включаем заново, пытаемся загрузить KeyTool снова и видим такую картину (которую я утащил из дампа прошивки, ее фото на глянцевом экране еще кошмарнее, чем предыдущие): Ну вот, одна часть SecureBoot'а работает, другая проверяется запуском подписанной нами RU.efi и тоже работает. У меня на этой системе Windows 8 установлена в UEFI-режиме, так вот — работает и она, Microsoft с сертификатом не подвели.Phoenix SCT
Здесь возможностей еще меньше, и во всем меню Secure Boot Configuration на вкладке Security всего два пункта: возврат к стандартным ключам и удаление всех ключей с переводом системы в SetupMode, нам нужно как раз второе: Затем на вкладке Boot нужно выбрать тип загрузки UEFI, включить SecureBoot, и создать загрузочную запись для KeyTool'а, иначе на этой платформе его запустить не получится: Нажимаем Yes, выходим с сохранением изменений, перезагружаемся, нажимаем при загрузке F12, чтобы попасть в загрузочное меню, оттуда выбираем KeyTool, работа с которым описана выше. После добавления ключей и перезагрузки попытка повторного запуска KeyTool'а заканчивается вот так: При этом установленный на той же машине Linux продолжает исправно загружаться, как и подписанная нами RU.efi, так что SecureBoot можно признать работоспособным.Заключение
В итоге, благодаря утилитам с открытым кодом, удалось завести SecureBoot на системах с UEFI трех различных вендоров, сгенерировать свои собственные ключи и подписать ими нужные нам исполняемые файлы. Теперь загрузка платформы целиком в наших руках, но только в случае, если пароль на BIOS стойкий и не хранится открытым текстом, как у некоторых, а в реализации SecureBoot нет каких-либо известных (или еще неизвестных) дыр. Сам по себе SecureBoot — не панацея от буткитов, но с ним ситуация с безопасной загрузкой все равно намного лучше, чем без него. Надеюсь, что материал вам поможет, и спасибо за то, что прочитали эту портянку.Литература
Managing EFI Bootloaders for Linux: Controlling SecureBoot.AltLinux UEFI SecureBoot mini-HOWTO.Booting a self-signed Linux kernel.Sakaki's EFI Install Guide: Configuring SecureBoot.Ubuntu Security Team: SecureBoot.Owning your Windows 8 UEFI Platform.MinnowBoard Max: Quickstart UEFI Secure Boot.Windows 8.1 Secure Boot Key Creation and Management Guidance.habr.com
Windows 8 Secure Boot | Windows для системных администраторов
Secure Boot (защищенная загрузка или безопасная загрузка) – это одна из функций UEFI, позволяющая бороться с руткитами и буткитами (которые используют уязвимости в прошивке BIOS) еще на предварительном этапе загрузки ОС. Технология безопасной загрузки – один из эшелонов обороны в новых ОС Microsoft — Windows 8 и Windows Server 2012. В этой статье мы рассмотрим практические и теоретические аспекты работы Secure boot в ОС Windows 8 (актуально и для Windows Server 2012 ).
Не секрет, что в современных системах загрузка ОС является одним из самых уязвимых компонентов с точки зрения безопасности. Злоумышленнику достаточно передать функции загрузчика на свой («вредоносный») загрузчик, и подобный загрузчик не будет детектироваться системой безопасности ОС и антивирусным ПО.
Функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы могут выполняться в процессе загрузки Windows. Неподписанный код и код без надлежащих сертификатов безопасности (руткиты, буткиты) блокируется UEFI (однако и эту систему защиту можно обойти, вспомните червя Flame, подписанного фальшивым сертификатом Microsoft). В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы.
Стоит однозначно понимать, что для использования технологии защищенной загрузки вместо BIOS на ПК должна использоваться система UEFI (что это такое описано в статье UEFI и Windows 8). Кроме того, прошивка материнской платы должна поддерживать спецификацию UEFI v2.3.1 и иметь в своей базе сигнатур UEFI сертификат центра сертификации Microsoft Windows (или сертификаты OEM-дилеров аппаратного обеспечения, заверенные Microsoft ). Все новые компьютеры с предустановленной Windows 8 (64 битными версиями), получившие наклейку «Windows 8 ready», по требованию Microsoft, обязательно требуют активной Secure Boot. Также отметим, что Windows 8 для ARM (Windows RT) нельзя установить на оборудование, не поддерживающее UEFI или позволяющее отключить Secure Boot.Для работы secure boot или ELAM модуль TPM (trusted platform module) не требуется!
Другой компонент защищенной загрузки Windows 8 — ELAM (Early-launch Anti-Malware — технологией раннего запуска защиты от вредоносного ПО), обеспечивает антивирусную защиту ещё до завершения загрузки компьютера. Тем самым сертифицированный антивирус (имеются в виду продукты различных вендоров, а не только Microsoft) начинает работать еще до того, как вредоносное ПО получит шанс запуститься и скрыть свое присутствие.
Настройка защищенной загрузки в Windows 8
Попробуем разобраться, как можно организовать защищенную загрузку Windows 8 на новом компьютере (предполагается, что у нас имеется коробочная, а не предустановленная OEM версия Windows 8). Для эксперимента была выбрана материнская плата Asus P8Z77 с поддержкой UEFI (и наклейкой Windows 8 ready). Следует понимать, что в другой материнской плате конкретные скриншоты и опции скорее всего будут отличаться, главное — уяснить основные принципы установки Windows 8 с secure boot на новый компьютер
Систему планируется установить на SSD диск, поэтому в настройках BIOS (на самом деле это UEFI) в качестве SATA Mode Selection зададим AHCI. (что такое AHCI)
Далее отключим режим CSM (compatibility support mode – режим совместимости с BIOS), Launch CSM – Disabled.
Далее изменим тип ОС OS type — Windows 8 EUFI, и удостоверимся, что включен стандартный режим защищенной загрузки (Secure Boot Mode — Standard).
Для установки Windows 8 в режиме UEFI нам нужен либо загрузочный DVD диск (физический) с дистрибутивом Win 8, либо загрузочная USB флешка с Windows 8 (отформатированная в FAT32) подготовленная специальным образом (готовим загрузочную UEFI флешку для установки Windows 8), т.к. загрузочная флешка с NTFS в UEFI работать не будет. Стоит отметить, что установка Windows 8 с флешки на SSD диск заняла всего около 7 минут!
Отключите компьютер, вставьте загрузочный диск (флешку) и включите компьютер. Перед вами появится экран выбора параметров загрузки (UEFI Boot menu), где нужно выбрать ваше загрузочное устройство (на скриншоте видна опция Windows Boot Manger, но реально у вас она появится только после установки системы в режиме EFI).
Подробнее остановимся на параметрах разбиения диска для системы. EFI и secure boot требуют, чтобы диск находился в режиме GPT (а не MBR). В том случае, если диск не размечен никаких дальнейших телодвижений и манипуляций с diskpart выполнять не нужно, система все сделает сама. Если диск разбит на разделы, удалите их, т.к. для работы UEFI с secure boot нужны четыре специальных раздела, которые установщик создаст автоматически.
Предполагается, что мы хотим использовать под Windows 8 весь диск целиком, поэтому просто жмем Next, не создавая никаких разделов. Windows автоматически создаст четыре раздела нужного размера и задаст им имена:
- Recovery – 300 Мб
- System – 100 Мб – системный раздел EFI, содержащий NTLDR, HAL, Boot.txt, драйверы и другие файлы, необходимые для загрузки системы.
- MSR (Reserved) – 128 Мб – раздел зарезервированный Microsoft (Microsoft Reserved -MSR) который создается на каждом диске для последующего использования операционной системой
- Primary – все оставшееся место, это раздел, куда, собственно, и устанавливается Windows 8
Далее выполните как обычно установку Windows 8. После того, как Windows будет установлена, с помощью Powershell можно удостоверится, что используется безопасная загрузка, для этого в командной строке с правами администратора выполните:
Если secure boot включена, команда вернет TRUE (если выдаст false или команда не найдена, значит — отключена).
Итак, мы успешно установили Windows 8 в режиме защищенной загрузки (Secure Boot) с UEFI.
winitpro.ru
Secure Boot как отключить
Инструкция, как отключить Secure Boot на ноутбуке HP
Для того, чтобы отключить данную опцию, стоит зайти в BIOS (следуйте инструкции к ноутбуку, так как комбинации клавиш разные из-за различий моделей ноутбуков). Далее нужно открыть раздел «System Configuration», а затем вкладку «Boot Option». Здесь нужно задать опции «Secure Boot» значение «Disabled», а для «Legacy Support» - «Enabled».
Далее сохраняем настройки и перезагружаем ноутбук. На экране монитора появится сообщение с таким текстом «A change to the operating system secure boot mode is pending…». Если перевести этот текст, то становится понятным, что система предупреждает о внесенных изменениях в настройки и предлагает подтвердить их кодом. Просто нужно ввести код, показанный на экране и нажать на Enter.
Далее нужно просто перезагрузить ноутбук. Чтобы загрузиться с флешки или диска после данных манипуляций, при включении ноутбука HP, стоит нажать ESC, а в стартовом меню выбрать пункт «Boot Device Options», дальше можно выбрать устройство, с которого предпочитаете загрузиться.
Как отключить Secure Boot на ноутбуке Acer
Пошаговая инструкция, как отключить опцию Secure Boot в ноутбуке Acer, будет подобной до выше представленной. Изначально нужно войти в BIOS, а далее перейти во вкладку «BOOT». Здесь нужно посмотреть, активна ли вкладка «Secure Boot». Вероятнее всего, она будет не активной и ее нельзя будет изменить.
Чтобы изменить данную ситуацию, стоит задать пароль администратора в разделе BIOS «Security». Для этого переходим в раздел «Security» и открываем опцию «Set Supervisor Password» и нажимаем на Enter. Вводим пароль и подтверждаем его.
После этого можно открыть раздел «Boot», выбрать вкладку «Secure Boot». Она будет активна и ее можно переключить в Disabled.
Не забудьте нажать «F10», чтобы сохранить изменения.
softikbox.com
Эффективное отключение функции Secure Boot
Давайте рассмотрим такую составляющую компьютерного программирования, как Secure Boot. Для чего он нужен, как его отключить?
Итак, говорить придется о программе, используемой для настройки компьютерного оборудования. Новое программное обеспечение применимо на новых материнских платах вместо привычной БИОС.
Основные моменты
Программное обеспечение Secure Boot полезно по своей сути, предельно понятно изначально для чего оно используется, но на практике в большинстве случаев оно может стать преградой для установки иных программ на персональный компьютер. Так, очень часто пользователи сталкиваются с такой проблемой, как невозможность установки Виндовс на комп с внешнего носителя информации, к примеру, с флэшки.
Бывают случаи, когда программное обеспечение Secure Boot все время о своем присутствии на компьютере напоминает пользователю, выдавая сообщения о необходимости перенастройки программы. Эти сообщения настолько часты, что мешают выполнять определенные функции за компьютером.
Поэтому возникает потребность в отключении функционала Secure Boot. Как это сделать? Ниже будет приведен алгоритмдействий, чтобы добиться поставленной цели.
Основной алгоритм начала работы
Работа начинается с интерфейса UEFI.
Итак, начинаем сам процесс деактивации функций Secure Boot:
- для начала нужно зайти в БИОС, сделать это нужно так: если компьютер работает на основе операционки Виндовс 8/8.1, делается переход к правой панели и выбирается вкладка Параметры, следующий шаг – переход к другому меню, а именно к вкладке Изменение параметров, здесь нужно остановится на функции Обновление и восстановление, после выполнения функции следует выбрать более подробное указание Восстановление;
- далее переходят к перезагрузке персонального компьютера, следующий шаг – переход к вкладке Дополнительные параметры, ну и, наконец, к Настройки ПО UEFI;
- последующая перезагрузка позволит компьютеру осознанно выполнить все указанные настройки.
Непосредственное удаление функциональных возможностей Secure Boot
Итак, зайти в БИОС удалось. А как же отключить программное обеспечение Secure Boot? Сделать это можно только после входа в БИОС по вышеописанному алгоритму. Но можно также воспользоваться и иной методикой. Заключается она в следующем:
- включаем персональный компьютер и одновременно жмем на клавишу Delete, если имеется в виду ноутбук, то нужно жать кнопку F2;
- следим за появляющимися кнопками на экране монитора при включении.
Наглядный пример деактивации Secure Boot
Чтобы понять конкретику действий, а именно, что и как делать, нужно процесс деактивации рассматривать на определенном примере. Давайте за основу работы возьмем ноутбук Asus.
Ниже опишем руководство для пользователя, которое может пригодится и для работы на ноутбуках иных брендов. Итак, процесс деактивации Secure Boot на ноутбуке Asus выполняется в следующем порядке:
- вкладка Загрузка – поиск в ней Secure Boot;
- переход к меню OS Type, установка Other OS;
- сохранение настроек с помощью кнопки F10;
- иногда F10 не позволяет сохранить настройки, поэтому для достижения поставленной задачи приходится переходить к функционалу Security или Boot, изменять параметр Secure Boot на параметр Disabled;
- поскольку деактивировать Secure Boot невозможно без базовых настроек, а именно недоступным является изменение параметров Enabled и Disabled, нужно добиться доступности путем установления пароля в меню Security с помощью функционала Set Supervisor Password;
- отключение безопасной загрузки;
- при необходимости активация режима загрузки вместо UEFI либо CSM, либо Legacy Mode;
- если речь идет о материнках от Gigabyte, то отключение Secure Boot выполнимо через меню Настройки БИОС;
- если компьютер запускается с флешки, то требуется загрузка формата CSM и предыдущей версии включения устройства.
На большинстве компьютерных современных устройств удается с помощью этого руководства отключить функционал Secure Boot. Отличия все же могут быть, но совсем незначительные.
Если речь идет о ноутах серии HP, то здесь отключить функции Secure Boot удается через меню System Configuration, которое является проводником к Boot Options, в котором и выбирается Secure Boot.
Если имеются в виду ноуты Acer, то здесь работать приходится с меню Authentication, в котором делается переход к Advanced — System Configuration.
Если все же после изучения приведенного руководства возникают вопросы, убедительная просьба не повторять указанный перечень действий самостоятельно, дабы не навредить компьютерному устройству. Лучше в таком случае заручиться поддержкой специалистов ИТ-настроек, это более целесообразный путь решения возникшей проблемы.
bezwindowsa.ru
